PWN入门(从零开始学习PWN)

这次强网杯CTF,组队拿到了还算靠前的名次,但是也让我们看到了差距。特别是队伍里没有一个擅长PWN的,所以这个重任我自觉承担起来了。以前读书时,接触过一些。现在从新捡起来,开始学习PWN。目标是在下一次的CTF比赛中,拿到PWN的分数。

废话不多说,直接拿出练习计划,事务的学习都应该从易到难,这样学习起来效率较高。

(PS:没有基础的先看下大神写的入门介绍,个人感觉写得深入浅出,很容易明白.https://zhuanlan.zhihu.com/p/25892385

  1. 首先学习linux下漏洞利用方法。国外有个大神已经总结了一波:
    https://sploitfun.wordpress.com/2015/ 。我是准备一个月学完这个。
  2. 第二阶段找历年历届的CTF PWN题目练手,达到熟能生巧的目的。https://github.com/ctfs

在跟着国外大神练习时,我会使用两个方法 ,一种不实用工具,另外一种使用CTF比赛常用的工具,熟悉工具的使用。

第一天:

经典的栈溢出漏洞分析

https://sploitfun.wordpress.com/2015/05/08/classic-stack-based-buffer-overflow/

源程序:

//vuln.c
#include <stdio.h>
#include <string.h>

int main(int argc, char* argv[]) {
        /* [1] */ char buf[256];
        /* [2] */ strcpy(buf,argv[1]);
        /* [3] */ printf("Input:%s\n",buf);
        return 0;
}

我使用的32位的ubuntu14.04版本的。
首先漏洞利用,漏洞利用就是控制程序去执行我们想要它执行的代码。这个漏洞主要是利用覆盖eip来实现。

  1. 首先关闭地址随机化。
echo 0 > /proc/sys/kernel/randomize_va_space

2.然后打开栈执行,并且给程序可执行权限

$gcc -g -fno-stack-protector -z execstack -o vul1 vul1.c
chmod +s vul1  //给程序可执行权限

3.使用gdb反编译程序
(PS: gdb调试资料http://wiki.ubuntu.org.cn/%E7%94%A8GDB%E8%B0%83%E8%AF%95%E7%A8%8B%E5%BA%8F

屏幕快照 2018-03-29 下午8.30.21.png

4.反汇编出来的代码与国外大神博客是一样的。

(gdb) disassemble main
Dump of assembler code for function main:
   //Function Prologue
   0x08048414 <+0>: push   %ebp                      //backup caller's ebp
   0x08048415 <+1>: mov    %esp,%ebp                 //set callee's ebp to esp

   0x08048417 <+3>: and    $0xfffffff0,%esp          //stack alignment
   0x0804841a <+6>: sub    $0x110,%esp               //stack space for local variables
   0x08048420 <+12>:    mov    0xc(%ebp),%eax            //eax = argv
   0x08048423 <+15>:    add    $0x4,%eax                 //eax = &argv[1]
   0x08048426 <+18>:    mov    (%eax),%eax               //eax = argv[1]
   0x08048428 <+20>:    mov    %eax,0x4(%esp)            //strcpy arg2 
   0x0804842c <+24>:    lea    0x10(%esp),%eax           //eax = 'buf' 
   0x08048430 <+28>:    mov    %eax,(%esp)               //strcpy arg1
   0x08048433 <+31>:    call   0x8048330 <strcpy@plt>    //call strcpy
   0x08048438 <+36>:    mov    $0x8048530,%eax           //eax = format str "Input:%s\n"
   0x0804843d <+41>:    lea    0x10(%esp),%edx           //edx = buf
   0x08048441 <+45>:    mov    %edx,0x4(%esp)            //printf arg2
   0x08048445 <+49>:    mov    %eax,(%esp)               //printf arg1
   0x08048448 <+52>:    call   0x8048320 <printf@plt>    //call printf
   0x0804844d <+57>:    mov    $0x0,%eax                 //return value 0

   //Function Epilogue
   0x08048452 <+62>:    leave                            //mov ebp, esp; pop ebp; 
   0x08048453 <+63>:    ret                              //return
End of assembler dump.
屏幕快照 2018-03-29 下午8.31.06.png

5.分析需要的填充的字节数。
0x110(分配的字符数组)+0x8(16字节对齐)+0x4(ebp在eip前面)= 268个字节
覆盖地址至少先需要填充268个字节。找到eip覆盖的位置了,

怎么找到shellcode需要注入的地址呢?

先填充大量的无用数据,譬如A,然后导致程序崩溃,崩溃的地方就是函数地址返回的地方,这个时候esp=eip所在的栈位置。这样我们就先定位到esp的值。这里我推荐大家使用gdb-peda。以我的例子,我填充了400个A,然后用gdb-peda调试。
可以得到下图:

屏幕快照 2018-04-02 下午8.30.17.png

知道esp的值,我们可以把shellcode的返回地址设为这个值,
(实际操作中发现不行,需要填充NOP,暂时未搞清楚原因)
为了增大执行概率,我们还可以再shellcode前面加上NOP字段。
则返回地址计算:
返回地址=esp+N<NOP最填充长度
最后的代码为:


屏幕快照 2018-04-03 上午11.38.40.png

这地方有几个地方没搞明白,我的ret地址,使用esp时,不能执行,ret地址要加上0x18,填充NOP要足够。(还在查资料)
运行程序,成功执行shell。


屏幕快照 2018-04-03 上午11.39.49.png