20145316许心远《网络对抗》第一次实验拓展:shellcode注入+return-to-libc

最新推荐文章于 2020-09-15 13:53:04 发布
最新推荐文章于 2020-09-15 13:53:04 发布
阅读量167 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/xxy745214935/p/6582228.html
版权

shellcode注入实践

编写shellcode
  • 这一部分在我上一篇日志里面已经详细讲过了,这里直接把验证合适的shellcode拿过来。

  • \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

    准备工作,设置环境

    886492-20170319205148245-1404908377.png

    构造要注入的payload
  • Linux下有两种基本构造攻击buf的方法:retaddr+nop+shellcode,nop+shellcode+retaddr。因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面,要不在它后面。简单说缓冲区小就把shellcode放后边,缓冲区大就把shellcode放前边。

  • 实践证明nop+shellcode+retaddr对于pwn1不是成功的payload,但我们依然决定往这个坑里跳一下。手动微笑。

    payload结构为nop+shellcode+retaddr
    1.编写payload
    886492-20170319205206432-471123877.png

  • 特别提醒:最后一个字符千万不能是\x0a。\x0a相当于回车键,若回车了下面的操作就做不了了。

    2.打开一个新终端(终端2),将payload注入到pwn1中(此处有天坑!!!一定要仔细!!!)
  • 敲好(cat input_shellcode;cat) | ./pwn1后这里有三种状态,这三种状态中只有一种才能让接下来的实验顺利进行。
    886492-20170319205226120-1062723389.png
    886492-20170319205239198-1201160079.png
    886492-20170319205252432-1084611653.png
  • 答案就是第一种。我做实验的时候被这里坑住了很久,一切都正常但到后面查看寄存器的时候上翻了几十行就是找不到shellcode,问题就出在这里,大家在这里千万不要手滑多敲回车(到下面提示的地方再敲),要不然都得重新来过。

  • 保持终端2中程序的运行状态。

    3.终端1中查询pwn1进程的UID

    886492-20170319205306948-1409681872.png

    4.gdb调试,进入对应UID端口

    886492-20170319205330291-1248463836.png

    5.反汇编,设置断点
    886492-20170319205343620-1732965943.png

  • 注意:continue执行的时候,在终端2敲一下回车,终端1中的continue暂停在断点处。

    6.往上查询找到shellcode,同时找到要覆盖的地址
    886492-20170319205428620-1501841591.png

  • 要覆盖的地址(返回地址)是0xffffd300

    7.更改payload,测试,不成功

  • 0xffffd300替换0x01020304
    886492-20170319205509323-1889898140.png

    payload结构为retaddr+nop+shellcode
  • 重新构造payload
    886492-20170319205554682-1302127077.png

  • 成功
    886492-20170319205618088-1177029893.png

    return-to-libc实验

    配置32位linux环境
  • sudo apt-get update
  • sudo apt-get install lib32z1 libc6-dev-i386

  • sudo apt-get install lib32readline-gplv2-dev

    添加新用户

  • 因为我们最后的是要通过看“是否取得root权限”来判断成功与否的,所以攻击对象不能是root用户,要创建一个新用户。
    886492-20170327140303248-170102741.png

    设置实验背景

  • 进入32位环境,关闭地址随机化,设置zsh程序代替/bin/bash
    886492-20170327140318608-51809285.png

    在/tmp文件夹下编写漏洞程序retlib
    886492-20170327140337498-1615819178.png

  • 在root用户下编译,关闭栈保护机制。设置SET-UID
    886492-20170327140348998-41467862.png

    在/tmp文件夹下编写getenvaddr和exploit
  • getenvaddr用来读取环境变量
    886492-20170327140405733-533570.png
  • exploit用来攻击
    886492-20170327140416654-866631725.png

  • 同样是在root用户下编译
    886492-20170327140427076-923187042.png
    886492-20170327140436639-1828976434.png

    获取地址并修改exploit
  • 获取BIN_SH地址
    886492-20170327140450748-469766932.png
  • 进入gdb设置断点,调试运行获取system和exit地址
    886492-20170327140501748-1054925702.png
  • 将上述三个地址修改入exploit.c文件
    886492-20170327140514420-1723218149.png

