pwn学习(1)

最新推荐文章于 2024-02-05 18:05:34 发布
最新推荐文章于 2024-02-05 18:05:34 发布
阅读量338 收藏
点赞数
文章标签: 网络 shell python
原文链接:http://www.cnblogs.com/strayboy/p/10768461.html
版权

0x00 简介

入职之后,公司发布任务主搞pwn和re方向,re之前还有一定的了解,pwn我可真是个弟弟,百度了一番找到了蒸米大佬的帖子,现在开始学习。

0x01 保护方式

  1. NX (DEP):堆栈不可执行

  2. ASLR:内存地址随机化,在linux和pie相结合,aslr是系统是否开启,有0.1.2三个等级,而pie是程序自身是否开启,两者共同作用有不同的效果,如下图。

1670803-20190425145646390-1002875025.png

  1. Canary(GS):栈保护,栈被溢出时,会触发异常

  2. RELRO:GOT不可更改

0x02 栈溢出

  • 额外说一句,gcc如何对各种保护的开关

    • -fno-stack-protector:关闭堆栈不可执行
    • -z execstack:关闭canary

  • 系统关闭 ASLR:echo 0 > /proc/sys/kernel/randomize_va_space

  • 蒸米大佬测试溢出点用的是patterm.py 这个工具我没用过,我用的是cyclic

    • 生成有序字符串

      1670803-20190425145653236-135897537.png

    • 寻找到内存出错的地址后,寻找返回地址偏移

      1670803-20190425145708090-1497593918.png

    • 计算出返回地址的覆盖偏移之后,构造 ‘A’ + ret_addr 即可让程序跳转到我们想返回的地址了

    • 测试程序没有开启NX,所以直接可以在堆栈上执行代码

    • pwntools提供的函数 shellcraft.sh()可以直接生成一段shellcode

      • 提示:默认的模式为x86,x64的需要更改模式context.arch = 'amd64'
      • 想知道生成的shellcode汇编指令是啥,可以利用disasm(asm(shellcraft.sh()))查看

  • 开启 core dump功能

    • sudo sh -c 'echo "/tmp/core.%t" > /proc/sys/kernel/core_pattern'
    • 开启之后,当出现内存错误的时候,系统会生成一个core dump文件在tmp目录下。然后再用gdb查看core文件就可以获得buff的真正地址

  • 首先运行程序,输入一串溢出的字符,程序崩溃后,在/tmp文件夹生成core文件

  • 使用命令 gdb ./test /tmp/core.123123123,之后 gdb会显示崩溃的 EIP ,知道溢出点的偏移(140),再加上四个字节的ret地址,可以计算buff的地址为 $esp-144 x/10s $esp - 144,得到buff地址之后,开始写 exp

  • from own import * #使用pwntools工具库

p = process('./test')#本地测试
#p = remote('127.0.0.1',9999)#远程测试
ret = 0xXXXXXXXX
shellcode = asm(shellcraft.sh())

payload = shellcode + 'a' * (140 - len(shellcode)) + p32(ret)

#发送payload
p.send(payload)
#开启交互shell
p.interactive()

  • 将程序作为一个服务绑定到某个端口上

    • socat TCP4-LISTEN:10001,fork EXEC:./test

0x03 ret2libc PASS NX

  • 现在将程序的NX保护开启,依然关闭canary 和 aslr
  • 此时堆栈不可执行,上一个poc无法getsehll
  • 程序运行时会加载libc.so 文件,而这个文件中肯定有system和/bin/sh的
  • 如果关掉了aslr,system在内存中的地址是不会变化的,我们只要知道这两个地址就可getsehll
  • gdb调试起来,先在main函数下断点,系统才会将libc.so加载到内存中
  • 然后 print system 打印出system函数地址
  • 找到字符串 find 0xlibcstart ,+libcsize,"/bin/sh"
  • 写exp
    • 注意payload的构造 [padding] + [system_addr] + [junk] + [bin_addr]

0x04 ROP PASS DEP && ASLR

  • 开启系统的 ASLR ,此时你会发现上一个exp失去作用

    • echo 2 > /proc/sys/kernel/randomize_va_space

  • 原因是 ASLR 开启后,libc.so 每次加载的地址都不同了,寻找的system和binsh地址自然不对,所以失败

  • 查看程序内存空间布局可以通过 gdb 调试程序然后 vmmap 或者 info proc mappings,也可以 直接运行程序,找到pid cat /proc/[pid]/maps或者ldd (ldd我并没有测试)

  • 思路:首先泄露出一个函数真正的地址,然后根据偏移算出system函数和binsh的地址

  • 如何泄露出函数的地址呢?第一次覆盖返回地址为 write@plt 再给上 write@got 的地址,打印出libc中write的地址之后,因为libc中几个函数的相对偏移是不变的,就可以得到system的地址了

