【PWN】学习笔记(二)【栈溢出基础】

目录

  • 课程教学
  • C语言函数调用栈
  • ret2text
  • PWN工具

课程教学

课程链接:https://www.bilibili.com/video/BV1854y1y7Ro/?vd_source=7b06bd7a9dd90c45c5c9c44d12e7b4e6
课程附件: https://pan.baidu.com/s/1vRCd4bMkqnqqY1nT2uhSYw 提取码: 5rx6

C语言函数调用栈

在这里插入图片描述
一个栈帧保存的是一个函数的状态信息,父函数每调用一个子函数就会在函数调用栈中新增一个栈帧;
32 x86 esp
64 x86 rsp
在这里插入图片描述
ebp 栈底
esp 栈顶
stack frame pointer记录上一个父函数的栈顶指针的值,便于恢复父函数;
发生栈溢出的地方在local variables【上图是32位情况】
上图是32位情况,在32位传参时,子函数所用到的参数保存在父函数栈帧的末尾(并不是保存在自己的栈帧中),这里的arguments是子函数所用到的形参
父函数最末尾的字长保存父函数自己栈顶的值,如上面红色的箭头指向previous stack frame pointer,同理父函数的父函数也是一样的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

父函数(main)先把所要调用的子函数(sum)中的参数(1,2)逆序压栈(压入自己的栈帧),此后压入return address【即子函数下一条指令的地址(return 0 的地址)】,在子函数执行后回到下一条指令的地址(执行return 0);在子函数结束后要返回父函数的栈帧,这意味在调用子函数时不能把父函数的栈帧丢弃,由此需要加入父函数的栈底指针加入
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
丢弃某块数据不用,并不需要把这块数据抹除,只需要标记成不是我所使用的范围即可;这也是磁盘数据恢复的原理,除非有新来的数据复写
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
主调函数 caller
被调函数 callee
在这里插入图片描述
遵循C语言函数调用规范,一般在开头用push ebp以及mov ebp, esp,需要保存父函数栈底的状态;结束会执行leave(恢复父函数的栈底)以及 ret(返回到父函数的下一条指令)

首先,主调函数也是有自己的父函数,将它的父函数的ebp压入
在这里插入图片描述
接着把esp抬高到和ebp相同的位置
在这里插入图片描述
下一条指令为新的栈帧开辟局部变量的空间;这里是sub 0x10 , esp,即esp-16;为什么是减去?因为栈是反向增长(高到低)

将被调函数所用到的参数(1,2,3)反向压入栈,即先压入3,再压入2,最后压入1;
在这里插入图片描述
call 这条指令不等于jump,jump是一个跳转指令;call 不仅会将eip移动到目标代码的位置,还会在栈中自动保存下一条指令的地址【此时的return address就是23的位置】
在这里插入图片描述
此时进入被调函数,同理首先是push ebp和mov sep , ebp;先把主调函数的栈帧保存;注意此时父函数的ebp重新增加到栈里了,将esp的值赋给ebp;让ebp抬高到新的栈帧的栈顶
在这里插入图片描述
执行实际操作,最后的运算结果保存在eax的寄存器中【默认情况下保存函数的返回值】
在这里插入图片描述
由于esp并没有开辟局部变量的空间;为什么不是leave?leave就是 mov ebp,esp再pop ebp,这里只有pop ebp是因为子函数没有任何局部变量,所以ebp在调用返回时已经在相应的位置了;pop这条指令总是把esp当前指向的位置,对应的一个字长的数据抬入到目标位置;所以pop ebp就会把esp向上抬一个字长,把esp本来指向父函数的值抬入ebp中;
在这里插入图片描述
ret 相当于pop eip,eip回到父函数的位置

