PWN技巧-其他
换库
strings libc.so.6 | grep 'ubuntu' |
Capstone字节码转汇编代码
from capstone import * |
md = Cs(CS_ARCH_X86, CS_MODE_32): 初始化类,给两个参数(硬件架构和硬件模式) |
测量变量溢出长度(cyclic)
初试
checksec,32位
拖入IDA
容易引起栈溢出的函数gets
找到后门函数
地址为0x804863A
完成如下exp:
from pwn import * |
打不通
手动测量变量溢出长度
猜测也许是IDA中的变量溢出长度是错误的
于是我们手动测量
工具cyclic生成字符串
cyclic 200生成一个长度为200的字符串
gdb调试
据此可知最先溢出的部分是0x62616164
查找填充空栈所需量
cyclic -l 0x62616164
实际上的offset是112
修改exp如下:
from pwn import * |
成功getshell!!!!!
(绕过PIE保护)Partial overwrite
栈上的partial overwrite
我们知道,在程序开启了PIE保护时(PIEenabled)高位的地址会发生随机化,但低位的偏移是始终固定的,也就是说如果我们能更改低位的偏移,就可以在一定程度上控制程序的执行流,绕过PIE保护。
partial overwrite不仅仅可以用在栈上,同样可以用在其它随机化的场景。比如堆的随机化,由于堆起始地址低字节一定是0x00,也可以通过覆盖低位来控制堆上的偏移。
示例
无法拿到附件,本例未经过本人复现,仅摘录
from pwn import * |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Zechariahの博客!
- 微信
- 支付宝
相关推荐
2025-03-03
PWN技巧-mprotect修改内存保护权限
mprotect 函数用于设置一块内存的保护权限(将从 start 开始、长度为 len 的内存的保护属性修改为 prot 指定的值),函数原型如下所示:#include <sys/mman.h>int mprotect(void *addr, size_t len, int prot); prot 的取值如下,通过 | 可以将几个属性结合使用(值相加): PROT_READ:可写,值为 1 PROT_WRITE:可读, 值为 2 PROT_EXEC:可执行,值为 4 PROT_NONE:不允许访问,值为 0 需要注意的是,指定的内存区间必须包含整个内存页(4K),起始地址 start 必须是一个内存页的起始地址,并且区间长度 len 必须是页大小的整数倍。 如果执行成功,函数返回 0;如果执行失败,函数返回 -1,并且通过 errno 变量表示具体原因。错误的原因主要有以下几个: EACCES:该内存不能设置为相应权限。这是可能发生的,比如 mmap(2) 映射一个文件为只读的,接着使用 mprotect() 修改为 PROT_WRITE。 EINVAL:...
2025-02-18
PWN技巧-栈迁移
栈迁移原理介绍与应用 - Max1z - 博客园 介绍我们首先介绍一下Stack pivoting的含义:该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后再在相应的位置进行ROP。一般来说,我们可能在以下情况需要使用stack pivoting: 可以控制的栈溢出的字节数较少,难以构造较长的ROP链 开启了PIE保护,栈地址未知,我们可以将栈劫持到已知的区域。 其它漏洞难以利用,我们需要进行转换,比如说将栈劫持到堆空间,从而在堆上写rop及进行堆漏洞利用此外,利用 stack pivoting有以下几个要求: 可以控制程序执行流 可以控制sp指针。一般来说,控制栈指针会使用ROP,常见的控制栈指针的gadgets一般是pop rsp/esp当然,还会有一些其它的姿势。比如说libc_csu_init中的gadgets,我们通过偏移就可以得到控制rsp指针上面是正常的,下面是偏移的此外,还有更加高级的 fake frame 存在可以控制内容的内存,一般有如下 bss段。由于进程按页分配内存,分配给bss段的内存大小至少一个页(4k,0x1000)大小。然而一般bss段的内容用...
2025-02-26
PWN技巧-绕过Canary的几种姿势
1. 格式化字符串漏洞获取Canarypl1='a'*0x49p.sendafter('overflow?\n',pl1)data=p.recv()canary=b'\x00'+data[0x49:0x49+7]canary = int.from_bytes(canary,'little')success('canary:')success(hex(canary)) 2. 覆盖截断字符获取Canary3. 逐字节爆破Canary 适用于有通过fork()函数创建的子进程的程序 爆破原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的特点,彻底逐个字节将Canary爆破出来。通用模...
2025-02-16
PWN技巧-栈对齐
(Ubuntu 18.04版本及以上需考虑 ) 罪魁祸首movaps xmmword ptr [rsp + 0x50], xmm0 从 https://www.felixcloutier.com/x86/movaps 处我们可以知道,这条指令的功能是: 将xmm0中保存的单精度浮点数从xmm0移动至地址[rsp + 0x50]处 。 当然,更重要的是这条指令的执行条件,这直接关系到程序报错的原因。原文中对执行条件的描述如下: When the source or destination operand is a memory operand, the operand must be aligned on a 16-byte (128-bit version), 32-byte (VEX.256 encoded version) or 64-byte (EVEX.512 encoded version) boundary or a general-protection exception (#GP) will be generated. 此时报错的原因就显而易见了:当内存地址作...
2025-02-22
Art_of_shellcode
很有用的网址https://www.exploit-db.com/shellcodes https://v3rdant.cn/Pwn.The-Art-of-Shellcode/ PWN:手动编写 x64 基于syscall 的 shell code(TODO)_x64 syscall pwn-CSDN博客
2025-02-06
ELF文件保护机制
Linux ELF文件的保护主要有四种:Canary、NX、PIE、RELRO 1.CanaryStackCanary表示栈的报警保护。在函数返回值之前添加的一串随机数(不超过机器字长)(也叫做cookie),末位为/x00(提供了覆盖最后一字节输出泄露Canary的可能),如果出现缓冲区溢出攻击,覆盖内容覆盖到Canary处,就会改变原本该处的数值,当程序执行到此处时,会检查Canary值是否跟开始的值一样,如果不一样,程序会崩溃,从而达到保护返回地址的目的。 //GCC用法gcc -o test test.c // 默认情况下,不开启Canary保护gcc -fno-stack-protector -o test test.c //禁用栈保护gcc -fstack-protector -o test test.c //启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码-fno-stack-protector /-fstack-prote...