pwn笔记(1)

最新推荐文章于 2023-07-06 15:20:19 发布
最新推荐文章于 2023-07-06 15:20:19 发布
阅读量327 收藏 1
点赞数
分类专栏: pwn 漏洞分析 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/108050003
版权

ROP

ret2text:使用原本程序的代码片段

ret2lib:使用到执行时载入的shared library

使用return来组合出所需要的功能,巧妙选择要return的位置,寄存器,内存,syscall等。

Jump to Shellcode

使用ret2text的技巧,call到gets,再跳到新的shellcode,比如demo中有gets,所以存在溢出,制造shellcode溢出main函数的ret

这里巧妙将main的ret溢出为gets函数,为了payload执行shell,操作思路是溢出返回的gets函数,参数返回值均为一个可写可执行的地方,然后将shell相关操作gets到这个位置,gets返回地址仍然是此地址,则返回时就执行了此shell。

操作可以使用pwntool,结合gdb,方便操作。

以下部分截图是课程前一个remote-shell-expoilt的截图,与demo2原理一样,所以就不重复截图了

关于gdb调试

idof xxx(process名),得到pid,然后attach 

关于生成fuss字符串

scylic可以生成fuzzing字符串,根据栈上的值确定覆盖到了哪里。

p32的作用是改成litter-ending

然后如下就能确定是哪里了

关于gets函数获取

然后elf.symbols['gets']可以帮忙找到gets函数地址

关于gets函数参数(shellcode)放置位置

位置为了方便一般放在global位置(堆栈地址每次执行程序会变化),所以我们选择bss段,因为一般申请内存按页,只用前半部分,所以参数写到一段bss靠后比如0x100的位置

elf.bss()可以拿到bss段

然后一般为了确认送到合法地址用0xff0xff0xff为不合法

0xeb0xf1为无限循环

Gadget

因为很多时候pc设置了DEP保护,我们要绕过,技术就是rop,构造rop链,思路如下

就是找到rop片段代码:"pop 寄存器,xxx,ret"的位置,如此shellcode代码为比如"rop片段代码地址,想要让寄存器保存的值",这样再将shellcode覆盖了栈之后,执行时候就会构造成我们的代码

例子

就是自组一个system call,要至少有int 0x80(execve),参数

使用ROPgadget,ROPgadget --binary ./test > gadgets

所以要找的就是一堆pop xxx,可以把想放的值传进去

如果能找到最好,找不到比如pop eax,只能凑了,比如读指令,call gets然后把指令放进去,就是找如上的代码进行拼凑shellcode。

另外shellcraft可以直接出shellcode,此外shellcode不要出现0,很可能会被截断。

 

