[Pwnable.kr] ascii_easy

by yiz96 29. 2 月 2016 pwnable writeup 2

这应该是网上这道题第一篇公开的solution吧。首先要感谢一下韩国小哥inhack，虽然他的blog基本都是加密的，然而我在fb上联系到他之后他很热情地引导我做出了这道题，让我学到了新的东西。

这道题首先给出了提示”ulimit”，这里是一个可以禁用ALSR的黑科技，当设置ulimit -s unlimted时，系统的ALSR将会失效，原因在于arch/x86/mm/mmap.c中：

static int mmap_is_legacy(void)
{
    if (current->personality & ADDR_COMPAT_LAYOUT)
            return 1;

    if (rlimit(RLIMIT_STACK) == RLIM_INFINITY)
            return 1;

    return sysctl_legacy_va_layout;
}

static int mmap_is_legacy(void)

{

if (current->personality & ADDR_COMPAT_LAYOUT)

return 1;

if (rlimit(RLIMIT_STACK) == RLIM_INFINITY)

return 1;

return sysctl_legacy_va_layout;

}

在第二个if会返回true，所以ALSR就不起作用了，所有的地址成为固定值。

然后我们再看这个题，F5反汇编得到：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char *v3; // ebx@6
  unsigned int v5; // [esp+28h] [ebp-Ch]@4
  char *v6; // [esp+2Ch] [ebp-8h]@1

  v6 = (char *)mmap((void *)0x80000000, 0x1000u, 7, 50, -1, 0);
  if ( v6 != (char *)0x80000000 )
  {
    puts("mmap failed. tell admin");
    _exit(1);
  }
  printf("Input text : ");
  v5 = 0;
  do
  {
    if ( v5 > 0x18F )
      break;
    v3 = &v6[v5];
    *v3 = getchar();
    ++v5;
  }
  while ( is_ascii(*v3) );
  puts("triggering bug...");
  return (int)vuln();
}

_BOOL4 __cdecl is_ascii(signed int a1)
{
  return a1 > 31 && a1 <= 127;
}

char *vuln()
{
  char dest; // [esp+10h] [ebp-A8h]@1

  return strcpy(&dest, (const char *)0x80000000);
}