moyin/fzu-product
1
0
Fork 0
Code Issues 1 Pull Requests Packages Projects Releases Wiki Activity

chore: turn cos to cdn

Browse Source
This commit is contained in:
camera-2018
2023-07-25 02:23:45 +08:00
parent e81e23ef85
commit 3716e9f77c
98 changed files with 522 additions and 522 deletions
Download Patch File Download Diff File Expand all files Collapse all files

46
6.计算机安全/6.1.1SQL 注入.md
View File

@@ -34,7 +34,7 @@ def check_pass(username, password):
`users` 表中查出 `username` 对应的 `password` 的哈希值,将其与用户传入的密码哈希值进行比对,若相等则意味着用户传入的密码与数据库中储存的密码相吻合,于是返回准许登录
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnHiNBWN86AR4AvSSsUVwSWb.png)
![](https://cdn.xyxsw.site/boxcnHiNBWN86AR4AvSSsUVwSWb.png)
那么问题来了,在语句
@@ -144,7 +144,7 @@ mysql> select group_concat(id,username separator '_') from users;
现在我们传入 `Liki4'` 这个字符串
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcn8TrpE02fnPV7dFzkmnHiAe.png)
![](https://cdn.xyxsw.site/boxcn8TrpE02fnPV7dFzkmnHiAe.png)
很遗憾,报错了,这个查询因为 SQL 语句存在语法错误而无法完成。
@@ -154,7 +154,7 @@ mysql> select group_concat(id,username separator '_') from users;
那如果我们传入 `Liki4';#` 这个字符串,那么在拼接后的查询又是什么结果呢
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnbAKreqEeZxOYQuQMtZbd9d.png)
![](https://cdn.xyxsw.site/boxcnbAKreqEeZxOYQuQMtZbd9d.png)
很显然,`#` 号将原本语句的 `';` 注释掉了
@@ -166,7 +166,7 @@ mysql> select group_concat(id,username separator '_') from users;
`raw_sql_danger' UNION SELECT password FROM users WHERE username = 'Liki5';#`
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcniDohuM3F8FbMqz7YSC0Y5g.png)
![](https://cdn.xyxsw.site/boxcniDohuM3F8FbMqz7YSC0Y5g.png)
<strong>真是惊人的壮举!我完全不认识这个叫 Liki5 的家伙,但我居然知道了他的密码对应的哈希值!</strong>
@@ -273,7 +273,7 @@ if __name__ == "__main__":
接下来我们进行一次常规查询
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnpCCmEi6LIKNi0UqEkXfJ8g.png)
![](https://cdn.xyxsw.site/boxcnpCCmEi6LIKNi0UqEkXfJ8g.png)
可以看到我们成功从数据库中查出了 `username``password`,并显示在返回中
@@ -293,7 +293,7 @@ def query(username):
...
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnbaW15gnJc1O9Iv9WXqJxPc.png)
![](https://cdn.xyxsw.site/boxcnbaW15gnJc1O9Iv9WXqJxPc.png)
可以看到,实际执行的语句为
@@ -307,7 +307,7 @@ SELECT * FROM users WHERE username = '123' UNION SELECT 1, 2;#'
构造语句 `123' UNION SELECT DATABASE(), @@version;#`
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnDeDp5yPE7W4KX9ByBl9ovh.png)
![](https://cdn.xyxsw.site/boxcnDeDp5yPE7W4KX9ByBl9ovh.png)
我们就能看到返回中包含了当前数据库名与当前数据库版本
@@ -317,13 +317,13 @@ SELECT * FROM users WHERE username = '123' UNION SELECT 1, 2;#'
> `information_schema` 库是一个 MySQL 内置数据库储存了数据库中的一些基本信息比如数据库名表名列名等一系列关键数据SQL 注入中可以查询该库来获取数据库中的敏感信息。
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnkwvSnhKBhlHNLOSthgul9d.png)
![](https://cdn.xyxsw.site/boxcnkwvSnhKBhlHNLOSthgul9d.png)
我们可以发现,当前数据库中还存在一张叫 `secret` 的表,让我们偷看一下里面存的是什么
构造语句 `123' UNION SELECT 1, secret_string FROM secret;#`
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcn3kfhJ79ByNML2Z1Q1MwRye.png)
![](https://cdn.xyxsw.site/boxcn3kfhJ79ByNML2Z1Q1MwRye.png)
好像得到了什么不得了的秘密 :-)
@@ -363,7 +363,7 @@ if __name__ == "__main__":
这样一来我们就只能知道自己是否登录成功,并不能看到查询返回的结果了
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcn2seUNESHkLC9PYvDp0vFbe.png)
![](https://cdn.xyxsw.site/boxcn2seUNESHkLC9PYvDp0vFbe.png)
那也就是说,我们无法直观地查看数据库中的数据了,即便查出了不该查的也看不到了 :-(
@@ -396,7 +396,7 @@ else:
> rlike 是 MySQL 中的一个关键字,是 regex 和 like 的结合体
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnJEeAKow3ZhUSvbL4FQXxOh.png)
![](https://cdn.xyxsw.site/boxcnJEeAKow3ZhUSvbL4FQXxOh.png)
这里实际执行的语句就变成了
