简单网站设计模板,贵阳建网站,互联网行业是干什么的,asp 精品网站制作今天进行的实验是CTF PWN练习之返回地址覆盖#xff0c;来体验一下新的溢出方式。
学习地址覆盖之前还有些小知识需要掌握#xff0c;不然做题的时候你肯定一脸懵逼,首先是函数调用约定#xff0c;然后还要知道基本的缓冲区溢出攻击模型。
函数调用约定
函数调用约定描述…今天进行的实验是CTF PWN练习之返回地址覆盖来体验一下新的溢出方式。
学习地址覆盖之前还有些小知识需要掌握不然做题的时候你肯定一脸懵逼,首先是函数调用约定然后还要知道基本的缓冲区溢出攻击模型。
函数调用约定
函数调用约定描述了函数传递参数的方式和栈协同工作的技术细节不同的函数调用约定原理基本相同但在细节上是有差别的包括函数参数的传递方式、参数的入栈顺序、函数返回时由谁来平衡堆栈扥。本实验中着重讲解C语言函数调用约定。
通过前面几个PWN系列实验的学习我们可以发现在gdb中通过disas指令对main函数进行反汇编时函数的开头和结尾的反汇编指令都是一样的
push %ebp
mov %esp,%ebp
…
leave
ret
在函数大开头首先是一条push %ebp指令将ebp寄存器压入栈中用于保存ebp寄存器的值接着是mov %esp,%ebp将esp寄存器的值传递给ebp寄存器在函数的末尾leave指令相当于mov %ebp,%esp和pop %ebp两条指令其作用刚好与开头的两条指令相反即恢复esp和ebp寄存器的内容。
如果在函数A中调用了函数B我们称函数A为主调函数函数B为被调函数如果函数B的声明为int B(int arg1, int arg2, int arg3)那么函数A中的调用函数B时的汇编指令的形式如下
push arg3
push arg2
push arg1
call B
连续三个push将函数的参数按照从右往左的顺序进行压栈然后执行call B来调用函数B。注意在gdb中看到的效果可能不是三个push而是三个mov来对栈进行操作这是因为Linux采用ATT风格的汇编而上面的指令使用的是Intel风格的汇编比较容易理解。
call指令的内部细节为将下一条指令的地址压入栈中然后跳转到函数B去执行代码。这里说的call下一条指令的地址也就是通常所说的返回地址。函数B最后一条retn指令会从栈上弹出返回地址并赋值给EIP寄存器达到返回函数A继续执行的目的。 基本的缓冲区溢出攻击模型
基本的缓冲区溢出攻击通常是通过改写函数返回地址的形式来发起攻击的。如A调用B函数正常情况下B函数返回时执行retn指令从栈上取出返回地址跳转回A函数继续执行代码。而一旦返回地址被缓冲区溢出数据改写那么我们就可以控制函数B跳转到指定的地方去执行代码了。 1. 实验内容和步骤
本文涉及相关实验[《PWN练习之返回地址覆盖》](https://www.hetianlab.com/expc.do?ecECID172.19.104.182014110409173900001pk_campaignfreebuf- wemedia)。
做实验前先好好审题看一下描述。
主机/home/test/5目录下有一个pwn5程序执行这个程序可以输入数据进行测试正常情况下程序接收输入数据后不会产生任何输出信息并直接退出然后当输入一定的数据量时可能会提示 Segmentation fault 的错误信息当输入的精心构造的输入数据时可对程序发起溢出攻击达到改写程序执行流程的目的攻击成功时将输出如下信息
Congratulations, you pwned it.
请对pwn5程序进行逆向分析和调试找到程序内部的漏洞并构造特殊的输入数据使之输出成功的提示信息。
使用cd /home/test/5切换到程序所在目录执行cat pwn5.c即可看到源代码
#include stdio.h
void win()
{
printf(“Congratulations, you pwned it.\n”);
}
int main(int argc, char** argv)
{
char buffer[64];
gets(buffer); // 存在缓冲区溢出
return 0;
}
程序定义了一个64字节大小的buffer数组然后使用gets获取输入数据我们知道gets是不安全的函数这里会引发缓冲区溢出栈上函数的返回地址可以被改写当返回地址被改写为win函数的地址时就可以输出成功提示的信息。
gets(buffer)这个溢出太明显了问题就是不知道我们要输入多少位才能溢出。
执行gdb pwn5即可开始通过gdb对pwn5进行调试现在我们需要阅读main函数的汇编代码在gdb中执行disas main命令即可
我们首先使用b *0x080483f8对main函数的第一条指令下一个断点同时使用b *0x08048408对gets函数的调用下一个断点然后输入r命令运行程序将会在第一个断点处断下如下图所示 这时候运行i r $esp来查看esp寄存器的值通过前面对函数调用约定的分析我们知道这时候栈顶存储的就是返回地址这时候esp寄存器的值为0xffffd6cc。
在gdb中输入c命令让程序继续执行将在第二个断点断下通过对汇编指令的分析我们知道eax寄存器存储了buffer的起始地址所以运行i r $eax来查看buffer的地址 我们看到eax寄存器的值为0xffffd680那么这两个地址的差为76如下图下图所示 也就是说在覆盖了76字节数据后如果再覆盖4个字节就可以把返回地址覆盖为我们想要的地址了。
在gdb中执行disas win查看win函数的地址为0x080483e4接下来就可以构造输入数据来发起溢出攻击了。
我们只要合理控制输入数据的第77~80字节的内容就可以实现对函数返回地址进行覆盖从而成功发起溢出攻击了。
现在win函数的地址为0x080483e4转换为小端格式是’\xe4\x83\x04\x08’那么可以构造这样的命令来进行溢出测试
python -c “print ‘A’*76‘\xe4\x83\x04\x08’” | ./pwn5
攻击效果如下图所示 最后
分享一个快速学习【网络安全】的方法「也许是」最全面的学习方法 1、网络安全理论知识2天 ①了解行业相关背景前景确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。非常重要
2、渗透测试基础一周 ①渗透测试的流程、分类、标准 ②信息收集技术主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理利用方法、工具MSF、绕过IDS和反病毒侦察 ④主机攻防演练MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础一周 ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全系统入侵排查/系统加固基础
4、计算机网络基础一周 ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析HTTP、TCP/IP、ARP等 ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作2天 ①数据库基础 ②SQL语言基础 ③数据库安全加固
6、Web渗透1周 ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具Nmap、BurpSuite、SQLMap、其他菜刀、漏扫等 恭喜你如果学到这里你基本可以从事一份网络安全相关的工作比如渗透测试、Web 渗透、安全服务、安全分析等岗位如果等保模块学的好还可以从事等保工程师。薪资区间6k-15k。
到此为止大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗
想要入坑黑客网络安全的朋友给大家准备了一份282G全网最全的网络安全资料包免费领取 点【文末卡片】免费领取
有了这些基础如果你要深入学习可以参考下方这个超详细学习路线图按照这个路线学习完全够支撑你成为一名优秀的中高级网络安全工程师
[高清学习路线图或XMIND文件点击文末卡片领取]
还有一些学习中收集的视频、文档资源有需要的可以自取 每个成长路线对应板块的配套视频 当然除了有配套的视频同时也为大家整理了各种文档和书籍资料工具并且已经帮大家分好类了。 因篇幅有限仅展示部分资料需要的可以【点下方卡片免费领取】
