2. 程式人生 > >溢位漏洞利用小結(基礎)

溢位漏洞利用小結(基礎)

阿新 發佈:2018-12-17

shell 獲取小結 

這裡總結幾種常見的獲取 shell 的方式:

  • 執行 shellcode,這一方面也會有不同的情況

    • 可以直接返回 shell
    • 可以將 shell 返回到某一個埠
    • shellcode 中字元有時候需要滿足不同的需求
    • 注意,我們需要將 shellcode 寫在可以執行的記憶體區域中。

  • 執行 system("/bin/sh"),system('sh') 等等

    • 關於 system 的地址,參見下面章節的地址尋找
    • 關於 "/bin/sh", “sh”
      • 首先尋找 binary 裡面有沒有對應的字串,比如說有 flush 函式,那就一定有 sh 了(例如:ROPgadget.py --binary ./vuln --string "/bin/sh")
      • 考慮個人讀取對應字串
      • libc 中其實是有 /bin/sh 的 (需要程式執行的時候獲取)
    • 優點
      • 只需要一個引數。
    • 缺點
      • 有可能因為破壞環境變數而無法執行。

  • 執行 execve("/bin/sh",NULL,NULL)

    • 前幾條同 system
    • 優點
      • 幾乎不受環境變數的影響。
    • 缺點
      • 需要 3 個引數。

  • 系統呼叫(例如 int 80 )

    • 系統呼叫號 __NR_execve 在 IA-32 中為 11(0xb),x86-64 為 59(0x3b)

 

 

地址尋找小結 

在漏洞利用過程中,我們總是免不了要去尋找一些地址,常見的尋找地址的型別有如下幾種

通用尋找 

直接地址尋找 

程式中已經給出了相關變數或者函式的地址了。這時候,我們就可以直接進行利用了。

got 表尋找 

有時候我們並不一定非得直接知道某個函式的地址,可以利用 GOT 表跳轉到對應函式的地址。當然,如果我們非得知道這個函式的地址,我們可以利用 write,puts 等輸出函式將 GOT 表中地址處對應的內容輸出出來(前提是這個函式已經被解析一次了

)。

有 libc查詢

相對偏移尋找,這時候我們就需要考慮利用 libc 中函式的基地址一樣這個特性來尋找了。比如我們可以通過 __libc_start_main 的地址來洩漏 libc 在記憶體中的基地址。

libc_base = __libc_start_main  -  offset (__libc_start_main)

system_real_addr = libc_base + offset (system)

bin_sh_real_addr = libc_base + offset( '/bin/sh')

注意:不要選擇有 wapper 的函式,這樣會使得函式的基地址計算不正確。常見的有 wapper 的函式有?(待補充)。

無 libc查詢

其實,這種情況的解決策略分為兩種

  • 想辦法獲取 libc
  • 想辦法直接獲取對應的地址。

而對於想要洩露的地址,我們只是單純地需要其對應的內容,所以 puts , write,printf 均可以。

  • puts,printf 會有 \x00 截斷的問題
  • write 可以指定長度輸出的內容。

下面是一些相應的方法

pwnlib.dynelf

前提是我們可以洩露任意地址的內容。

  • 如果要使用 write 函式洩露的話,一次最好多輸出一些地址的內容,因為我們一般是隻是不斷地向高地址讀內容,很有可能導致高地址的環境變數被覆蓋,就會導致 shell 不能啟動。

libc 資料庫 

 

## 更新資料庫
./get
## 將已有libc新增到資料庫中
./add libc.so 
## Find all the libc's in the database that have the given names at the given addresses. 
./find function1 addr function2 addr
## Dump some useful offsets, given a libc ID. You can also provide your own names to dump.
./dump __libc_start_main_ret system dup2

去 libc 的資料庫中找到對應的和已經出現的地址一樣的 libc,這時候很有可能是一樣的。

也可以使用如下的線上網站:

當然,還有上面提到的 https://github.com/lieanu/LibcSearcher

ret2dl-resolve

當 ELF 檔案採用動態連結時,got 表會採用延遲繫結技術。當第一次呼叫某個 libc 函式時,程式會呼叫_dl_runtime_resolve 函式對其地址解析。因此,我們可以利用棧溢位構造 ROP 鏈,偽造對其他函式(如:system)的解析。這也是我們在高階 rop 中會介紹的技巧。

題目 

  • train.cs.nctu.edu.tw: rop
  • 2013-PlaidCTF-ropasaurusrex
  • Defcon 2015 Qualifier: R0pbaby

以上內容參考 CTF wiki

相關推薦

溢位漏洞利用小結基礎

shell 獲取小結  這裡總結幾種常見的獲取 shell 的方式: 執行 shellcode,這一方面也會有不同的情況 可以直接返回 shell 可以將 shell 返回到某一個埠 shellcode 中字元有時候需要滿足不同的需求

HTML5基礎小結——標簽小例

加速 支持 ide oat enter controls 畫圓 side tint 隨篇博客的思維導圖。繼續: 二。看下標簽的使用,這裏看幾個小樣例(效果圖不再給出): 1。結構標簽的使用,這裏來看一個頁面的布局:<!doc