@@ -404,13 +404,13 @@ else:
SELECT password FROM users WHERE username = 'Liki4' AND if(@@version rlike '^5',1,0);
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnJ3jImTQcMUOWJclTACj74e.png)
![](https://cdn.xyxsw.site/boxcnJ3jImTQcMUOWJclTACj74e.png)
```sql
SELECT password FROM users WHERE username = 'Liki4' AND if(@@version rlike '^8',1,0);
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnEDPFbKQ6iaM5WhHWUWmI5d.png)
![](https://cdn.xyxsw.site/boxcnEDPFbKQ6iaM5WhHWUWmI5d.png)
也就是说,当 if 语句中的条件为真时,这个查询才会将 password 查询出来
@@ -480,7 +480,7 @@ if __name__ == "__main__":
exp()
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnXyMaLh26lkNuAPiQVHuaNg.png)
![](https://cdn.xyxsw.site/boxcnXyMaLh26lkNuAPiQVHuaNg.png)
####
@@ -523,7 +523,7 @@ if __name__ == "__main__":
如果想要让布尔盲注不可用,我们可以做一个假设,假设我们并不知道账户的密码,也就无法通过登陆验证,这个时候就失去了布尔盲注最大的依赖,也就无法得知 if 表达式的真或假了。
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcndxf4WEQQQEXspS7GwNKI6J.png)
![](https://cdn.xyxsw.site/boxcndxf4WEQQQEXspS7GwNKI6J.png)
但,真的没办法了吗?
@@ -600,7 +600,7 @@ if __name__ == "__main__":
exp()
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnsStdHC5VmBylyx6S7hakEb.png)
![](https://cdn.xyxsw.site/boxcnsStdHC5VmBylyx6S7hakEb.png)
### 基于报错的 SQL 注入 (TODO)
@@ -640,7 +640,7 @@ if __name__ == "__main__":
main()
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnl67uDDSIdh3J7y7Jxjk0dc.png)
![](https://cdn.xyxsw.site/boxcnl67uDDSIdh3J7y7Jxjk0dc.png)
这样一来如果 SQL 语句执行报错的话,错误信息就会被打印出来
@@ -671,9 +671,9 @@ MySQL 8.0 doc: [https://dev.mysql.com/doc/refman/8.0/en/](https://dev.mysql.com/
`Liki4';INSERT INTO users VALUES ('Liki3','01848f8e70090495a136698a41c5b37406968c648ab12133e0f256b2364b5bb5');#`
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnrMIc2m6oubxC86CEtw1jMe.png)
![](https://cdn.xyxsw.site/boxcnrMIc2m6oubxC86CEtw1jMe.png)
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnVRdntvakiTpt7nP8JhKKfc.png)
![](https://cdn.xyxsw.site/boxcnVRdntvakiTpt7nP8JhKKfc.png)
INSERT 语句也被成功执行了,向数据库中插入了 Liki3 的数据
@@ -776,7 +776,7 @@ INSERT 语句也被成功执行了,向数据库中插入了 Liki3 的数据
在 GB2312、GBK、GB18030、BIG5、Shift_JIS 等编码下来吃掉 ASCII 字符的方法,可以用来绕过 `addslashes()`
`id=0%df%27%20union%20select%201,2,database();`
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnaRtyUGC0sX3btnFIgpDCob.png)
![](https://cdn.xyxsw.site/boxcnaRtyUGC0sX3btnFIgpDCob.png)
### information_schema 被过滤
@@ -795,7 +795,7 @@ select table_name from mysql.innodb_index_stats where database_name=<em>database
select table_name from mysql.innodb_table_stats where database_name=<em>database</em>();
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnbMtjAq8osStjcSbFuIdDSc.png)
![](https://cdn.xyxsw.site/boxcnbMtjAq8osStjcSbFuIdDSc.png)
##### MySQL 5.7 的新特性
@@ -812,7 +812,7 @@ select table_name from sys.schema_table_statistics_with_buffer where table_schem
select table_name from sys.x$schema_table_statistics_with_buffer where table_schema=<em>database</em>();
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnV68mdIQmovJwczDsOc53gc.png)
![](https://cdn.xyxsw.site/boxcnV68mdIQmovJwczDsOc53gc.png)
### 无列名注入
@@ -820,7 +820,7 @@ select table_name from sys.x$schema_table_statistics_with_buffer where table_sch
`select a,b from (select 1 as a, 2 as b union select * from users)x;`
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnI3jJNlLqq4f7WqRKGEWTeh.png)
![](https://cdn.xyxsw.site/boxcnI3jJNlLqq4f7WqRKGEWTeh.png)
## 超脱 MySQL 之外 (TODO)

66
6.计算机安全/6.2.1基础工具的使用.md
View File

@@ -12,7 +12,7 @@ IDA pro 是收费软件,价格极其昂贵,一套完全版人民币 10W 左
