【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

前言

从8.2开始系统性学习pwn,在此之前,学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。

文章中的部分图片来自于教学视频

学习视频链接:XMCVE 2020 CTF Pwn入门课程【星盟安全】PWN系列教程(持续更新)

学习文章链接: CTF Wiki

elf文件

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

未初始化的全局变量glb,编译出来在内存中bss中

初始化的全局变量str(没有被修改过),编译出来在内存中data

而hello world在text段中

main和sum函数都在text段中,以机器码形式存放

局部变量t和prt放入栈中

malloc出来的空间放在heap中

【pwn】学pwn日记(持续更新)

32位栈结构

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

ASLR:栈地址随机化(必定打开)

NX:栈保护

Canary:防止缓冲区溢出

PIE:地址无关代码,随即bss、data、text

ret2shellcode

因为现在绝大部分的pwn都开启了alsr(地址随机化),所以我们往往无法向栈中写入shellcode

现在有两种方法解决问题

  1. 如果缓冲区设置在.bss区域中,也就是可以更改全局变量,且NX关闭,bss具有写的能力,我们将shellcode写入这个全局变量中,shellcode就可以执行

  2. 使用nop滑梯,即使aslr随机更改地址,我们设置一个指向中间的返回地址,也有一定概率执行shellcode

    【pwn】学pwn日记(持续更新)

ret2syscall

rop的构造

【pwn】学pwn日记(持续更新)

ret2libc

动态链接和静态链接的区别

【pwn】学pwn日记(持续更新)

动态链接生成的elf文件很小,和源代码大小差不多

静态链接生成的elf文件很大,是源代码的几倍,涉及到的函数越多,就越大

动态链接需要.so装载器,其中装载了libc-2.xx.so等文件

动态链接相关结构

link_map:保存进程载入的动态链接库的链表(因为可能不仅仅载入一个libc.so文件)

.dynamic节:提供动态链接的相关信息

.got:全局偏移量表

plt:解析函数的真实地址

.got.plt:保存函数地址

【pwn】学pwn日记(持续更新)

动态链接过程

第一次调用,foo去got.plt中询问foo真实地址,但是got.plt也不知道,让foo回去自己找这个地址,于是foo开始解析,解析后调用,将foo真实地址给got.plt,通过got.plt到foo真实地址

【pwn】学pwn日记(持续更新)

第二次调用,plt到got.plt,got.plt直接随着地址到了真实的foo函数地址

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

所以虽然我们不知道text段的system,但是我们只需要将system的plt地址知道,就可以到system的真实地址,调用真正功能

然后看ret2libc1,从这两张图知道,为什么填充完了局部变量缓冲区和ebp,再填充system函数之后需要加上4个字节的exit函数(这里的exit函数相当于一个返回地址),因为system函数地址+8字节才是system函数的参数,可以参考32位程序的堆栈图

所以这段栈溢出造成的攻击就是执行了两行代码:

  • system("/bin/sh")
  • exit(0)

【pwn】学pwn日记(持续更新)

【pwn】学pwn日记(持续更新)

32位程序的堆栈图

【pwn】学pwn日记(持续更新)

上一篇:esp32 -Task watchdog got triggered的处理


下一篇:设计模式应用举例