在这里插入图片描述
主调函数情况其局部变量以及被调函数的相关参数
在这里插入图片描述
使用add这条指令清空数据;最后保存结果到eax中
在这里插入图片描述
值得注意的是,此时返回时esp和ebp并不在相同位置,所以需要leave,首先将esp的值变成ebp
在这里插入图片描述
返回父函数的父函数
在这里插入图片描述
以上过程需要非常熟练;栈还有很多其他工作的规则,以上是最基本的

ret2text

在这里插入图片描述
关注eip寄存器,其中return address存在eip中;当eip中写入我们目标代码的地址,程序的控制流便被劫持了
在这里插入图片描述
栈溢出是缓冲区溢出的一种
在这里插入图片描述
在这里插入图片描述
向局部变量(str[8])中写入24字节数据,溢出到了关键结构
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
当我们拿到一个CTF PWN的题先通过checksec 看这个程序有什么保护措施
【x86架构小端序的可执行ELF】
在这里插入图片描述
通过IDA看c语言代码
在这里插入图片描述
显然漏洞明显,读入的数据长度不受限向上溢出
值得注意的是,此时虽然开辟了8字节,但是与ebp的距离是16字节(10h)
最好的方法还是动态调试,因为出题人可能以esp来寻址
在这里插入图片描述
通过gdb动态调试,直接run是没什么意义的,先打断点,例如b main【b 表示 break】,再r【r 表示run】;此时我们可以看到具体的信息
在这里插入图片描述
在程序执行到绿色箭头位置时,所有寄存器的值;
eip此时main函数偏移26字节的指令,当前指针也是0x804856b
esp和ebp此时对应的值是一个很大的值,这是栈的地址(用户空间的最高地址)
在这里插入图片描述
这是反汇编窗口
在这里插入图片描述
最上面的00:0000是栈顶(低地址),最下面的07:001c是栈底(高地址);gdb是反着显示的
在这里插入图片描述
函数调用栈的关系
在这里插入图片描述
按n一直步过到漏洞位置
在这里插入图片描述
按s步进入这个函数
在这里插入图片描述
按n开始输入,按照正常输入8个A看什么情况
在这里插入图片描述
这里我们看栈里面的情况,输入stack 看多少项(24项栈值)
esp和ebp之间就是当前执行的函数的栈帧,esp表示栈顶,ebp是栈底
ebp是前一个函数被保存在栈里的ebp的值,ebp再往高一个字长就是返回地址,我们的目标就是攻击这个返回地址
我们此时可控制的区域是esp和ebp之间的位置,即buffer这个变量
在这里插入图片描述
这意味着只要我们一直写,覆盖返回地址即可达到攻击效果
在这里插入图片描述
回到IDA我们可找到这个后门函数,执行系统命令,直接获得shell的控制权,相当于在shell中打开shell
这意味着我们先写20个字节A(ebp还有4个字节),再写4个字节制定的地址就会把原本的地址覆盖掉
在这里插入图片描述
我们要找到getshell的开始地址,通过双击IDA中getshell在汇编代码中找到起始地址8048522
在这里插入图片描述
我们这里就可以写脚本来获得shell了,值得注意的是payload中不能直接加0x8048522【前面是字符串这里是整型】,所以需要p32来转换
最终发送payload并且与之交互io.interactive(),即可获得shell
打远程只要用remote即可

但是实际情况下不一定有后门函数
在这里插入图片描述
一般系统调用这样的代码需要我们自己输入
在这里插入图片描述
只要不是代码的地方都不可执行
在这里插入图片描述
随机化栈中的地址
在这里插入图片描述
所以放在Bss中居多,Bss用于存放全局变量的,如果这个全局变量是开辟缓存区可以输入系统调用即可
在这里插入图片描述
比如上面这个情况
在这里插入图片描述
利用工具直接生成shellcode的机械码,再io.send直接发送

