xia0ji233's blog

在做pwn题的时候，我们会想尽一切办法执行函数system("/bin/sh")，那么执行这个需要两点： 1.找到system()函数。 2.找到"/bin/sh"字符串。 level0:have everything这个情况在简单比赛的签到题估计都出不了了，在溢出点写上system()的地址，若是32位则隔四字节往后填充"/bin/sh"字符串就行了。如果是64位的那么找到pop %rdi ret的gadgets在返回地址填上，并且后面堆上"/bin/sh"的地址和system()的地址即可成功 level1:without “bin/sh”在一个地方写上"bin/sh"然后溢出的时候传参就行了。如果没开启ASLR那么可以直接往栈上写，如果开了那你只能往.bss段去写，其实写好后跟level0差不多,也不多赘述。 level9999:have nothing哇，这个难度我觉得真的是上升了不少档次，所以给个9999级我觉得不过分。 啥都没有的情况就要往libc里面去找sys ...

这几天一直在跟着团队的进度做csapp的实验报告，突然想拿题来练手了才发现自己还是有点菜的。这次的任务是做一道简简单单的带canary保护的一题，做了很长时间问了很多师傅，也算把这个方法搞搞明白了，但是不确定能不能完全说的明白，那么下面就开始吧。 canary保护canary就是一段简简单单的cookie，它一般在上个函数所保存的ebp之前(即靠近栈顶的那个方向)下面一个图能描述一个带canary保护的栈帧，应该还是比较清楚的。 1234567891011↑栈顶buf//函数的缓冲区，一般用于保存局部变量canaryebp//上一个函数保存的ebpeip//返回地址argument 1argument 2argument 3......↓栈底 如果企图用大量数据覆盖缓冲区并且修改返回地址的数据达到劫持eip的目的那么就会修改canary的值，那么在返回的时候检测到canary的值发生改变后就会直接抛出异常并且停止执行程序。并且每次canary的值都是随机的，普通方法几乎是突破不了的。但是我们可以先想办法泄露canary的值，然后再把canary插入到payload当中，这样的话， ...

缓冲区溢出攻击的实验 在此实验开始之前，弄清楚给你的三个文件分别干嘛的。 bufbomb：实验需要攻击的程序 hex2raw：根据填写的字节生成攻击字符串 makecookie：对每个实验用户生成一个八位十六进制的字节序列，用于识别用户。(可能是用来打分的) 在gdb要运行的时候，一定要输入r -u <your id>，终端运行要输入./bufbomb -u <your id>，否则你是运行不了的。那咱们先输入./makecookie -q生成你的cookie（id）,最好先找个地儿保存一下。 作者在这里赞美一下这本书的编者：csapp的所有实验设计简直不要太好，学习计算机系统本是一个很枯燥的学习过程，但是这里的实验最大程度激发学生学习的兴趣。同时也希望国内的编者能够借鉴这本书的巧妙之处，让国内出越来越多的优秀教材。（由于本人表达能力不够，也只能这么夸了qwq） level0:Candle这一堆英文我反正也看不来qwq，既然是level0不妨问题想简单一点：给了我test()函数，调用了一个getbuf()，而后又有一个gets()危险函数，又给了一个Smo ...

今天来康康attack lab啊 Ctargetlevel1题目给出函数test，test里面有函数getbuf，然后它给定的提权函数是touch1()，我们那我们先gdb ctarget进入调试，然后输入disassemble getbuf查看汇编代码。 可以很清楚的看到函数的缓冲区大小是0x28字节，然后gets已经说明是库的标准函数了，gets函数是有漏洞的，它在读入字符串的时候不会对长度检测，而是给多少读多少。那么我们可以用这个gets来实现栈溢出，执行我们的权限函数touch1()，我们可以先用00字节填充40个字节，然后再加上shell函数的地址。注意前面可以用除了0a的任意字节填充，因为0a代表’\n’的意思，gets函数一旦读到这个字符就会认为字符串读取结束了。我们用print touch1去查看该函数的地址。 发现了提权函数的地址之后我们就可以构造payload了。我们先q退出gdb，然后这里先创建一个文本文件vim attack1.txt 然后填充 12345600 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0 ...

二进制逆向分析的实验 先观察给的.c文件，发现是要输入六组语句并且判断正误的，并且很容易发现判断函数phase_i(i=1,2…6)要有一个错误，炸弹即爆炸，那我们就要用到gdb调试了,在终端输入gdb bomb进入调试 phase_1首先在phase_1处断点（命令：b phase_1）找到phase_1的拆弹语句。然后r运行，先随便输入点东西这里我输入了很多a,断在该处之后单步调试，因为要进入函数内部，我们用命令step或者s进行单步调试。调试发现一个strings_not_equal函数，跟进去看发现寄存器rdi为我们输入的很多个a，而寄存器rsi已经有了一句话。 那么能直接断定这个就是我们的拆弹语句，重新调试进去输入那个语句Border relations with Canada have never been better.发现成功拆掉了这个炸弹，那么phase_1就拆掉了。 phase_2拆完了之后就看向phase_2，我们先delete 清除所有断点然后b phase_2新增断点，r之后先输入之前的拆弹语句来到phase_2，我们照例输入很多的a，s ...

none