pwndbg 查看溢出大小

原创 已于 2022-01-20 19:56:37 修改 · 2.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn2own

于 2020-09-16 22:58:36 首次发布
本文通过实际操作,详细介绍了如何使用ret2libc技术进行漏洞利用。首先,通过生成特定长度的输入字符串来触发缓冲区溢出,然后运行程序并输入该字符串,观察到错误提示Invalid address 0x62616164。接着,利用错误地址确定溢出大小为112字节,为后续的漏洞攻击提供了关键信息。

源文件ret2libc3

https://www.lanzous.com/i9tkk7a

1、生成输入字符串

pwndbg> cyclic 200
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab

2、运行输入上面字符串

pwndbg> run
Starting program: /home/giantbranch/Desktop/pwn/file/ret2libc3 
No surprise anymore, system disappeard QQ.
Can you find it !?aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab
 

3、查看错误提示“Invalid address 0x62616164”


4根据错误地址,查看溢出大小

pwndbg> cyclic -l 0x62616164
112
 

pwn学习】堆溢出(二)- First Fit
Morphy_Amo的博客
01-09 1183
glibc堆管理中的First Fit机制
溢出之unlink_地址任意写
zhuo1358的博客
09-15 1032
我们先来回顾一下堆方面的基础知识,我们知道,当我们free一个大小超过0x90的chunk时,会检查这个chunk物理意义上相邻的前一个chunk是否是空闲状态,如果是,两个chunk会合并成一个大的chunk来合理利用空间。这里的p64(0x30)是下一个chunk的pre_size域,p64(0x90)是下一个chunk的大小,目的是为了触发unlink和绕过检查(只有一个大于0x80的chunk释放时才会触发unlink):检查与被释放chunk相邻高地址的chunk的size的P标志位是否为0。
溢出中偏移的测量
流水不争先,争的是滔滔不绝
03-26 874
溢出中栈偏移的测量方法
pwndbg遇到的问题
qq_61953860的博客
07-14 954
File "/home/pwndbg-dev/gdbinit.py", line 101, in import pwndbg # noqa: F401 File "/home/pwndbg-dev/pwndbg/__init__.py", line 6, in import pwndbg.color File "/home/pwndbg-dev/pwndbg/color/__init__.py", line 7, in
pwn学习总结(一) —— 常用命令
lzyddf的博客
11-18 3647
pwn学习笔记(一)介绍 介绍
pwn学习----定位溢出点位置
gclome的博客
03-28 2778
0x00 准备工作 首先,用于溢出的C语言代码为: #include <stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0,str,0x50); } int main() { func(); retu...
快速计算栈溢出长度
kelxLZ的博客
11-27 2911
Author:ZERO-A-ONE Date:2021-11-27 之前看到网上很多在编写栈溢出的时候计算栈溢出长度的文章,很多工具或者方法放到现在以及没有办法使用了,我经常使用的工具是pwndbg里面调用pwntools的cyclic工具 我们以CTF Wiki里面的示例程序stack-example为例子 首先用IDA找到溢出函数gets的下一个地址为0x804849f,打断点 b *0x804849f 然后使用cyclic工具生成测试字符串 pwndbg> cyclic 200 aaaab.
pwndbg快速计算栈溢出大小
12-08
在某些情况下,pwndbg还可以通过查看调用约定来了解参数是如何在函数调用中传递的,因为这将影响计算出的栈溢出大小。 在栈溢出的攻击场景中,攻击者通常会注入一个精心构造的字符串,它包含了额外的填充(NOP滑行...
ctf堆溢出
