pwn第一次培训

已于 2024-02-20 13:21:27 修改
阅读量1.8k 收藏 36
点赞数 34
文章标签: java 前端 javascript
于 2024-02-01 11:26:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WuMing_Z/article/details/135968654
版权

一、不同架构下寄存器传参的方式

     64位x86架构

  1. RDI (Destination Index): 用于传递第一个整数参数。
  2. RSI (Source Index): 用于传递第二个整数参数。
  3. RDX (Data Register): 用于传递第三个整数参数。
  4. RCX (Counter Register): 用于传递第四个整数参数。
  5. R8: 用于传递第五个整数参数。
  6. R9: 用于传递第六个整数参数。

    如果函数的参数个数超过6个,则超过的参数直接使用栈来传递

   32位架构

   所有参数直接使用栈来传递


   return address

   在执行call sum的时候,会将sum 的下一条命令的执行地址0x8048438压入栈中,然后程序进入        sum片段进行执行,此时,0x8048438地址就是sum函数的返回地址,即 return address

 

二、IDA
 

  
 

常用快捷键
 

IDA中的快捷键都是和菜单栏的各个功能选项一一对应的,基本上你只要能在菜单栏上找到某个功能,也就能看到相应的快捷键,这里记录几个常用的:
 

a:将数据转换为字符串
 

f5:一键反汇编
 

esc:回退键,能够倒回上一部操作的视图(只有在反汇编窗口才是这个作用,如果是在其他窗口按下esc,会关闭该窗口)
 

shift+f12:可以打开string窗口,一键找出所有的字符串,右击setup,还能对窗口的属性进行设置
 

ctrl+w:保存ida数据库
 

ctrl+s:选择某个数据段,直接进行跳转
 

ctrl+鼠标滚轮:能够调节流程视图的大小
 

x:对着某个函数、变量按该快捷键,可以查看它的交叉引用
 

g:直接跳转到某个地址
 

n:更改变量的名称
 

y:更改变量的类型
 

/ :在反编译后伪代码的界面中写下注释
 

\ :在反编译后伪代码的界面中隐藏/显示变量和函数的类型描述,有时候变量特别多的时候隐藏掉类型描述看起来会轻松很多
 

;:在反汇编后的界面中写下注释
 

ctrl+shift+w:拍摄IDA快照
 

u:undefine,取消定义函数、代码、数据的定义
 

特殊情况
 

postive sp value has been found
 

栈内出现负指针,打开工具栏的options->general,勾上stack pointer,选中负数=指针ATL+K修改value
 

 

三、构造ROP传参
 

多数函数并不会直接将“shell = '/bin/sh'”这种危险字符串和system函数放在一起,此时就需要传参
 

 

32位中构造ROP传参
 

利用溢出覆盖返回地址进入func函数内部,再将参数一指向“/bin/sh”的储存地址即可。其中要注意的是r处需要我们进行垃圾数据的填充。

 

64构造ROP传参
 

对x64的参数,大部分情况下,前六个参数储存在寄存器内,无法直接使用简单的栈溢出修改寄存器内容,这时候我们需要解除ROPgadget工具进行辅助。
 

ROP(Return Oriented Programming),即返回导向编程,通过栈溢出内容覆盖返回地址,使其跳转到可执行文件中已有的片段代码中执行我们选择的代码段。
 

知道了ROP工具的功能,我们需要做的是
 

  1. 修改rdi的值(可使用代码pop rdi ; ret)
  2. 在栈中放入‘bin/sh’经由pop提交给rdi
  3. 进入func函数内调用system函数
 

利用ROPgadget查找需要的代码行--pop rdi ; ret
 

ROPgadget --binary ret2text_func2_x64 --only 'pop|ret'
 

也可用ropper查询。
 

ropper --file 文件名 --search "pop|ret"

 

 

 


                

        

        

    

  


    

      

        

            

              
                
                  WuMing_Z997
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
【实现操作系统 00】x86 与 x64 架构下函数参数传递的区别

				
			

			

				

					Imagine Miracle的博客
				

				

					08-09
					
					1180
					
				

			

		

		

			
				
本文分析了在 x86 和 x86_64 架构下函数参数传递的区别。

			
		

	



                

              
                



	

		

			

				
					
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》

					
热门推荐

				
			

			

				

					Test网络安全
				

				

					09-15
					
					1万+
					
				

			

		

		

			
				
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。

0x01栈溢出漏洞原理

栈溢出漏洞属于缓冲区漏洞的一种,实例如下:


#include <stdio.h>
#include <string.h>
 
int main()
{
    char *str = "AAAAAAAAAAAAAAAAAAAAAAAA";
    vulnfun(str);
    return;
}
 
int vulnfun(char *st

			
		

	



                


  
              

                


	

		

			

				
					
在x86-64系统上的函数调用过程(参考)

				
			

			

				

					weixin_50803498的博客
				

				

					05-12
					
					975
					
				

			

		

		

			
				