PWN工具

在这里插入图片描述
IDA pro
f5 进入c程序
esc 返回上一个程序
在这里插入图片描述
白色的函数为已写死的函数
粉色的函数要用的时候再去调
在这里插入图片描述
在Options的General中可调整一些设置,例如加入机械码
在这里插入图片描述
在这里插入图片描述
这样C语言代码被拷贝到汇编代码中
在这里插入图片描述
shift+f12 或者 shift+fn+f12打开一个字符串界面【在不知道mian函数位置,可通过程序所表示的字符串找程序的主函数】
在这里插入图片描述
在这里插入图片描述
\r把之前的文本在显示时清空,io.recv()把所有的数据完全还原【这里我用的时io.recvline()一行一行接收】
这里的ZmxhZ3tuMHRfZjRzdGVyX3Q2YW5feTB1fQo=显然是Base64,我们需要解码

在这里插入图片描述
将其解码

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/213527.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Doocker还原容器启动命令参数

get_command_4_run_container可以还原docker执行命令, 这是个第三方包,需要先安装: docker pull cucker/get_command_4_run_container 命令格式: docker run --rm -v /var/run/docker.sock:/var/run/docker.sock cucker/get_command_4_run…

MISRA C++ 2023:C和C++测试解决方案实现静态分析

自动化软件测试解决方案的全球领导者Parasoft今天宣布,随着Parasoft C/Ctest 2023.2即将发布,全面支持MISRA C 2023。Parasoft针对C和C软件开发的完全集成测试解决方案计划于2023年12月发布,可以帮助团队实现自动化静态分析和编码标准合规性&…

git报错WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

git报错WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! 可能存在的情况是:连接的gitlab服务已经切换物理服务器。除了上述的可能性还可以参考以下 Git Pull FailedWARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! IT IS POSSIBLE THAT SOMEONE IS DOING …

Windows 安全基础——NetBIOS篇

Windows 安全基础——NetBIOS篇 1. NetBIOS简介 NetBIOS(Network Basic Input/Output System, 网络基本输入输出系统)是一种接入服务网络的接口标准。主机系统通过WINS服务、广播及lmhosts文件多种模式,把NetBIOS名解析对应的IP地址&#xf…

Windows安装Maven

一、Maven 是什么? Maven 是一个项目管理和整合工具。Maven 为开发者提供了一套完整的构建生命周期框架。开发团队几乎不用花多少时间就能够自动完成工程的基础构建配置,因为 Maven 使用了一个标准的目录结构和一个默认的构建生命周期。 在有多个开发团…

AirServer Mac7.27中文破解2024最新图文安装激活教程含许可证

AirServer Mac 7.27中文破解是一款便捷式投屏软件,它的主要功能在于实时地将移动设备上的图像画面内容投放到电脑设备上,让电脑成为iPad、iPhone等iOS系统设备的大屏显示器。 在设备之间建立局域网内的信号发送与接收通道,确保数据可以稳定安…

pytorch 常用api笔记

view_as()函数 函数定义:view_as(tensor) [参数为一个Tensor张量] 该函数的作用是将调用函数的变量,转变为同参数tensor同样的形状。 例子 data1 [[[1, 2], [3, 4], [5, 6]], [[7, 8], [9, 0], [10, 11]]] t1 torch.Tensor(data1).long() # size2…

【解刊】IEEE(trans),1区TOP,CCF-B,审稿国人友好,最快仅1个月录用!值得收藏~

计算机类 • 好刊解读 今天小编带来IEEE旗下计算机领域高分好刊,CCF-B类推荐的期刊解读,期刊审稿快,投稿友好,如您有投稿需求,可作为重点关注!后文有相关领域真实发表案例,供您投稿参考~ 01 期…

1,使用IDLE开启我们第一个Python程序

前面我们已经安装好了Python,安装了Python后,他会自动帮我们安装一个IDLE。IDLE是一个Python自带的非常简洁的集成开发环境(IDE)。他是一个Python Shell,我们可以利用Python Shell与Python交互。下面我们就利用IDLE开发…

常用的调试方法(段错误产生原因)

C 语言中常用的调试技巧和 demo C语言中常用的调试方法 打印调试信息 GDB 调试器 编写单元测试 段错误产生原因 初学时两种常用的段错误调试方法 C 语言中常用的调试技巧和 demo 当程序员进行调试时,他们通常会使用一些调试语句或技巧来帮助他们理解代码的执行过程…

跟风申请香港优才计划的人,很容易进入骗局和被割韭菜!