  • 打印出函数地址之后,将 eip 重新指向 函数开始 这次将返回地址覆盖为 system函数的地址 并构造好参数 即可getsehll

0x05 总结

  • rop初级用法 ,只能突破aslr和nx保护,接下来还要继续学习。

参考文章

转载于:https://www.cnblogs.com/strayboy/p/10768461.html

weixin_33979745
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
一步一步学ROP之linux_x86篇
AliMobileSecurity的博客
07-06 5627
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始。
PWN学习目录(持续更新)
山楂的博客
03-09 5836
一些PWN入门的学习资料
CTF比赛 二进制 PWN方向入门:基础知识点精讲
最新发布
qq_62564422的博客
02-05 1463
称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态。这些参数仍会保存在调用函数(caller)的函数状态内,之后压入栈内的数据都会作为被调用函数(callee)的函数状态来保存。再将当前的ebp 寄存器的值(也就是调用函数的基地址)压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址。p2 1:59:00 开始。
Pwn 学习
qq_41672971的博客
09-26 1305
windows pwn
CTF-PWN学习-为缺少指导的同学而生
yuwoxinanA3的博客
05-11 9361
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记
pwn学习入门详解PPT
04-17
包括Windows内核学习,格式化字符串,栈溢出等方面
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门和PWN学习,是入门指导。
学习信息安全的必看书籍 30本
01-19
学习信息安全的入门必看30本图书!从协议工具 到 恶意代码的分析以及操作系统的基本认识
pwn入门小白
weixin_73596352的博客
04-27 3026
所谓二进制程序就是可执行文件,就是linux下里的elf文件,与window下的exe等同 ,如:此时的a.out就是一个可执行文件,我们可以用file命令看他的文件类型可见它是一个64位的elf文件。
[CTF PWN] 从0到0.00001 PWN入门超级详细
Csome
06-06 1万+
超级详细的CTF中Pwn方向的介绍,非常适合小白萌新,真的超级超级详细。Pwn的简介 Pwn的理论工具准备 初学 工具 贮备知识 入门 工具 贮备知识 Pwn学习 初学-从Writeup中学习 入门-从比赛中学习 Pwn的环境准备 Windows 在Vscode中配置Pwn中环境 在Vscode中Pwn Pwntools的学习 简易快速入门 Pwn的做题流程 Pwn的简单例子 checksec 分析函数及漏洞 main函数 fun函数 编写exp 编写Writeup 小结
Pwn学习
红叶的博客
10-25 1060
需要输入的字符数量为112,由于没有system,因此需要使用ROPgadget工具。其中vuln函数与replace函数配合使用,输入的I被replace函数替换为you。这题没什么好说的,打开就是shell函数,使用nc直接连接就可以拿到shell。输入I又被替换为you,因此60/3 = 20,输入20个I即可溢出。栈溢出漏洞,buf2为全局变量,并且是bss段,具有可执行权限。shell的地址为IDA下get_shell函数的地址 即。fun函数为shell函数,main函数中存在栈溢出漏洞。
Pwn入门基础
热门推荐
m0_49666584的博客
09-28 1万+
pwn主要是指通过程序本身的漏洞,编写利用脚本破解程序拿到系统的权限,这就要求我们对程序的各种函数,内存地址,堆栈空间,文件的结构有足够的了解。 0x01知识储备 c语言 python 汇编语言基础指令 Linux操作系统基本使用方法 c语言是当前比赛中pwn项目最常用的语言,IDA pro反汇编后得到的也是c语言的伪代码,所以c语言的熟练掌握会对程序的分析有很大帮助。 python主要用于编写exp(攻击)脚本,另外python有一个pwntools的pyth...
PWN入门系列教程~(1)
小心信科理化声
11-30 7241
PWN入门系列教程~(1)前言关于我的故事先来说下学习路线大致分为以下几个部分那么什么是PWN呢?栈函数调用栈寄存器函数调用栈的经典内存布局 前言 关于我的故事 博主是一名20级在校大学生,平常热爱网络安全。喜欢打CTF,但是自己所在的学校里并没有人去担任PWN的工作,身为会长的我自来要挑起重担了,在跟几位有联系的PWN佬交流后明确了自己的要学pwn。 先来说下学习路线 大致分为以下几个部分 学习基础:去学习一些基本的原理 学习真实漏洞 编写exp FUZZ 那么什么是PWN呢? 来说下pwn的来源:
PWN学习总结(不断完善中)(有道云笔记)
tbsqigongzi的博客
04-26 3291
学习路线 pwn一些概念理解 王爽汇编学习笔记 DOS-BOX及编译工具–百度网盘 提取码: ajba linux知识学习(CTF主要考察linux环境下的漏洞利用)—菜鸟教程 nala包管理命令(个人感觉比apt好用) python知识学习(写exp用)----菜鸟教程 gcc编译过程(了解一下) vim用法(好难,正在学) pacvim游戏 ctf-wiki-pwn漏洞利用总结图 刷题网站 BUUCTF BUUCTF—libc源码 攻防世界 pwn环境搭建 借用另一个博主的pwn环境配置文章 再加上几个
英飞凌TC264学习PWN
10-18
1. 学习汇编语言和C语言编程基础,了解程序运行原理和常见漏洞类型; 2. 学习逆向工程技术,掌握反汇编、调试等工具的使用; 3. 学习常见的漏洞挖掘技术,如栈溢出、堆溢出、格式化字符串漏洞等; 4. 实践PWN攻击,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值