传递控制权、传递数据、分配和释放内存、运行时栈的动作与转移控制、数据传送、参数传递、需要使用栈传递参数的情况、函数返回值传递

			
		

	





	

		

			

				
					
汇编语言-函数传参-寄存器-结构体传值

				
			

			

				

					插件开发
				

				

					06-17
					
					1951
					
				

			

		

		

			
				
  在主程序和子程序中传递参数,通常有3种方法:通过寄存器传递、通过数据区的变量传递、通过堆栈传递。  调用约定简化了:一律使用__fastcall,前四个参数用 RCX、RDX、R8 和 R9传递,除了这四个外加RAX、R10、R11,其他寄存器都是非易失的。  将结构体的地址传入对应寄存器,将值写入栈中。如果能够重现结构体的调用,可以把需破解软件中结构体的内存数据拷贝至重现结构体调试模式数据中,可用内存修改软件如Cheat Engine来修改,这样就可以利用VS的功能来查看结构体的数据,如下图所示:



			
		

	



		

			
		



	

		

			

				
					
关于传参数时对应寄存器的问题

				
			

			

				

					博客
				

				

					06-20
					
					1543
					
				

			

		

		

			
				
对于x86操作系统来说,除非指定以寄存器传递(通过"regparm (NUMBER)"注:NUMBER<=3指定)。
如果指定寄存器传递参数,则eax为第一个参数,edx为第二个参数, ecx为第三个参数,往下依次为edx以及esi和edi。

64位系统用户应用层用整数寄存器%rdi ,%rsi,%rdx,%rcx, %r8以及 %r9来传参。而内核接口用%rdi ,%rsi,%rdx,%r10,&r8以及%r10来传参,并且用syscall指令而不是80中断进行系统调用。
x86和x64都

			
		

	





	

		

			

				
					
不同构架下寄存器传参的方式(pwn第一课)

				
			

			

				

					s5555555___的博客
				

				

					01-31
					
					1106
					
				

			

		

		

			
				
_builtin_return_address 是 GCC 内置函数之一,用于获取指定层数的函数调用栈中的返回地址。该函数接受一个整数参数 level,表示要获取的返回地址所在的函数调用栈层数。如果 level 等于 0,则返回当前函数调用的返回地址;如果 level 大于 0,则返回当前函数调用栈中第 level 层函数的返回地址。比如:0:返回当前函数的返回地址;1:返回当前函数调用者的返回地址;2:返回当前函数调用者的调用者的返回地址;

			
		

	





	

		

			

				
					
CTF比赛PWN题sgtlibc通用快速解题框架

				
			

			

				

					serfend's blog
				

				

					07-07
					
					1617
					
				

			

		

		

			
				
开源地址:https://github.com/serfend/sgtlibc使用  安装pwn解题框架例题:buuctf start
system_bss_binsh_direct_x64

shellcode_orw_x86
例题:buuctf pwnable_orw
libc-leak_x86_puts
例题:ctfshow ret2libc_64 内部赛_签到题
libc-leak_x86_write_pure
例题:buuctf jarvisoj_level1
libc-leak_x86_writ

			
		

	





	

		

			

				
					
【学习笔记】CTF PWN选手的养成(三)

				
			

			

				

					prettyX的博客
				

				

					12-04
					
					1288
					
				

			

		

		

			
				
atum大佬视频的总结

第三章 课时2 堆漏洞的利用技巧

0X01 基础知识

1、操作系统中的内存布局(Linux)

内核空间&用户空间,堆、栈等;cat /proc/pid/maps
	要了解ELF文件结构
2、什么是堆?

数据结构:父节点总大于/小于子节点的特殊的完全二叉树
	操作系统:程序在运行时动态申请和释放的内存空间(malloc,realloc,free,new,d...

			
		

	





	

		

			

				
					
"黑帽"黑客大奖竞赛:暴露安全漏洞获高奖励 2022 Pwn2Own 温哥华110万美元奖金

				
			

			

				

					
				

			

		

		

			
				
那是2022年5月19日下午,当时在美国伊利诺伊州埃文斯顿西北大学计算机科学访问学者的陈在Pwn2Own 2022 Vancouver上坐在一张布幔桌前,面对一小群观众,这是一场在加拿大Van- couver Sheraton Wall Centre举行的...

			
		

	





	

		

			

				
					
20位大佬,勾勒出一个中国网络安全江湖

				
			

			

				

					xueshenlaila的博客
				

				

					06-28
					
					4574
					
				

			

		

		

			
				
文章目录一、为大家介绍20位大佬?一 西安:西交大、西电、西工大360 集团董事长兼 CEO:周鸿祎赛博英杰 CEO:谭晓生腾讯副总裁:丁珂阿里云:吴翰清知道创宇 CTO&COO:杨冀龙二 合肥:中科大、安医大深信服 CEO:何朝曦360 首席科学家:潘剑锋腾讯安全:TK 教主云深互联 CEO:陈本峰三 哈尔滨:哈工大、哈工程安天集团:肖新光360 集团首席安全官:杜跃进安芯网盾 CEO、CTO:姜向前、姚纪卫四 上海:复旦、同济、上海交大腾讯安全:吴石启明星辰集团 CEO:严望佳同济:季昕华五 .