  • 删除之前生成的exploit和badfile(我的exploit因为有权限无法命令行删除,索性直接在places下面的图形化界面tmp文件夹里手动删除)
    886492-20170327140530451-1426909986.png

    攻击,成功

  • 先运行exploit再运行retlib即可获得root权限,成功!
    886492-20170327140547342-878116474.png

转载于:https://www.cnblogs.com/xxy745214935/p/6582228.html

weixin_30532369
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20145316许心《信息安全系统设计基础》第一周学习总结
weixin_30275415的博客
09-18 100
20145316许心 《信息安全系统设计基础》第1周学习总结 教材学习内容总结 Linux核心命令 Linux中命令格式为:command [options] [arguments] []表示是可选的,即组成结构为:命令 [选项] [参数] Ubuntu下常用快捷键 Alt+数字N: 终端中切换到第N个标签页 Alt+Backspace: 向前删除一个单词 Ctrl+Alt+T: 打开终端 Ct...
20145316许心网络对抗》EXP8 Web基础
weixin_30768175的博客
05-03 116
实验后回答问题 什么是表单 来自百度百科的官方定义:表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用...
20145316许心《Java学习笔记(第8版)》课程总结
weixin_30765475的博客
06-19 154
20145316许心《Java学习笔记(第8版)》课程总结 每周读书笔记链接汇总 ▪ 第一周读书笔记 ▪ 第二周读书笔记 ▪ 第三周读书笔记 ▪ 第四周读书笔记 ▪ 第五周读书笔记 ▪ 第六周读书笔记 ▪ 第七周读书笔记 ▪ 第八周读书笔记 ▪ 第九周读书笔记 ▪ 第十周读书笔记 实验报告链接汇总 ▪ 实验一:Java开发环境的熟悉(Windows + IDEA) ▪ 实验二 Java面向对象程...
CTF中的PWN——无安全防护(栈溢出)
壊壊的诱惑你的博客
09-20 2494
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTF中PWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
20145320《网络对抗注入Shellcode并执行
weixin_30709929的博客
03-12 161
20145320注入Shellcode并执行 准备一段Shellcode 首先先准备一段C语言代码:这段代码其实和我们的shell功能基本一样 为了之后能够看到反汇编的结果,这次采用的静态编译。正常返回shell。 经过一系列的工作我们可以得到这段注入shellcode代码的反汇编结果(这些代码可以在网上下载,这里感谢一下许心同学) \x31\xc0\x50\x68\x2f\x2f\x73...
栈溢出攻击1——注入shellcode指令拿到shell
学习记录
09-15 2048
  在IDA的Function name这一栏里面,如下图所示,没有发现后门函数,说明这道题目需要自己写shellcode来拿到shell权限。 查看sub_80484E9函数的伪代码,如下所示。 int sub_80484E9() { char v1; // [esp+0h] [ebp-28h] puts("Could I know your name?"); myRead((int)&unk_804A060, 32); printf("Hi, %s.\n", &unk
2018-2019-2 《网络对抗技术》Exp1 PC平台逆向破解 20165222
weixin_30633949的博客
03-16 100
Exp1 PC平台逆向破解 1,掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 NOP:空指令,作用就是直接跳到下一指令。机器码为:90。 JNE:判断0标志位,不等于0跳转。机器码为:75。 JE:判断0标志位,等于0跳转。机器码为:74。 JMP:无条件跳转。机器码为:eb。 CMP:比较后面两个值,即第一个减第二个,只影响标志位。机器码为:83。...
栈溢出
每昔的博客
07-27 675
漏洞原理:         栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。若输入足够多的、精心挑选的字符,将改写函数的返回地址(也可以是jmp、call指令的跳转地址),由此获取对CPU的控制,从而执行任何任意操作。 实验环境:Ubuntu16.0、gdb 漏洞程序: #include <stdio.h> ...
CTF training WriteUp
a370793934的专栏
11-26 9471
