攻防世界--- PWN学习笔记

最新推荐文章于 2023-03-12 22:01:20 发布
最新推荐文章于 2023-03-12 22:01:20 发布
阅读量413 收藏 8
点赞数
文章标签: pwn markdown
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/121692369
版权

PWN学习笔记

一,栈介绍

栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时候从栈顶开始弹出数据(最后一个数据被第一个读出来),是一种特殊的线性表。栈的操作常用的有进栈(PUSH),出栈(POP),还有常用的标识栈顶和栈底。

进栈(PUSH):将一个数据放入栈里叫进栈(PUSH)

出栈(POP):将一个数据从栈里取出叫出栈(POP)

栈顶:常用寄存器ESP,ESP是栈指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶。

栈底:常用寄存器EBP,EBP是基址指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的底部。

二,栈溢出

1. 汇编层面的函数调用过程:

每个函数的每次调用,都有它自己独立的一个栈帧,这个栈帧中维持着所需要的各种信息。寄存器ebp指向当前的栈帧的底部(高地址),寄存器esp指向当前的栈帧的顶部(低地址)。

img

  1. 栈溢出:用户书写的字符长度超出了这个变量本身的字符长度导致缓冲区溢出而使得有用的存储单元被改写,向这些单元写入任意的数据,一般只会导致程序崩溃之类的事故,但如果向这些单元写入的是精心准备好的数据,就可以使得我们数据代替原代码执行程序,致使我们希望的代码被执行。

    三,常见函数

img

四,文件信息

  1. 查看文件信息:file

    1. 查看文件程序:checksec

      Arch 文件属性

      RELEO 绑定动态符号减少对GOT 攻击

      Stack canary stack保护

      NX 不可执行

      PIE 地址随机化

  2. 产看文件头信息:readelf-h

  3. 运行: run

  4. 选择文件:gdb

  5. 查看栈数据:stack

  6. 查看字符串所在位置:search‘字符串’

五,ROP

1.定义:(百度)ROP全称为Return-oriented Programming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。

2.ROP攻击防范:ROP攻击的程序主要使用栈溢出的漏洞进而达到攻击劫持的目的。

六,堆

1. 定义:

​ 数据运行时的需要进行分配和释放的内存。(大小可变)

2.chunk(内存块的结构)

  • chunk start:chunk的起始地址

  • size :chunk的大小

  • memory:malloc等函数返回给用户的chunk数据指针

3.glbic(堆管理)

  • arena:指的是堆内存区域本生,并非结构。
  • malloc_state:管理堆的状态,信息,bins链表

4,bins

  • 用来管理空闲的内存块,通常使用链表结构来进行0管理

七,Glibc Heap

  1. 内存分配分为:动态分配和静态分配。
  2. ptmalloc数据结构
  3. malloc/free概述

八, 格式化字符串

  1. 概念:是在编程过程中,允许编码人员通过特殊的占位符,将相关对应的信息整合或提取的规则字符串。

  2. 格式化字符串分为格式化输入和格式化输出。

  3. 常见的格式化字符串常数:printf fprintf …

  4. 格式化字符串漏洞 概述 用户可通过控制格式化字符串实现读取内存,修改内存值(利用%n实现对指定内存地址的写入),应发程序崩溃。

九,PLT和GOT表

  1. linux编译过程:预处理,编译,汇编,链接

  2. 动态编译和静态编译

    ​ 动态编译特点:避免了空间的浪费,但动态编译的效率低于静态编译。

  3. GOT表:表中存储的是真实的地址,七字段需要动态修改,是可写的

  4. 库函数:stdio,ctype, string等

十,常见指令

  1. 查看文件:file 文件名
  2. 检查文件:checksec --file=文件名
  3. 运行文件:./文件名

十一, exp脚本

  • from pwn import* 导入函数库(运用pwn 工具)
  • context() 方便找错
  • def main () 主函数
  • hcj=remote(” “) 远程
  • payload= 输出数据
  • hcj.recvuntil(” “) 接受到哪
  • hcj. sendlineafter(" ",) 执行到哪一句话发送一条数据
  • hcj.sendline(" ") 发送一条数据
  • hcj.interactive() 接受

补充:gets 函数必是漏洞

参考列表:

https://blog.csdn.net/weixin_43847969/article/details/104390904?spm=1001.2014.3001.5506

https://blog.csdn.net/qq_41988448/article/details/103124339?spm=1001.2014.3001.5506

其余部分资料参考自互联网

hcjtn
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界 pwnstack writeup
m0_73605862的博客
05-30 850
Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762。Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
攻防世界pwn难度1
weixin_63282980的博客
11-05 1625
攻防世界难度1的题目WP
攻防世界pwn——stack2
qq_62076255的博客
12-18 580
攻防世界pwn——stack2做题记录
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1344
pwn新手一枚,做这题时苦苦没找出来题解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
[BUUCTF-pwn] jarvisoj_xwork
weixin_52640415的博客
10-31 178
练习记录 一道静态编译的堆栈题。把堆和栈的两个知识点加到一起 概况: 静态编译,一般这种情况有syscall和int 0x80,可以用rop或者shellcode(需要rwx段,这题没有) PIE未开,可以很容易控制指针 删除符号表,这个比较烦人,根据情况自己命名,还是是菜单题比较容易找无非就是add,free,edit,show,read,atoi之类 free很直接留着指针,add只能写31字节10次,还有edit似乎很容易解决 先大概把容易明白的函数命个名,逐个把菜单看看,有个UAF。但没
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
攻防世界-pwnCTFM-Off_By_one漏洞与Tcachebin绕过
aptx4869_li的博客
11-19 1319
攻防世界-pwnCTFM-Off_By_one漏洞与Tcachebin绕过
pwn学习(四)
qq_37439229的博客
10-04 245
今天复现了gactf的simulator,lc3的的汇编感觉和mips满像的 pwn方面看了brop,感觉只有盲打有用,感觉对一个re手并不需要,算了就当看看吧 在刷题上,位只能说今天做的三道题都和格式化字符串有关,我都不会(好菜阿),但是学到了很多,不得不说格式化字符串好不熟练阿。。。。 others_baby_stack from pwn import * p = remote('node3.buuoj.cn',28992) #p = process('./main') elf = ELF('./mai
buuctf pwn(9~12)
cainiao78777的博客
12-22 226
14但是这样是打不通的两个payload我都调试了一下发现,这个数组的每一个下表对应的区域是一个地址,所以需要借助一下这个p32打包成32位的这样发送出去。
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2036
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3768
攻防世界-Pwn-new-easypwn
攻防世界pwn题--stack2
L0g1c的博客
10-31 497
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1348
学习pwn开始,慢慢来不要急
攻防世界pwn高手区stack2 lea调整栈帧导致偏移错误
Gtooler的博客
10-14 1722
Stack2 这题废话很多,说白了就一个数组越界的漏洞可以利用,没有对下标v5做限定,所以可以利用数组越界,直接越过canary,利用留下的后门getshell 刚开始看ida以为位移是0x74所以exp如下 from pwn import * p = remote('111.200.241.244', '50928') # p = process("./stack2") # context.log_level = 'debug' hackhere = [0x9b, 0x85, 0x04, 0x08
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值