			
		

	





	

		

			

				
					
在x86架构汇编语言中函数参数传递的三种约定

					
最新发布

				
			

			

				

					weixin_41489908的博客
				

				

					04-19
					
					396
					
				

			

		

		

			
				
在x86架构汇编语言中,函数参数传递的约定(calling conventions)规定了函数如何接收参数以及如何返回值。这些约定对于汇编语言编程至关重要,因为它们确保了不同的函数可以正确地相互调用。以下是​​stdcall​​​、​​cdecl​​​和​​fastcall​​三种常见的参数传递方式。

			
		

	





	

		

			

				
					
x86-64函数调用参数传递

				
			

			

				

					RToax
				

				

					08-13
					
					3949
					
				

			

		

		

			
				
公众号原文链接:https://mp.weixin.qq.com/s/qXYnIezKNuXhOBN7nZouZw





​

问题引入

不多解释,先写个小程序:


voidfunc1(a,b,c)int a,b,c;{}void func2(a,b,c,d,e,f)int a,b,c,d,e,f;{}void func3(a,b,c,d,e,f,g,h)int a,b,c,d,e,f,g,h;{}int main(){  int a,b,c,d,e,f,g,h;​  func1(a,b,c...

			
		

	





	

		

			

				
					
x86_64及aarch64架构传参规则

				
			

			

				

					rayylee
				

				

					06-07
					
					2619
					
				

			

		

		

			
				
x86_64及aarch64架构下c语言参数传递规则

			
		

	





	

		

			

				
					
X86 32位汇编利用堆栈传递函数参数的过程

				
			

			

				

					weixin_62320071的博客
				

				

					03-12
					
					1687
					
				

			

		

		

			
				
当传递的参数较少时,还是可以用寄存器传参的,但是一旦传递的参数多了,就没办法了。主程序将入口参数压入堆栈,子程序从堆栈中取出参数;出口参数通常不使用堆栈传递。高级语言进行函数调用时提供的参数实质上也是用堆栈传递的,高级语言还利用堆栈创建局部变量。保存参数和局部变量的堆栈区域称为堆栈帧,在函数调用时建立、返回后消失。esp通常用来储存栈顶,ebp通常用来储存栈底。

			
		

	





	

		

			

				
					
C语言参数传递所使用的寄存器

				
			

			

				

					天马行空
				

				

					02-09
					
					8385
					
				

			

		

		

			
				
探索下C语言的函数是如何传递参数的,寄存器?栈?,何时使用寄存器,使用哪些寄存器,什么时候使用栈来传递参数。这是容易疑惑的地方。

用gcc编译C程序,看看C语言是如何传递参数的。同时用到了edb调试器。使用的操作系统是linux 64位。

思路是编写一个简单的函数,具有个数不同的参数。函数没有具体的意义,纯粹是为了探索C语言的函数是如何传递参数的。

函数有1个参数

// a.c
// gc...

			
		

	





	

		

			

				
					
x86_64 系统调用号 与寄存器传参

				
			

			

				

					yldfree的博客
				

				

					06-12
					
					2089
					
				

			

		

		

			
				
转载自

http://blog.rchapman.org/posts/Linux_System_Call_Table_for_x86_64/

PUBLISHED THU, NOV 29, 2012

Linux 4.7 (pulled fromgithub.com/torvalds/linuxon Jul 20 2016), x86_64


Note: 64-bit x86 uses syscall instead of interrupt 0x80. The result value wi...

			
		

	





	

		

			

				
					
x86参数传递规则

				
			

			

				

					m2o2o2d的专栏
				

				

					03-21
					
					7708
					
				

			

		

		

			
				
1.函数调用者必须在ccallee返回之后清理堆栈。
2.每个函数拥有固定数量的参数,这意味着被调用函数可以在一个地方对参数进行清理,即在被调用函数内部进行堆栈参数的清理,而不是分散在每一次调用该函数的代码中。
3.以下是调用过程:              
1)将参数从右到左压入堆栈:
参数从右到左依次压入堆栈,每次压入一个。调用者(caller)必须明确有多少Byte的参数,以便函数

			
		

	





	

		

			

				
					
系统调用时寄存器传参方法

				
			

			

				

					weixin_30423977的博客
				

				

					04-18
					
					1060
					
				

			

		

		

			
				
X86-64下有16个64位寄存器:
其中%rdi、%rsi、%rdx,%rcx、%r8、%r9用作传递函数参数,分别对应第1个参数、第2个参数直到第6个参数
如果函数的参数个数超过6个,则超过的参数直接使用栈来传递。
在被调用函数执行前,会先将寄存器中的参数压入堆栈,之后的访问会通过栈寄存器加上偏移位置来访问

Usage during syscall/function ...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值