Java基礎—IO小結大綱待更新

16px 文件復制 buffere tro 順序 -a [] 啟用 -c 一、緩沖流的使用   每個字節流都有對應的緩沖流:      BufferedInputStream / BufferedOutputStream   構造器:         方法摘要

Java基礎—IO小結緩衝流與其它流的使用

一、緩衝流的使用   每個位元組流都有對應的緩衝流:      BufferedInputStream / BufferedOutputStream   構造器:         方法摘要與對應節點流類似   使用緩衝流實現檔案複製:實際中也是;其中流的關閉只需要關閉緩衝流,內部巢狀的位元組流

java SE學習過程中的知識點小結很多內容過於基礎,希望能幫助到學習路上的同學————歡迎老手批評指正

①、把boolean測試放在括號內:例如while(x==4){}  //當然看過很多部落格,裡面有工作經驗的工作者說以後公司可能習慣性寫(4==x) ②、所有java程式都定義在類中(也是區別於C++的主要特徵) ③、物件本身已知到的事物稱為例項變數,它代表物件的狀態,物件可執行的動作稱為方法。 ④、類可以

程式設計學習小結2程式設計需要哪些基礎知識

編碼這麼久,編碼需要哪些基礎知識呢?有人說“貌似不需要什麼基礎知識?我們公司只要是大學畢業,不管什麼專業,在我們這搞一段時間都可以做的很好!”。的確很多公司,尤其是大公司,培訓流程相對完善,工作流程也比較規範,無論是什麼專業,即使程式設計0基礎,在公司學習一段時間,掌握一些編碼基礎知識和程式設

OC基礎-記憶體管理小結手動

一 計數器的基本操作 1. retain : 計數器+1 2. release : 計數器-1 3. retainCount : 獲得物件當前的計數器值 二 set方法的記憶體管理 1. set方法的實現 - (void)setCar:(Car *)car {     if

React學習小結

display lin body -a 頁面 return 有時 borde size 一、組件的嵌套 1 <!DOCTYPE html> 2 <html> 3 <head> 4 <meta charset="UT

React學習小結

color render pro sed nbsp 合數 白雪 方式 內部 一、React數據的傳輸 1、屬性和狀態是react中數據傳遞的載體 2、屬性是聲明以後不允許被修改的東西 3、屬性只能在組件初始化的時候聲明並傳入組件內部,並且在組件內部通過this.props

Python開發基礎:運算符

運算符1、算數運算:2、比較運算:3、賦值運算:4、邏輯運算:5、成員運算:本文出自 “小冰” 博客,謝絕轉載!Python開發(基礎):運算符

Python開發基礎:列表List

list python List 內置函數#!/usr/bin/env python # -*- coding:utf-8 -*- # class list(object): # """ # list() -> new empty list # list(iterabl

Python開發基礎:字符串

character python return 字符串 字符串常用方法說明#!/usr/bin/env python# -*- coding:utf-8 -*-# class str(basestring):# """# str(object=‘‘) -> string#

集群環境分析及部署基礎

服務器 檢測 記錄 能力 健康 集群概念:由兩個或兩個以上的服務實體協調、配合完成一系列工作的模式,對外表現為一個整體。特點分配用戶請求故障轉移共享存儲結構:agent 負載調度器業務層 服務器池存儲 共享存儲1.垂直擴展為同樣的計算資源池加入更多資源,比如增加更多內存、磁盤或

短學期小結1

list trace turn () lex system int 實體類 out 【插入用戶信息、刪除、查詢方法的代碼如下:】 package cn.neusoft.mybatis.dao;import java.sql.ResultSet;import java.sql

軟件工程綜合實踐階段小結2

img 視圖 view app web-inf hand ont info base 這兩天,在企業導師的指導下,我們基於springmvc+mybatis+spring再次建立了之前的網站(但沒有連接數據庫)。 可以發現,結構比之前簡單了許多,事實上代碼量也小了很多

TabLayout 使用方法 基礎

ted ima break hit widget 監聽 pri cti idt 此為布局文件 <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"

datatables 配套bootstrap3樣式使用小結1

earch 記錄 是否 管理 string local 大寫 加載 filter 今天介紹匯總一下datatables。 網址: www.datatables.net 公司CMS內容資訊站的後臺管理界面用了大量的table來管理數據,試用了之後,感覺挺不錯,推薦一下。

Linux進程相關的內容及命令小結

進程 linux概念:進程,一個活動的程序實體的副本,擁有生命周期,一個進程可能包含一個或多個執行流; 進程的創建進程: 每個進程的組織結構是一致的; 內核在正常啟動並且全面接管硬件資源之後,會創建一個Init的進程;而這個名叫init的進程負責用戶空間的進程管理; CentOS5及以前:SysV In

linux命令小結

命令 linux 基礎 1)pwd:顯示工作目錄路徑語法: pwd [選項]選項: -L 目錄鏈接時,輸出鏈接路徑 -P 輸出物理路徑例子: [[email protected]/* */ ~]# pwd /root //顯示當前路徑2)

關於html基礎

擁有 dset 標題 textarea add space nbsp ems label 1.關於html(基礎) 在 HTML5 中,<cite> 標簽定義作品的標題。 在 HTML 4.01 中,<cite> 標簽定義一個引用。