学了这么久的汇编,第一次做出pwn的题,签到题不算
题目
这里根据题目信息我们先nc一下
注意到题目所带的stack文件,我们可以用
工具去查壳
观察上面的信息,就是说这个文件是Ubuntu下的32位文件
我们也可以用Linux的checksec工具检查
Rech
判断是32还是64位
RELRO
Partial (部分)RELRO容易受到攻击
查阅一下:
RELRO(ReLocation Read-Only)机制的提出就是为了解决延迟绑定的安全问题,它最初于2004年由Redhat的工程师Jakub Jelínek实现,它将符号重定向表设置为只读,或者在程序启动时就解析并绑定所有动态符号,从而避免GOT上的地址被篡改
Stack
No canary found没有防溢出(没有栈堆保护)
NX
NX enabled如果这个保护开启就是意味着栈中数据没有执行权限,如此一来,当攻击者在堆栈上部署自己的shellcode并触发时,这会直接造成程序的崩溃,但是可以利用rop这种方法绕过
PIE
Linux 平台下还有地址空间分布随机化(ASLR)的机制。简单来说即使可执行文件开启了 PIE 保护,还需要系统开启 ASLR 才会真正打乱基址,否则程序运行时依旧会在加载一个固定的基址上(不过和 No PIE 时基址不同)。
而这里是No PIE,没有这个保护
我们将这个运行文件拖入IDA,因为IDA分为32和64位
32位的就对应32位的IDA
这就是我们nc所运行的文件
这里我已经用F5进行了反汇编,转换成C语言
首先我们先阅读主函数
C语言从主函数进入
setvbuf()函数相当于对文件流的规定,对文件进行操作,需要将磁盘中的文件写入内存中,相应的会在内存区建立一个缓存区用于与磁盘交换数据。这里我们先不必理会
看到左侧
pwnme这个函数其实已经是个提示了
我们看看
这里有个fgets函数,我们看看
这个函数啥意思:
fgets()相当于对数组s,从stdin文件中输入50个字节
但在pwnne函数中char s的定义是9个字节
也就是溢出了
所以这道题,就是栈的溢出问题
利用栈溢出,覆盖地址,去我们想要执行函数的地址,从而绕过一些操作
利用方式:覆盖程序的返回地址为攻击者所控制的地址,比如该地址为执行shellcode的地址shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,可以让攻击者获得shell,利用pwntools可自动生成
点击char s[9]
我们看到
这部分是s[9]的地址
如果看不懂,建议学习汇编语言后再来看
注意在+0000004处,就是s下面有一个r,这个r就是ret(Push, Pop, call, leave 和 Ret 指令图解)我们可以通过输入9字节占满s的大小,然后+4覆盖ret,让其返回到我们想要到的地方(轻则破坏程序,重则得到shell)
这里就是用了栈的溢出
所以我们要利用这个返回值,去执行我们想要执行的函数
观察
从StringWindows我们看到了/bin/sh
我们点击这里就会查看到
/bin/sh这里涉及到Linux的命令
由地址我们可以看到
system函数在之前的复现的题目中有,这里不做解释
查阅一下:
/bin/sh 只是为了符合 POSIX 订定的接口
POSIX:可移植操作系统接口(Portable Operating System Interface of UNIX,缩写为 POSIX )
也是就执行了这个命令,对于上述stack这个文件,我们就可以执行Linux系统的一些命令,从而得到我们想要的信息,也就是拿到控制权
注意到stack的执行的地址0804850F
然后我们写脚本
进行编写exp(exploit漏洞利用)
这里我是在Windos中VC写好py
再把py放到kali中用py运行
这里学习的别人写的脚本
然后我们运行这个文件
然后用ls就可以看到此运行程序下的文件
其中有个flag
我们用cat命令打开
成功拿到了flag
从这道中,初步理解了,栈的溢出是怎么回事,以及pwn又到底是怎么做题的
扫一扫
5358
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