m0_49959202的博客
11-01 1231
文章目录堆溢出1.介绍2.示例3.小结3.1 寻找堆分配函数3.1.1 malloc3.1.2 calloc3.1.3 relloc3.2 寻找危险函数函数3.3 确定填充长度 堆溢出 1.介绍 堆溢出指的是程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(堆块本身可使用的字节数>用户申请的字节数),因此导致了溢出,并覆盖到物理相邻的高地址的下一个堆块。 原理和栈溢出基本一样,不过堆溢出很难像栈溢出一样直接控制程序指向流程。一般堆溢出的策略为: 覆盖与其物理相邻的下一个chunk内容。
MIPS栈溢出:ROP构造与Shellocde注入
YJ_12340的博客
05-15 652
前段时间写了DVRF系列的题目,对rop的构造感觉还是有点力不从心,所以五一假期深入学习一下怎么构造rop链 注意,全程复现应该用ubuntu16.04,不要用18.04或者20.04,不然很有可能会导致后面的gadget找不到程序至少也要在ubuntu16.04交叉编译,不然直接在ubuntu18.04或者更高版本下,都有可能有gadget找不到的后果….
【第一天】pwn,获取系统权限,入门题,cyclic-附件资源
03-05
【第一天】pwn,获取系统权限,入门题,cyclic-附件资源
pwn,获取系统权限,入门题,cyclic
SanOrintea的博客
09-01 7240
输入【./ret2text】运行程序,发现让你输入,那么我们先随便输入个【123456】,程序结束了。 用ida打开这个程序,发现有‘system’函数,还可以输入,那么就可以利用栈溢出获取系统权限。 首先先多输入点,看看什么时候溢出,这里用cyclic有序字符串。 输入【cyclic 200】生成200个有序字符。 用gdb打开ret2text,输入【gdb ret2te...
pwndbg 基本操作指令
键盘的起始页
04-17 1137
/生成50个用来溢出的字符,如:aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaama。//显示rdi寄存器的值,注意和x的区别,这只是显示rdi的值,而不是rdi指向的值。//查看0x123456地址的值,//计算0x10-0x08的结果。//打印fun_name的地址,//显示arena的详细信息。//打印包含返回地址的栈地址。//像IDA那样显示数据,//直接看canary的值。//显示rdi指向的值。//查看变量a的地址。,会跟提示所有操作堆的地方。
软件安全实验二——pwn
wwh的博客
03-14 896
溢出 备注:由于是用的智轩的iso,所以用户名是 zzx 开始调试 首先输入【cyclic 200】生成200个有序字符 再用【gdb pwn】 运行程序【run】 输入之前生成的字符串后 此时可以看出发生了溢出,且溢出内容为: 0x62616164 再用 【cyclic -l 0x62616164】 看出是从第112位之后溢出的。 ...
PWN学习记录(2)BUUCTF-rip
m0_58824086的博客
07-31 468
gets函数的缓冲区是由用户本身提供,由于用户无法指定一次最多可读入多少字节,导致此函数存在巨大安全隐患。换句话来说,就是gets若没有遇到\n 结束,则会无限读取,没有上限。由**char s[15]**可得,在main函数的栈帧中,划分了一个15字节的存储空间,也就是说只需要存入15个字节地址,就可以get函数返回地址。可以发现,这是一个64位的ELF文件,可得每个存储单元是8个字节,即一个字节是8位,同理32位就是4个字节。dup():重复定义圆括号中指定的初值,次数由前面的数值决定。
Jarvis OJ level0
Kni9hT's Blog
11-08 345
这学期好久没系统的学pwn了…忙着各种与安全无关的事。 校CTF新生赛快开始了,准备复习一波,就从Jarvis OJ开始刷吧。 level0这题很简单,主要是为了回顾下pwndbg里面cyclic工具的用法。 ...
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 1603
溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
二进制漏洞入门:栈溢出与格式化字符串的 CTF 玩法
m0_57836225的博客
07-11 545
