栈溢出至getshell分析及利用

最新推荐文章于 2025-08-13 11:32:14 发布
原创 最新推荐文章于 2025-08-13 11:32:14 发布 · 260 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #前端

请添加图片描述Ret2text(源程序中存在system及/bin/sh)
控制程序执行程序本身已有的的代码(.text)。栈溢出,存在system()函数以及”/bin/sh”字符串。通过溢出将返回地址修改为system函数的地址,再将/bin/sh作为函数的参数进行调用,如此便可以得到一个shell。其中32位程序和64位程序由于函数形参的存储调用存在差别,故利用方式也会不同。

32位程序
在32位的程序中,形参存储在栈上并且是按从右到左的顺序进行存放,形参结束后存储的是函数的返回地址,接着是函数的地址。

函数调用过程中栈帧的变化

在这里插入图片描述以下为栈溢出调用system函数过程中栈的变化。

在这里插入图片描述 其中call函数与直接用eip指向函数地址的区别
call函数的调用中存在两步,

  • 首先将后面的代码,即是下一条指令的地址入栈(保护现场)
  • 将调用函数的地址给到EIP执行
    从call函数的执行可以看出会自动的将下一指令的地址入栈以保持栈的平衡,call的函数执行完成后会能恢复,所以当直接将函数地址赋给EIP时就需要手动的入栈一个返回地址以维持栈的平衡。

64位程序:

由于在64位程序中六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。如下
在这里插入图片描述
通过以上流程即是可以通过寻找我们需要的指令地址及字符串地址进行利用链的构造最后成功getshell。这既是要求在上述情况中存在调用system函数的情况并且能够在其中找到字符串/bin/sh才能进行利用。

以下使用一个在程序作为例题进行分析

例题:
获取附件

使用checksec检查是否开启了保护在这里插入图片描述
发现是一个32位的程序,只开启了NX,即是栈不可执行

使用IDA32位进行分析在这里插入图片描述
使用shift+F12得到如上所示的页面

其中存在/bin/sh,但现在需要一个函数调用它才能执行命令

首先双击echo Hello World

在这里插入图片描述
使用ctrl+x查看引用的函数

在这里插入图片描述
使用F5进行反汇编在这里插入图片描述
发现存在vulnerable_function函数,双击进入在这里插入图片描述发现存在read函数可以利用

查看buf的长度,双击char buf进入buf变量的栈空间
在这里插入图片描述
发现buf的长度为0x88字节

加上ebp的长度4字节,(32位程序地址为32位,所占存储空间为4字节)