## 0x00 IDA 简单介绍
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809113855166.png)
![](https://cdn.xyxsw.site/image-20220809113855166.png)
IDA是一款交互式反汇编和反编译工具其支持文件类型和文件平台丰富。
@@ -20,7 +20,7 @@ IDA是一款交互式反汇编和反编译工具其支持文件类型和文
## 0x01 启动界面
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809114834244.png)
![](https://cdn.xyxsw.site/image-20220809114834244.png)
```
NEW打开IDA同时弹出对话框选择要打开的文件
@@ -30,15 +30,15 @@ Previous或者下面的列表项快速打开之前的的文件
这里选择Go键打开以后将文件拖入
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809124156697.png)
![](https://cdn.xyxsw.site/image-20220809124156697.png)
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809124408179.png)
![](https://cdn.xyxsw.site/image-20220809124408179.png)
这里按我们的默认选项点击OK即可
## 0x02 关闭界面
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809125554853.png)
![](https://cdn.xyxsw.site/image-20220809125554853.png)
```
第一个选项:就是不打包数据包文件,那么这些数据库文件就会分开这放。
@@ -53,15 +53,15 @@ Previous或者下面的列表项快速打开之前的的文件
反汇编代码的图表窗口
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809130857159.png)
![](https://cdn.xyxsw.site/image-20220809130857159.png)
按**空格键**切换成文本结构的反汇编
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809130940294.png)
![](https://cdn.xyxsw.site/image-20220809130940294.png)
按**F5**进行反编译跳转至`Pseudocode`(伪代码)界面
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809131038284.png)
![](https://cdn.xyxsw.site/image-20220809131038284.png)
然后就可以分析代码逻辑了
@@ -71,19 +71,19 @@ Previous或者下面的列表项快速打开之前的的文件
十六进制窗口(不太常用)
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809132027773.png)
![](https://cdn.xyxsw.site/image-20220809132027773.png)
## 0x05 主界面-Structures
结构体窗口
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809132130778.png)
![](https://cdn.xyxsw.site/image-20220809132130778.png)
## 0x06 主界面-Enums
枚举类型界面
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809132242739.png)
![](https://cdn.xyxsw.site/image-20220809132242739.png)
## 0x07 主界面-Imports
@@ -91,23 +91,23 @@ Previous或者下面的列表项快速打开之前的的文件
可以查看当前模块用了哪些模块的哪些函数
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809132327043.png)
![](https://cdn.xyxsw.site/image-20220809132327043.png)
## 0x08 主界面-Exports
导出表
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809151050575.png)
![](https://cdn.xyxsw.site/image-20220809151050575.png)
## 0x09 主界面-Strings
`Shift+F12`转到`String`界面,该操作会搜索程序中的字符串数据并展示
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809153126737.png)
![](https://cdn.xyxsw.site/image-20220809153126737.png)
`Ctrl+F`后输入想要检索的字符可以快速搜索字符串
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809153408536.png)
![](https://cdn.xyxsw.site/image-20220809153408536.png)
## 0x0a 其他界面-Functions
@@ -115,7 +115,7 @@ Previous或者下面的列表项快速打开之前的的文件
其中一般来说`main`是程序的主要函数
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809151328885.png)
![](https://cdn.xyxsw.site/image-20220809151328885.png)
## 0x0b 其他界面-Output
@@ -125,13 +125,13 @@ Previous或者下面的列表项快速打开之前的的文件
另外还可以直接在下面输入python语句方便在ida使用过程中简单的数据处理
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809151536894.png)
![](https://cdn.xyxsw.site/image-20220809151536894.png)
## 0x0c 其他界面-导航栏
一个二进制文件包括不同的区块,这里显示程序的不同类型数据,不同的颜色代表二进制文件中不同的块
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809151815243.png)
![](https://cdn.xyxsw.site/image-20220809151815243.png)
@@ -170,7 +170,7 @@ Previous或者下面的列表项快速打开之前的的文件
IDA 提供可与其交互的IDA Python接口可以使用Python做很多的辅助操作
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809154742462.png)
![](https://cdn.xyxsw.site/image-20220809154742462.png)
可以参考这篇文章了解常用的接口