查保护:用checksec确定程序开启的保护机制(NX/Canary/PIE)。找漏洞:通过反编译(IDA/Ghidra)定位危险函数(getsprintf无参)。算偏移:用cyclic计算栈溢出长度,或确定格式化字符串参数偏移。定策略NX 关闭:直接写 shellcode。NX 开启:ret2libc 或 ROP。Canary 开启:先泄露 Canary。写 exp:用pwntools构造 payload,调试并获取 shell。
我用pwndbg调试时写进去100个字符,但是栈上面啥也没有,该怎么办
最新发布
10-13
<think>我们正在解决使用pwndbg调试时,写入100个字符后栈上无内容的问题。 可能的原因和解决方案如下: 1. **程序崩溃导致栈数据被破坏**: - 当写入超过缓冲区大小的数据时,可能导致栈上的返回地址被覆盖为无效地址,从而在函数返回前就触发了崩溃(如SIGSEGV)。此时栈数据可能已被破坏。 - **解决方案**:在溢出发生前下断点,观察栈状态。例如,在gets函数返回前(即函数返回指令ret前)下断点。 - 使用命令:`b *vuln_function+offset`(offset为gets函数调用后的指令偏移) - 然后在断点处查看栈内容。 2. **输入数据未正确写入栈**: - 可能输入方式不正确(例如,在gdb中使用`run < input`,但input文件内容不足100字节)。 - **解决方案**:确保输入数据足够长且正确写入。 - 在gdb中,可以直接在运行程序时输入长字符串(如100个字符),或者使用python生成payload并通过管道输入: ```bash gdb-pwndbg ./program run < <(python3 -c "print('A'*100)") ``` - 或者使用pwntools的gdb调试功能: ```python from pwn import * p = gdb.debug('./program', 'break main') p.sendline(b'A'*100) p.interactive() ``` 3. **栈帧变化导致观察位置错误**: - 在函数返回后,栈帧可能已经改变(例如,栈指针RSP指向了新的位置),导致看不到之前写入的数据。 - **解决方案**:在函数返回前(即执行ret指令之前)查看栈。 - 在函数返回指令前下断点,然后查看栈内容: ``` b *vuln_function+ret_offset run x/100xb $rsp ``` 4. **保护机制干扰(如栈不可执行或地址随机化)**: - 虽然NX保护不会导致栈数据不可见,但PIE可能导致栈地址变化,使得每次运行栈地址不同。 - **解决方案**:在gdb中关闭地址随机化(ASLR)以便于调试: ``` set disable-aslr on ``` 或者使用固定地址(需关闭PIE,但题目开启了PIE,所以只能在调试时固定基址): ``` set exec-wrapper env -u LD_PRELOAD ``` 5. **使用pwndbg的堆栈查看命令不正确**: - 可能使用了错误的命令查看栈内容。 - **解决方案**:使用pwndbg提供的栈查看命令: - 查看栈顶100字节:`stack 20`(显示20个指针宽度) - 查看特定地址:`x/100xb $rsp` 6. **输入函数未被正确调用**: - 程序可能使用了其他输入函数(如fgets)导致未读入100个字符。 - **解决方案**:检查反汇编代码,确认输入函数的特性(如gets会读到换行或EOF,fgets则限制长度)。 **调试步骤示例**: 假设漏洞函数如下: ```c void vuln() { char buf[64]; gets(buf); } ``` 在pwndbg中调试: 1. 启动程序并设置断点: ```bash gdb-pwndbg ./program b vuln # 在vuln函数入口下断点 run ``` 2. 当程序在vuln入口断下后,单步到gets函数调用后(即gets返回后的指令): ```bash ni # 单步执行直到gets调用结束 ``` 3. 此时栈上应该已经写入了数据。使用命令查看栈: ```bash x/100xb $rsp # 以十六进制查看从当前栈指针开始的100个字节 ``` 4. 如果看到输入的数据(如'A'的ASCII码0x41),则说明写入成功。 5. 如果仍然看不到,可能是因为断点位置不对(在gets返回前,数据还未写入)。确保断点设置在gets返回后。 6. 如果使用`run < input`方式,请确认input文件内容是否正确生成: ```bash python3 -c "print('A'*100)" > input ``` 7. 