【淘汰】学pwn自闭记0x0000

最新推荐文章于 2022-04-26 22:50:11 发布
最新推荐文章于 2022-04-26 22:50:11 发布
阅读量217 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/black_carrot/article/details/89113280
版权

printf(&s);

pwn搞了不知道多久都没搞定 一题,趋向自闭却永不自闭

首先想传递16进制的任意值过去就不能用简单的字符输入

因此使用python的pwntools的remote连接然后使用send相关函数将需要的字符以转义字符"\x00"的形式进行传输

–(转义字符的翻译,是由编译器进行的,因此不能直接向题目输入转义字符,题目中的处理编译器可不参与了!)

原本靠gdb调试观察堆栈内容,试图覆盖某函数的返回地址到getShell()但是莫名其妙的失败

目标地址在使用%hp输出时就是正确的目标地址,改为%hn后却失败了,???

好在有大哥提醒我,可以使用pwntools中的gdb模块调试,极好的

简单的使用process函数打开“./fsb”失败了

问题在于新打开了一个terminal,地址环境变了,所以gdb找不到:“./fsb”

好,那么想到两个方法:
1.将文件移动到根目录
2.网上查到的,可以利用context对象配置此时的terminal的环境变量

第二个方法如下(来自:http://brieflyx.me/2015/python-module/pwntools-advanced/):

s = process('./pwnme')
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
gdb.attach(proc.pidof(s)[0])

好,结果两个方法都失败了…不过发现gdb.debug可以直接打开文件,但是哪怕这样打开了,我也无法向文件发送我所需要的16进制值…

在看雪的帮助下发现了问题的本源,
https://bbs.pediy.com/thread-247347.htm

在attach的时候程序是会运行下去的,所以需要保证程序没有关闭,因此可以在attach后使用interactive函数,gdb就能正常读到程序了!

终于,我知道了怎么用pwntool调试程序…

好,那么继续,看看到底出了什么问题

首先说明我的思路,由于这道题的源程序中由getShell函数,所以只需要我使用printf(&s)漏洞将eip跳转到getShell就可以了,策略是使用格式化字符%n对堆栈的内容进行改写。具体我的选择是将作者自定义的一个大函数echo的返回地址覆盖为getShell的函数起始地址,该函数没有参数,因此这个题确实非常基础了,可我还是搞了好久!

gdb调试发现,目标地址已经成功存入eax,但是程序在:

mov word ptr [eax],bx

此处报错:SIGSEGV//段错误

emmm

?,我又发现了错误

问题在于esp和ebp,也就是堆栈的框架并不是固定的,在内存中的位置是随机的,也就是说,我之前所记录到的目标地址,是无效的

因此我对这个假的“目标地址”写内容,就有可能(我碰到的是全部)产生段错误

既然地址无法直接得到,那么我们至少可以先确认偏移地址,
在进入printf函数前,ebp-esp的值一定是固定的。

啊喂

直接使用%#xn难道不行吗,通过偏移来找到目标位置,然后写入需要的东西
yes!

这次应该可以成功了

–{fmtstr_payload函数:例子->fmtstr_payload(4,{a:b})//其中,4代表%4$n就是说第4个参数来到我们输入的payload,一般要通过自己测试才能确定这个偏移值
}
–{checksec函数:这个不是函数了,是一个工具,可以用来确定这个elf程序的安全措施,比如看能不能shellcode或者有没有开内存随机}

测试:
yes尼玛
%135$p的确可以直接输出那个返回地址,但是%n只能修改这个返回地址处的代码,而指向的地方main函数,根本不可写!!

行吧,我认了,可能我一开始的思路就是错的

覆盖返回地址可能没那么简单,那就看看能不能hijackGOT吧

checksec;发现堆栈没有执行权限,好的shellcode方法没了
没有启用内存随机化,那么GOT表可以一试

读取一下程序的got表

objdump -R xxx

获得和其中的got表,啊真实nice

记puts的got地址为puts_got

这不就结束了么?