三周练习和三周考试的writeup 第一周练习 跨站脚本攻击 (XSS) 随便输下面语句 <SCRIPT>alert('XSS')</SCRIPT> <IMG SRC="#" ONERROR="alert('XSS')"/> <INPUT TYPE="BUTTON" ONCLICK="alert('XSS')"/> <IFRAME...
这叫牌楼
Monster_li57的专栏
10-05 518
\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80\x31\xc0\xb0\x01\x31\xdb\xcd\x80
20145327《网络对抗》——注入shellcode并执行和Return-to-libc攻击深入
dengnaxun1606的博客
03-12 320
20145327《网络对抗》——注入shellcode并执行 准备一段Shellcode 老师的shellcode:\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00 设置堆栈可执行 关闭地...
一个简单的 shellcode pwn题 广西首届网络安全选拔赛
qq_41071646的博客
06-05 760
这个题 唯一的难点就是 shellcode 的 只是给了 0x14的大小 本来这个题 不打算发博客 但是有小姐姐看 ~~~ 就写一篇发上来把 然后我们看一下 程序的大概内容 {说一个很沙雕的事情 由于这个程序的特殊性 f5没有办法 看出来 然后 负责人这个b心情又不好 然后我把这个程序的 call eax 搞成nop f5 一把梭 } 23333 所以 ...
20145324王嘉澜 《网络对抗》进阶实践之 shellcode注入Return-to-libc攻击深入
weixin_30451709的博客
03-09 95
Shellcode注入Shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode的地址 •实验参考 •实践过程 •生成shellcode(本次使用老师的shellcode) •运行编译 •首先安装execstack这个指令 •设置环境 参数“2”表示开启,参数“0”表示关闭 •构造要注...
黑客编程之初识ShellCode技术
黑客编程技术博文
02-19 1646
什么是shellcode: 1996年,Aleph One在Underground发表了著名论文《SMASHING THE STACK FOR FUN AND PROFIT》,其中详细描述了Linux系统中栈的结构和如何利用基于栈的缓冲区溢出。在这篇具有划时代意义的论文中,Aleph One演示了如何向进程中植入一段用于获得shell的代码,并在论文中称这段被植入进程的代码为“shellcode”...
Shellcode攻击实验
Atlas2013的专栏
10-18 3631
首先,先要知道什么是shellcodeShellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。详见维基百科shellcode介绍:http://en.wikipedia.org/wiki/Shellcode
shellcode弹出对话框
Linux方程式
11-11 3063
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
黑客攻防入门(三)shellcode进阶
不断攀登
07-31 4277
1. 概说实际上,编写shellcode面昨很多障碍和限制,很多时候必须忍受没有办法解决问题的痛苦。2. 问题首先,在缓冲区里使用植入shellcode,代码里只能出现一个NULL(0)字符,因为所有的输入函数,只要检测到NULL字符就会返回,因此,NULL只能够出现在shellcode的结尾处,否则,shellcode将会变得不完整。其次,缓冲区的大小,大部分的缓冲区都是一个很小的空间,如8字节,
CTF-PWN练习之执行Shellcode
WateranFire的博客
09-19 2982
Shellcode 的执行可以通过制造溢出修改函数的返回地址,转为执行Shellcode 将python文件的输出导入文件test: python xxx.py > test 在gdb中将test 的内容作为输入并运行程序至断点处: r 将test文件的内容作为xxx程序的输入,执行xxx程序: ./xxx
20145316 许心《信息安全系统设计基础》第六周学习总结
weixin_30700977的博客
10-23 107
20145316 《信息安全系统设计基础》第六周学习总结 教材学习内容总结 第四章 处理器体系结构 4.1 Y86指令集体系结构 Y86是ISA的一个子集 可见状态: 寄存器、存储器、条件码、PC、程序状态。 寄存器:8个,每一个寄存器可以存储一个字,也就是一个32位二进制。 条件码:一个一位二进制的寄存器,保存着最近的算术或逻辑运算所造成的影响的信息。 PC:程序计数器,记录当前正在执行的指令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值