即是buf只用88字节,使用read函数输入的空间有100,超过了buf的长度,可造成栈溢出覆盖掉返回地址即可执行代码

因为前面存在了调用system函数,跳转到该函数,后面跟上该函数参数的地址即可

查看system的地址,回到主函数的汇编代码,此处使用call调用了一个system

地址为:0x0804849e

最低0.47元/天 解锁文章
PWN --- ret2shellcode
qq_41696518的博客
06-28 1076
PWN ret2shellcode
栈溢出攻击1——注入shellcode指令拿到shell
学习记录
09-15 2585
  在IDA的Function name这一栏里面,如下图所示,没有发现后门函数,说明这道题目需要自己写shellcode来拿到shell权限。 查看sub_80484E9函数的伪代码,如下所示。 int sub_80484E9() { char v1; // [esp+0h] [ebp-28h] puts("Could I know your name?"); myRead((int)&unk_804A060, 32); printf("Hi, %s.\n", &unk
栈溢出从入门到提高 (转载)
x_zj的专栏
04-13 1652
栈溢出从入门到提高 -------------------------------------------------------------------------------- 整理:阿新     有一些是在以前的文章里照搬的,希望作者不要介意 :P堆栈溢出系列讲座 入门篇 本讲的预备知识: 首先你应该了解intel汇编语言,熟悉寄存器的组成和功能。你必须有堆栈和存储分配
linux栈溢出漏洞,PWN简单栈溢出漏洞获取shell | kTWO-个人博客
weixin_39611389的博客
05-16 1065
摘要本文讲述的是PWN中利用溢出漏洞来执行shell命令的方法教程,本文将以简单的小程序来作为演示,从分析程序到编写payload加以利用,其中还含有二进制程序的保护机制简介。0x01 前言经过前面的几篇文章我们大概以及了解了基本的栈溢出漏洞的利用方式,那今天就来个进阶版。有时候我们在打CTF的时候需要的是获取系统shell,然后通过shell拿到flag,那么我们该怎么通过溢出漏洞来拿到服务器...
Glibc内存管理-Linux的内存布局
ATFWUS的博客
03-05 531
32位模式下的经典布局: 32位模式下的默认布局: 64位的内存布局: 主要段说明: Knernel space 指内核空间。 BSS段主要存储未初始化的全局变量或者初始化为0的全局变量和静态变量的一块内存区域。(可读可写) BSS段属于静态内存分配。它的初始值也是由用户自己定义的连接定位文件所确定,用户应该将它...
rop、64位程序中参数传递及栈溢出利用
RKAnjia的博客
11-24 1143
ctf64位程序中参数传递及栈溢出利用rop 64位程序中参数传递及栈溢出利用 32位程序参数传递是直接弹出栈顶元素作为参数,而64位程序通过edi寄存器传参;因此在栈溢出漏洞利用的步骤为: 找到“pop edi\rdi;ret;”语句、system函数和“bin/sh”字符串的地址,输入数据:【填满栈空间的数据+覆盖edb的数据(32位大小为4h,64位大小为8h)+“pop edi\rdi;ret;”语句的地址+“bin/sh”字符串的地址+system函数的地址】。 具体执行过程: 子函数调用结束时,
Linux栈溢出漏洞利用详解
ShadowBlade
09-04 4602
本节主要讲解了linux 32位系统栈溢出利用原理。以一个实例,详细描述了linux栈溢出的原理和应用。 1.栈溢出背景知识 栈 栈又称堆栈,由编译器自动分配释放,行为类似数据结构中的栈(先进后出)。堆栈主要有三个用途: 为函数内部声明的非静态局部变量(C语言中称“自动变量”)提供存储空间。 记录函数调用过程相关的维护性信息,称为栈帧(Stack Frame)或过程活动记录(Procedure Activation Record)。它包括函数返回地址,不适合装入寄...
Linux栈溢出获取shell之Return to libc
d3f4ult的博客
04-10 1032
文章目录简介参考资料知识铺垫 简介 本次实验将通过hackthebox的Enterprise的靶机来学习利用Return-to-libc实现Linux栈溢出并获取shell。在实验的过程中,遇到了很多的理论问题,百度后发现国内关于Return to libc的理论比较少,基本都是这种操作:system+exit+sh,却没有讲为什么,尤其是system后面为什么一定要跟exit。 参考资料 《0...
13、漏洞利用开发全解析:从栈溢出到Metasploit框架应用
最新发布
android的专栏
08-13 74
本文深入解析了信息安全领域中的漏洞利用开发技术,涵盖栈溢出、堆破坏、整数运算漏洞等常见类型,并通过UW POP2服务器栈溢出示例详细讲解漏洞利用代码的编写。同时,文章介绍了Metasploit框架的使用方法,以IIS 4.0 HTR缓冲区溢出漏洞为例,演示如何利用Metasploit进行漏洞攻击开发。文章还总结了不同类型漏洞的利用特点,推荐了相关学习资源,并展望了漏洞利用开发的未来趋势,为安全研究人员和开发人员提供了全面的技术参考。
pwn学习笔记(一)
qq_41560595的博客
03-18 1795
ret2text: 程序中提供了后门函数,自己复写返回地址为后门函数地址。 .bss 、.data、.text三个段是elf文件在磁盘上本来就有的文件,进入到内存后仍然存在。PIE影响这三个部分。
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
栈溢出利用手段总结
weixin_59166557的博客
09-16 2903
ret2csu(Return to __libc_csu_init)是一种利用方法,主要用于在没有足够控制权的情况下调用任意函数,尤其是在栈保护(Stack Canary)、无执行(NX)和地址随机化(ASLR)等保护机制启用时,无法直接通过传统的ret2libc等方式进行利用。是Glibc库中的一个函数,它在程序启动时被执行。这个函数有两个部分:一个是初始化部分,另一个是调用构造函数部分。我们主要关注的是初始化部分,因为它提供了一种控制寄存器的方法。
一篇文章玩明白Stack-migration
YJ_12340的博客
04-11 804
