B站pwn教程笔记-2
这次是栈溢出基础。
栈基础知识
栈帧结构概览
看上图的高地址和低地址。arguments是子函数的形参。蓝色的是上一个栈的ebp值,用于在子函数执行完毕之后,返回到正确的ebp.
heap的占的内存大大的超过stack。
下面看看调用栈的详细过程。
一个函数都是以push ebp开始,因为这保存了主调函数的栈底,便于下一步恢复。离开一般都是leave和retn。而call自己就会将返回地址压入栈中。
缓冲区溢出 和部分IDA技巧
第一个栈溢出病毒莫里斯蠕虫 下图是一些用得到的工具。后两个工具以后会接触,one_gadget貌似牛逼点。
checksec检查的保护措施
保护措施见上图
ASLR地址随机化,直接在操作系统选择是否打开,作用就是顾名思义。一般远程服务器都会开启,防止栈上ret2shellcode。PIE则是随机化data、bss、text这些段。
NX默认都是开启的。不排除出题人故意考察这个内容。
man是linux里面的帮助手册,第三章是c语言库函数,语言man 3 gets这样操作就可以查出条目。有的需要安装相关数据库才会查出来的。
gets容易溢出。
IDA里面的粉色的内容就是属于动态链接.还有一个IDA的使用提示,右键全选伪代码后有1个拷贝到汇编选项,点击后相应语句汇编代码会附在下面,便于学习汇编。ctrl+s保存工程文件。
比赛技巧,可以在本地调试拿到shell,在exp里面把process改为远程就行了。
实战和exp
sendline相当于send后面+\n。recvline就是接受一行数据。recv这个会把所有都输出,包括\r前面的(\r是隐藏前面的意思)
这行命令可以解码base64、
这个是出题人关闭缓冲区,0可以换为null
需要说明一下下图,IDA有时候会标识这数据在栈的相对位置,一般只看ebp就好了。但是有时候出题人会故意让他只有esp 所以最可靠还是利用动态调试来看到底溢出多少。
动调
pwngdb是工具。
r | run | 开始执行被调试的程序。如果程序之前已经停止,再次使用该命令会重新启动程序。它会按照默认的参数和环境设置来运行程序,当设置好断点等调试信息后,使用此命令开始程序的执行,程序会运行到第一个断点处暂停。例如,在分析一个可执行文件时,输入 r 就可以启动这个程序进入调试状态。 |
b | break | 用于设置断点。断点是程序执行过程中的特定位置,当程序运行到断点处时会暂停执行,方便调试人员查看程序此时的状态,如变量的值、寄存器的内容等。可以根据函数名、行号、地址等设置断点。例如,b main 会在 main 函数的起始位置设置断点;b 10 会在当前文件的第 10 行设置断点。b *0x8888在特定地址断 |
s | step | 单步执行程序。执行一条源代码语句,如果该语句调用了函数,会进入到被调用函数的内部继续单步执行。这有助于深入分析函数内部的执行流程和逻辑。例如,当程序执行到一个函数调用语句时,使用 s 命令会进入该函数,逐行执行函数内的代码。 |
n | next | 也是单步执行程序,但与 step 不同的是,当遇到函数调用时,next 会将函数调用当作一条语句执行,不会进入到函数内部,而是直接执行完函数调用并停在函数调用的下一条语句。这样可以快速跳过一些不需要深入调试的函数调用,加快调试过程。例如,对于一些已经确定功能正常的库函数调用,使用 n 命令可以直接跳过,继续调试后续代码。 |
ret2text
2是to的意思。
这个类型就是程序本身具有一个后门函数,我们篡改返回地址就可以了。
ret2shellcode
有难度。这时候是没有后门函数了。也就是直接把shell代码写在可执行的地方。这里需要转化,不然shell直接写他也不认识。更多是写入栈区和bss段,不常见在堆区操作。
因为既然能栈溢出,那么我肯定可以写入shellcode。这相当于充要条件。没有开启NX保护的时候,栈溢出反而直接在栈上更方便,ret到栈上的shellcode。
pwntools的shellcraft.xx()可以在xx输入一些命令,来看到对应的汇编代码比如shellcraft.sh()这个是用于32位,64位是shellcraft.arm64.sh()
而pwntools的arm()函数可以把汇编代码转为机器码disarm作用相反。直接print输出arm的内容其实会按照ascii码形式输出,但是不影响他是机器码。
攻击64位要加这一句话:不然整体环境还是攻击32位的。比如arm输出的
ret2shellcode有个RWX,需要注意,这是特征之一。