使用payload将puts_got的内容修改为getshell的入口地址就好了…

以下为pwn脚本(所有6都是随便填充的):

from pwn import *
puts_got=0x66666666
getshell_addr=0x66666666
io=remote("6.6.6.6",6)
io.sendline(fmtstr_payload(4,{puts_got:getshell_addr}))
io.interactive()

已经getshell了;

另外附如何手写payload:
参考这篇文章,非常nice~
http://codearcana.com/posts/2013/05/02/introduction-to-format-string-exploits.html

insomni@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN栈溢出段错误的坑
kelxLZ的博客
03-30 437
Author:ZERO-A-ONE Date:2021-03-30 一、开头 相信很多PWNer/Biner在写EXP的时候都会遇上一个令人很抓狂的问题,就是自己明明在GDB里面调试得出的地址,经过自己十分精确的计算,一阵猛写EXP,打!然后进过一连串的跳动的命令行后,激动的开始准备夺取shell,然后,然后,segment fault(code dump),哦豁段错误,GG 这个是因为什么问题呢,其本质是因为正常程序运行时,会将环境变量字符串数组和命令行参数字符串数组存放在栈顶,而程序使用的局部变量等.
pwn所感(溢出)(后序更新)
weixin_43342135的博客
08-10 203
做题思路: 1.先将文件放进Linux下,然后file 文件查看文件是动态的链接,还是静态的链接;是64位,还是32位的。 2.然后查看程序的保护措施:checksec+文件名 NX是文件堆栈不可执行,Stack是栈溢出保护 3.然后运用相应位数的ida,(特别注意可能存在ida版本型号的不对,无法打开文件的问题),对程序反编译,先查找关键的字符串,然后再对程序运用f5反编译主函数,找到可以利用的...
DASCTF 7月部分pwn
starssgo的博客
07-25 1535
做了pwn1跟pwn3,pwn2没做出来(俺是废物)… pwn1 签到题,但是我们要住 .text:080485F8 mov eax, 0 .text:080485FD mov ecx, [ebp+var_4] .text:08048600 leave .text:08048601 lea esp, [ecx-4] .text:08048604
i春秋新春战役PWN之signin(calloc不从tcache里取chunk)
seaaseesa的博客
02-26 1378
Signin(calloc不从tcache里取chunk) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,存在一个后门函数,要执行后面函数,需要ptr不为0 Delete功能没有清空指针 Edit功能存在UAF漏洞,但edit功能只能使用一次 测试出题目给我们的glibc版本为2.29,存在tcahce机制。 由于edit功能只用一次。同时,我们注...
PWN习总结(不断完善中)(有道云笔
tbsqigongzi的博客
04-26 3405
习路线 pwn一些概念理解 王爽汇编习笔 DOS-BOX及编译工具–百度网盘 提取码: ajba linux知识习(CTF主要考察linux环境下的漏洞利用)—菜鸟教程 nala包管理命令(个人感觉比apt好用) python知识习(写exp用)----菜鸟教程 gcc编译过程(了解一下) vim用法(好难,正在) pacvim游戏 ctf-wiki-pwn漏洞利用总结图 刷题网站 BUUCTF BUUCTF—libc源码 攻防世界 pwn环境搭建 借用另一个博主的pwn环境配置文章 再加上几个
2018 10 13 pwn习0x4 没有缓冲区溢出和护网杯的pwn签到题目
startr4ck
10-13 435
今天所遇到的题目都是判断变量放在内存当中 我们可以使用覆盖来对判断变量进行改变  当覆盖到变量之后 就可以实现我们想要的跳转 我们要覆盖v5的数值为11.28125 ,点看读进去的buf的地址 和v5的地址   发现相差 是0x20的大小所以直接发送'a'*20+(11.28215za在内存当中的数值)但是如何得到这个数在内存当中的数值呢 我们在汇编代码当中看 进去之后看到了数值...
2018 10 11 pwn习0x2 gets函数和fgets函数 ,新的参数传递方式
startr4ck
10-11 1466
还是一一样的没有binsh字符串 所以我们需要继续读取字符串到内存当中  在id中寻找函数 发现并没有我们想要的提权函数 我们可以尝试着搜索gadgets去寻找我们想要找到的 看到有汇编代码   mov dword ptr[edi],ebp 和 pop edi ebp pop edi ebp 后面就跟参数edi 放地址,ebp放数值。 就可以将ebp的数值放在edi位置上   直接利...
pwnpwn(栈习)(随缘更新)
woodwhale的博客
08-04 5400