当我们发现存在栈溢出漏洞,但是溢出字节非常小,比如0x10的时候我们就需要利用栈迁移,将栈迁移置足够大的区段去编写rop链以达到我们利用的目的。为了方便教学,这里以CTF赛题的形式进行教学。
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1761
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
啥也不会还想学PWN
weixin_67749304的博客
05-11 233
今天,是rop的介绍与编写。 什么是rop呢? 上一次我学习了一种栈溢出的思路:pop rdi ret ;/bin/sh+字符串地址;system。 像这种形式的传参和调用,或者说这种编程方法,就叫做rop。 rop,是英文返回导向编程的简称,实际上就是程序中以一大堆ret的拼凑来完成代码逻辑。所以,这些ret的如何拼凑?(编写?) 以system(“/bin/sh”)为例: 我们需要做的,是将rdi这个地址改写为/bin/sh的字符串地址,然后call system。 如果我们不能执行she
初探 ret2libc
akdelt的博客
01-23 1208
可执行二进制程序调用函数A时,会先找到函数A对应的PLT表,PLT表中第一行指令则是找到函数A对应的GOT表。此时由于是程序第一次调用A,GOT表还未更新,会先去公共PLT进行一番操作查找函数A的位置,找到A的位置后再更新A的GOT表,并调用函数A。简单来说就是程序第一次调用某个函数 got 表里放的还不是 这个函数的真实地址,但是第二次调用 got 表放的是 这个函数的真实地址了。我们可以发现 puts 函数运行过了,所以就用 puts 了,分别拿 puts 的 plt 表和 got 表的对应地址。
PWN入门(2)栈溢出基础
农夫果园好好喝的博客
06-29 973
PWN栈溢出基础。
linux漏洞分析入门笔记-栈溢出
weixin_30471561的博客
12-10 310
ida7.0 ubuntu16.04 lts 0x00:环境配置 使用IDA远程调试Linux程序步骤如下: 1. 在进行远程调试之前需要对Linux平台进行一些准备工作。在IDA的安装目录中的dbgsrv文件夹中,选择linux_server或者linux_serverx64复制到需要调试Linux程序所在的目录下。将复制过来的文件赋予执行权限chmod 777 linux_server...
PWN简单栈溢出漏洞获取shell
SkYe's Blog
08-13 3046
PWN简单栈溢出漏洞获取shell 题目来源 下载链接(密码akcz) CTF的时候需要的是获取系统shell,然后通过shell拿到flag。 条件所限,那我们就先将程序放本地。也就是本地机也充当远程服务器角色 1. 运行程序、查看文件类型、保护措施 程序输出一段应该是内存地址的16位字符串;接着要求我们输入,之后就结束运行程序。 程序为32位动态链接的ELF文件 可以看到NX保护关...
ubun简单栈溢出实验
03-31
### Ubuntu 下简单栈溢出实验教程 #### 实验准备 为了完成一个简单的栈溢出实验,需要满足一些前提条件。由于现代操作系统默认启用了多种安全保护机制(如地址空间布局随机化 ASLR 和堆栈不可执行 NX),这些特性会阻止传统的栈溢出攻击方式。因此,在开始之前,需关闭这些防护措施。 可以通过以下命令禁用 ASLR: ```bash echo 0 | sudo tee /proc/sys/kernel/randomize_va_space ``` 此操作允许程序的内存布局保持固定位置[^3]。 #### 编写目标代码 编写一段存在缓冲区溢出漏洞的目标代码 `vulnerable.c`: ```c #include <stdio.h> #include <string.h> void get_shell() { printf("You got the shell!\n"); system("/bin/sh"); // 调用 system 函数启动 /bin/sh 来获取 shell [^2] } void vulnerable_function(char *str) { char buffer[64]; strcpy(buffer, str); // 存在缓冲区溢出风险 } int main(int argc, char **argv) { if (argc > 1) { vulnerable_function(argv[1]); } return 0; } ``` 编译该代码时,应禁用堆栈保护功能并启用调试信息以便于分析: ```bash gcc -fno-stack-protector -z execstack -g vulnerable.c -o vulnerable ``` 上述选项的作用如下: - `-fno-stack-protector`: 关闭 GCC 的堆栈保护器。 - `-z execstack`: 将堆栈标记为可执行区域。 - `-g`: 添加调试信息以方便后续逆向工程或动态调试。 #### 获取函数地址 通过反汇编工具查看二进制文件中的函数地址。可以使用 GDB 或者 objdump 工具来定位 `get_shell()` 函数的具体地址。 运行以下命令提取符号表信息: ```bash objdump -d ./vulnerable | grep get_shell ``` 假设输出显示 `get_shell` 地址为 `0x08048522`[^4]。 #### 构造恶意输入 利用 Python 或其他脚本语言生成特定长度的数据流,使其能够覆盖返回地址字段,并将其重定向到 `get_shell` 函数入口处。 下面是一个示例 Python 脚本来创建所需的 payload 数据包: ```python offset = b"A" * 76 # 填充至返回地址偏移量前的位置 return_address = b"\x22\x85\x04\x08" # 替换为目标函数的真实地址(小端序) payload = offset + return_address with open('exploit', 'wb') as f: f.write(payload) ``` 将生成好的 exploit 文件作为参数传递给易受攻击的应用程序即可触发漏洞: ```bash ./vulnerable $(cat exploit) ``` 如果一切正常,则应该可以看到提示消息以及交互式的 Shell 提供访问权限。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值