跟风申请香港优才计划的人,很容易进入骗局和被割韭菜! 不得不承认一个事实就是,越来越多内地人正在抢占申请香港身份的份额!就因为这个项目门槛低、投入低,简单来说就是多一层身份,多一层福利保障。 从目前…

Pyqt python 界面代码

1、界面拖动代码 # 拖动 def mousePressEvent(self, event):if event.button() QtCore.Qt.LeftButton and self.isMaximized() False:self.m_flag Trueself.m_Position event.globalPos() - self.pos() # 获取鼠标相对窗口的位置event.accept()self.setCursor(QtGui.QCur…

go - 计算CIDR的主机数量

在网络中,CIDR /32 表示该地址只能用作网络地址本身,不能分配给任何主机。因此,在计算主机数量时,应将 CIDR 地址按照其位掩码长度进行区分。对于 /32 子网掩码,主机数量总是为 1,而不是 -1。 以下是修正后…

二.ts基础类型

ts的基础类型包含js的基础类型和ts独有的基础类型 我们一般使用[let | const | val] 变量:类型 值的方式声明一个带有类型的变量 stringlet val:string 1numberlet val:number 1boolearnlet val:boolaern falseundefindlet val:undefind undefindnulllet val:nul…

Kubernetes实战(九)-kubeadm安装k8s集群

1 环境准备 1.1 主机信息 iphostname10.220.43.203master10.220.43.204node1 1.2 系统信息 $ cat /etc/redhat-release Alibaba Cloud Linux (Aliyun Linux) release 2.1903 LTS (Hunting Beagle) 2 部署准备 master/与slave主机均需要设置。 2.1 设置主机名 # master h…

成都工业学院Web技术基础(WEB)实验五:CSS3动画制作

写在前面 1、基于2022级计算机大类实验指导书 2、代码仅提供参考,前端变化比较大,按照要求,只能做到像,不能做到一模一样 3、图片和文字仅为示例,需要自行替换 4、如果代码不满足你的要求,请寻求其他的…

使用PyTorch II的新特性加快LLM推理速度

Pytorch团队提出了一种纯粹通过PyTorch新特性在的自下而上的优化LLM方法,包括: Torch.compile: PyTorch模型的编译器 GPU量化:通过降低精度操作来加速模型 推测解码:使用一个小的“草稿”模型来加速llm来预测一个大的“目标”模型的输出 张量并行:通过在多个设备…

成都工业学院Web技术基础(WEB)实验三:CSS字体等属性使用

写在前面 1、基于2022级计算机大类实验指导书 2、代码仅提供参考,前端变化比较大,按照要求,只能做到像,不能做到一模一样 3、图片和文字仅为示例,需要自行替换 4、如果代码不满足你的要求,请寻求其他的…

Oracle 慢查询排查步骤

1. Oracle 慢查询排查步骤 1.1. 前言 记录一次 Oracle 慢查询的排查过程 , 便于以后直接使用。 看了一些文档 , Oracle 中优化的方案和 Mysql 基本上是一致的 , 通常包括一下几个方向 : 基准测试 (吞吐量): 包括 Oracle 本身吞吐量和磁盘 I/O 吞吐量 硬件分析 (资源情况): 包…

rails3 row sql example

refer: https://stackoverflow.com/questions/14824453/rails-raw-sql-example 搜索怎么在Rails3 使用row sql, 打开上面的链接,可以找到这样的答案,如下图: sql "Select * from ... your sql query here" records_ar…