pwnpwn(持续更新) 前言 从8.2开始系统性pwn,在此之前,习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。 文章中的部分图片来自于教视频 习视频链接:XMCVE 2020 CTF Pwn入门课程、【星盟安全】PWN系列教程(持续更新) 习文章链接: CTF Wiki elf文件 未初始化的全局变量glb,编译出来在内存中bss中 初始化的全局变量str(没有被修改过),编译出来在内存中data 而hello world在text段中 main和sum
pwn ctf 入门 0x05
爱党人士
07-14 526
CTF-PWN pwn 基于二进制的漏洞挖掘与利用 基于漏洞的利用脚本 基于流量的复现脚本 能力分析 汇编代码逆向分析能力 程序内存分布 栈结构 堆结构 函数调用的流程(逆向的角度) 内存保护机制 汇编到c 自己去点逆向去, 不然后面是看不懂的。 掌握汇编 崩不崩溃? 哈哈 pwn特点: 入门难,进阶难,精通难。 再了解一波结构。 64位的与32位的不同, 而很多人的都是16位...
pwnpwn(堆结构习)(随缘更新)
woodwhale的博客
08-20 4713
pwnpwn(堆结构习) 1、什么是堆? 堆是下图中绿色的部分,而它上面的橙色部分则是堆管理器 我们都知道栈的从高内存向低内存扩展的,而堆是相反的,它是由低内存向高内存扩展的 堆管理器的作用,充当一个中间人的作用。管理从操作系统中申请来的物理内存,如果有用户需要,就提供给他。 2、了解堆管理器 注意:linux使用glibc 这里有两种申请内存的系统调用: brk mmap 第一种brk,是将heap下方的data段(bss属于data段),向上扩展申请的内存。 第二种mmap,其实下
gdb调试命令及案例分析
01-11
收集的一些GDB调试命令以及一些案例分析,相当实用,
函数栈溢出引起的段错误segmentation fault
xiao2macf的专栏
04-13 4108
上个月遇到了一个奇怪的问题: 有一个回调函数中发生了段错误,但经检查也没有什么明显的错误,然后用排除法一点一点屏蔽,最后定位在一个函数里出错,但这个函数没什么明显错误。最后把入口参数改为引用传递就不报错误。  但隔了一段时间这个函数又报错了,原因是我加一行代码,但这行代码就是一个赋值语句;于是我不甘心,又开始排除法,最后定位到一个变量,加上它报错,不加就不报错;我一直怀疑是不是linux对一个
buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号
carol2358的博客
08-14 593
ciscn_2019_final_5 有趣的题目 涉及位级操作 漏洞的关键是index为16时,二进制为1 0000 edit 他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问题是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了 这题很明显是要你改got表 没有show,就把free改成puts来泄漏 exp: from pwn import * from LibcSearcher import ...
浅析段错误和栈溢出
三毛创作记
04-22 1324
什么段   我们在习微机原理的时候就遇到过段,它代表在一个可执行文件中各种的类型信息存放的地方。   正文段:text用于存储指令;   数据段:data用于存储已初始化的全局变量;   bss段:用来存放程序中未初始化或者初始化为0的全局变量和静态变量;   堆栈段:stack和其他段一样有着自己的大小,一旦越界同样会爆段错误。它是在运行时,程序动态创建的一个堆栈段,放着调用栈,保存着函数调用...
pwn远程打通本地打不通的“玄“问题解释
fa1c4的blog
09-30 2462
前言 速刷buu pwn题的时候碰到的问题, 本来配置了16/18/20三个版本虚拟机, 加上pwndocker, 基本可以涵盖各个版本环境的需求, 不过做到一个栈的题的时候发现出现了本地打不通, 远程能通的情况, 本来以为是个人的玄体质导致的玄bug, 搜索了解释, 才发现是另一回事 问题 查看本地glibc环境, 结果选择正确的glibc版本, 依然打不通本地 解决 参考 https://blog.csdn.net/fjh1997/article/details/107695261 得知glib
[授权发表]Linux 段错误详解
05-21 3176
笔者早年写过一篇:《可恶的"Segmentation faults"之初级总结篇》,网络转载甚多。多年下来,关于段错误的讨论依旧很热烈,该问题也还是很常见。所以打算在这里再系统地梳理一下该问题的来龙去脉。
Python Pwntool Gdb Debug
weixin_30588907的博客
06-11 365
from pwn import *context.log_level = 'debug'context.terminal = ['gnome-terminal','-x','sh','-c']if args.GDB: return gdb.debug([exe.path] + argv, gdbscript=gdbscript, *a, **kw)else: return proces...
英飞凌TC264PWN
最新发布
10-18
好的,关于英飞凌TC264PWN,我可以给你一些指导。 首先,PWN是指利用程序漏洞进行攻击的技术,通常用于渗透测试和漏洞挖掘。而英飞凌TC264是一款基于ARM Cortex-M4内核的微控制器,它的安全性取决于程序的编写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值