关于答题

题目测试一般使用nacat及nc

ncat -vc -kl(k是保活,l是端口)-v:显示命令执行debug,c是执行那个程序

然后nc连接

echo xxx | ./yyy 将xxx结果输入到yyy

参考资料

bamboofox教程

 
kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
笔记(1)
weixin_42827898的博客
03-03 7888
产品经理是企业中专门负责产品管理的职位,产品经理负责市场调查、收集并分析产品、市场及用户的需求;确定开发何种产品,选择何种业务模式、商务模式等。并推动相应产品的开发。根据产品的生命周期,协调研发、营销、运营等,确定和组织实施相应的产品策略,以及其他一系列相关的产品管理活动。 产品经理定义: 1.市场分析:找准市场方向,确定哪个市场是值得进入的 2.用户分析:针对目标市场的用户,分析他们的特征和需求,从而得到产品的需求和方向 3.产品实现:组织相关的人力和资源,比如开发、UI、测试、运营、客服等,将产品实现
计组笔记(1)
Blog
06-09 304
计算机中的二进制使用高低电平表示。
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 931
栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作压栈与出栈都是操作的栈顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。程序的栈是从进程地址空间的高地址向低地址增长的。
Nep欢乐个人赛部分复现记录
mcmuyanga的博客
03-24 747
写在前面:感谢不会修电脑师傅的指导 博客园维护,没法看不会修电脑师傅的博客,详细的先看这位大佬文章,比赛时只做出来了一道re一道pwn,还是太菜了。每天写一点,记录一下复现过程。 Re hardcsharp 例行检查,c#写的 一开始用ida反编译的,看不大懂,百度后用的dnSpy反编译 // hardcsharp.Program // Token: 0x06000001 RID: 1 RVA: 0x00002050 File Offset: 0x00000250 private static voi
pwn远程的时候遇到 timeout: the monitored command dumped core 怎么办
y0un9er
06-23 8078
timeout: the monitored command dumped core
BUU-pwn(五)
qq_53263789的博客
09-10 263
BUU-pn(五)
Fuzzing技术总结(Brief Surveys on Fuzz Testing)- wcventure
热门推荐
wcventure的博客
08-26 3万+
Fuzzing survey Static analysis Dynamic analysis Symbolic execution Fuzzing White box fuzzing Grey box fuzzing Black box fuzzing Generation-based Fuzzing Mutation-based Fuzzing Fuzzing技术的对比 F...
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
pwn-notes:我在pwn上的笔记
03-05
二进制利用说明欢迎来到我关于二进制漏洞利用的笔记。 在这里,我会记下我学到的大多数内容,并提供易受攻击的二进制文件,让您自己动手做。 提到了大多数“通用”堆栈技术以及一些超级介绍性的堆。 很快就会有更多:...
SQLMAP使用笔记.pdf
01-25
3. `--os-pwn`:反弹 shell 4. `--msf-path`: Metasploit 绝对路径 九、Windows 注册表操作 1. `--reg-read`:读取 Windows 注册表 十、Privilege Escalation 1. `--priv-esc`:权限提升 SQLMAP 是一个功能...
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
pwnable_kr:壳牌我们玩游戏吗?
05-14
笔记 阿洛卡 [怪诞] 代理服务器 rootkit dos4fun ASCII eg coin2 迷宫 世界野生动物基金会 [数独] 星际争霸 命令3 小精灵 lfh 洛基哈特 g [骇客的秘密] 无法利用 微小的 软体 XML文件 毛巾根 ...
攻防世界warmup pwn wp(fuzz
苗_的博客
10-15 737
发现这题没给附件,所以是要fuzz的题目(最开始不知道什么叫fuzz = =,在这里解释一下,(fuzzing)模糊测试的意思,百度是这样解释的:模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。 首先先远程看一下: 可以发现给了我们一个十六进制数(应该是地址) 那首先根据这些我们可以先将fuzz函数写出来,分三种情况——不用他给的地址(0),用p32发送(1),用p64送(2) exp from pwn import* addr = 0x
pwn学习-攻防世界(一)
qq_45653588的博客
12-20 771
文章目录0x00 forgot0X01 dice_game0x02 Mary_Morton0x03 warmup 0x00 forgot 下载文件,检查文件保护机制,只开启了NX保护的32位文件。 拖入ida反编译一下,好多函数。。 先输入一个参数s,然后给出了函数sub_8048654()的地址,然后输入参数v2的值,进入for循环。判断v0的值和v2的长度,v0大于等于v2退出循环。 接下来是switch语句,参数为v14,初始为1,退出switch后,会执行(*(&v3 + --v14))()
ncat使用总结
weixin_34082854的博客
03-01 1036
功能 1. 监听本地端口 2. 连接目标端口 3. 传送文件 4. Remote Administration with Netcat(OSCP中给的分类,不知道此分类的作用,需要深入学习) 5. 反弹shell 6. 测两台机器间的网速 监听本地端口 # 临时监听端口 nc -l <PORT> # 临时监听TCP端口一次 nc -lu <PORT> # 临时监听UDP端口...
ncat使用介绍
实践求真知
11-22 1万+
一 组合参数 -w:设置得超时时间 -z:一个输入输出模式 -v:显示命令执行过程 方式一:基于tcp协议(默认) nc -v -z -w2 117.34.35.1 1-50 方式二:基于udp协议-u nc -v -u -z -w2 117.34.35.1 1-50   二 实战 [root@localhost hping-master]# nc -v -w10 172.16
PWN简单堆栈溢出漏洞利用(二)
SkYe's Blog
08-12 784
PWN简单堆栈溢出漏洞利用(二) 题目来源 下载链接(密码akcz) 题目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag 创建办法: 在/home/pwn/pwn1目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链...
CTF——PWN学习记录
http://www.lunatic007.top/
04-26 2144
Tips: ubuntu执行属性为executable (application/x-executable)的文件的方法: 1. chmod +x filename 2. ./filename file filename #查看文件类型 checksec --file=filename #查看文件的保护 #新建py文件 touch 0.py 1、when did you born. from pwn import * context (os='linux',arch="amd64",log_l
堆溢出,堆喷射简介
kernweak的博客
11-21 3968
堆简介 堆上分配内存,就是比如malloc,就是从堆上把这块内存的链表,摘下来共我们使用。堆上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表中把某一个节点从这个双向链表中摘掉。即 Node->bp->fp=Node->fp; ...
Mac m1配置pwn
最新发布
09-02
- *1* *3* [在Apple Silicon(M1)上搭建pwn解题环境](https://blog.csdn.net/qq_25755011/article/details/115541221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值