使用`checksec`确认程序保护,注意栈是否可写: - 虽然栈通常是可写的,但有时编译器优化可能将缓冲区放入其他不可写区域(但这种情况极少见)。 **相关问题**: 1. 如何生成包含非打印字符的输入数据? 2. 如何在gdb中跟踪输入函数的内部调用? 3. 程序崩溃时如何查看core文件中的栈内容? 4. 如何利用pwntools进行自动化调试? </think>### 解决pwndbg调试中写入100字符后栈上无内容的问题 #### 问题定位步骤 1. **验证输入是否正确写入** 在`gets()`函数调用后立即下断点,确认输入是否成功写入栈: ```bash b *main+0x50 # 在gets()返回后下断点 run <<< $(python3 -c "print('A'*100)") x/100bx $rsp # 检查栈内容 ``` - 若看到`0x41`('A'的ASCII),说明写入成功 - 若全为`0x00`,则是写入未执行[^4] 2. **检查栈保护机制** 使用`checksec`确认保护状态: ```bash checksec --file=./program ``` - 若`SHSTK`/`IBT`启用,需跳转到`endbr64`合法入口点: ```bash objdump -d ./program | grep endbr64 ``` 3. **调试崩溃点** 通过core文件分析崩溃原因: ```bash ulimit -c unlimited ./program <<< $(python3 -c "print('A'*100)") gdb ./program core -ex "where" -ex "quit" ``` - 观察`SIGSEGV`发生时`$rsp`和`$rip`的值[^4] #### 常见原因及解决方案 1. **缓冲区过小导致栈破坏** - **现象**:写入时覆盖返回地址,触发保护机制 - **解决**:精确计算偏移量 ```python # 使用cyclic计算偏移 from pwn import * offset = cyclic_find(0x6161616c) # 根据崩溃值计算 payload = b'A' * offset + p64(0x...) ``` 2. **PIE导致地址失效** - **现象**:每次运行栈地址变化 - **解决**:关闭ASLR调试 ```bash set disable-aslr on unset env LD_PRELOAD ``` 3. **输入未到达栈空间** - **现象**:`read()`/`fgets()`截断输入 - **解决**:验证输入函数行为 ```c // 示例:gets()会读入所有字符直到换行 char buf[64]; gets(buf); // 可写入超长数据 ``` 4. **pwndbg配置问题** - **现象**:栈显示异常 - **解决**:检查~/.gdbinit配置[^1] ```bash echo "source /path/to/pwndbg/gdbinit.py" >> ~/.gdbinit ``` #### 完整调试流程 ```bash # 1. 启动调试 gdb-pwndbg ./program # 2. 设置环境 set env LINES=0 COLUMNS=0 set disable-aslr on # 3. 关键断点 b *vuln_func+0x30 # 输入函数后 commands x/32gx $rsp # 打印栈内容 info frame # 检查栈帧 end # 4. 运行并验证 run <<< $(python3 -c "import sys; sys.stdout.buffer.write(b'A'*100)") ``` #### 栈结构示意图 ```mermaid graph LR A[输入缓冲区] --> B[保存的RBP] B --> C[返回地址] C --> D[函数参数] D --> E[上层栈帧] ``` - 当写入100字节时,可能覆盖B、C区域导致崩溃 - 使用`canary`命令检查金丝雀值是否被覆盖(虽题目无canary) #### 相关问题 1. 如何确定栈溢出的精确偏移量? 2. PIE保护下如何定位`system()`函数地址? 3. `gets()`和`fgets()`在栈溢出利用中有何区别? 4. 如何通过core文件分析控制流劫持点? [^1]: 在home目录下的.gdbinit文件添加pwndbg路径可解决插件加载问题 [^4]: 使用`gdb ./program core`配合`where`命令可精确定位崩溃点
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值