@@ -184,17 +184,17 @@ IDA 提供可与其交互的IDA Python接口可以使用Python做很多的辅
可以先在汇编代码或伪代码界面下断点,然后`F9`选择调试器,这里直接选`Local Windows Debugger`
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809160044665.png)
![](https://cdn.xyxsw.site/image-20220809160044665.png)
之后就可以用F7(单步不跳过执行)/F8(单步跳过执行)/F9(继续执行,遇到断点停止)进行调试
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809163138453.png)
![](https://cdn.xyxsw.site/image-20220809163138453.png)
### 调试Linux下的文件
可以先在汇编代码或伪代码界面下断点
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809155352920.png)
![](https://cdn.xyxsw.site/image-20220809155352920.png)
由于Linux下文件调试比较特殊需要远程起一个服务器运行服务端这里可以使用**Vmware**或者**WSL2(Windows subsystem Linux)**进行调试
@@ -240,21 +240,21 @@ int main() {
##### 将程序拖入IDA
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809173439491.png)
![](https://cdn.xyxsw.site/image-20220809173439491.png)
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809173548998.png)
![](https://cdn.xyxsw.site/image-20220809173548998.png)
##### F5分析查看伪代码
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809173627488.png)
![](https://cdn.xyxsw.site/image-20220809173627488.png)
发现有`change``check`的自定义函数
`n`修改一下变量名
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809174001600.png)
![](https://cdn.xyxsw.site/image-20220809174001600.png)
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809174015603.png)
![](https://cdn.xyxsw.site/image-20220809174015603.png)
分别进入里面查看函数逻辑
@@ -262,11 +262,11 @@ int main() {
change函数
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809174035800.png)
![](https://cdn.xyxsw.site/image-20220809174035800.png)
check函数
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809174058831.png)
![](https://cdn.xyxsw.site/image-20220809174058831.png)
###### 静态分析逻辑
@@ -280,19 +280,19 @@ change函数是对输入字符串的每一个字节进行修改
随意的进行一些输入
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809174913326.png)
![](https://cdn.xyxsw.site/image-20220809174913326.png)
然后断下来
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809174957987.png)
![](https://cdn.xyxsw.site/image-20220809174957987.png)
F7进入函数进行单步不跳过调试
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809175413448.png)
![](https://cdn.xyxsw.site/image-20220809175413448.png)
遇到类似`strlen`等库函数可以F8单步调试跳过
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/image-20220809175459668.png)
![](https://cdn.xyxsw.site/image-20220809175459668.png)
可以发现输入字符串的每一个字节的Ascii值都减小了1

2
6.计算机安全/6.2.2软件破解、软件加固.md
View File

@@ -45,7 +45,7 @@ ESP 定律的原理在于利用程序中堆栈平衡来快速找到 OEP.
还是上一篇的示例, 入口一句 `pushad`, 我们按下 F8 执行 `pushad` 保存寄存器状态, 我们可以在右边的寄存器窗口里发现 `ESP` 寄存器的值变为了红色, 也即值发生了改变.
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/boxcnJdWqlHmhlvB471dIGT4GEh.png)
![](https://cdn.xyxsw.site/boxcnJdWqlHmhlvB471dIGT4GEh.png)
我们鼠标右击 `ESP` 寄存器的值, 也就是图中的 `0019FF64`, 选择 `HW break[ESP]` 后, 按下 `F9` 运行程序, 程序会在触发断点时断下. 如图来到了 `0040D3B0` 的位置. 这里就是上一篇我们单步跟踪时到达的位置, 剩余的就不再赘述.

18
6.计算机安全/6.2.3漏洞挖掘、漏洞利用.md
View File

@@ -4,7 +4,7 @@
#### 栈介绍
栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/stack.png)
![](https://cdn.xyxsw.site/stack.png)
高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了栈这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。此外,常见的操作也是压栈与出栈。需要注意的是,**程序的栈是从进程地址空间的高地址向低地址增长的**。
#### 栈溢出基本原理
@@ -21,7 +21,7 @@ int main()
对于如上程序,运行后可以发现`ch``a`的地址相差不大(`a``ch`的顺序不一定固定为`a`在前`ch`在后)
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/out1.PNG)
![](https://cdn.xyxsw.site/out1.PNG)
可以发现`ch``ch2`刚好差`8`个字节,也就是`ch`的长度。
`ch`只有`8`个字节,那么如果我们向`ch`中写入超过`8`个字节的数据呢?很显然,会从`ch`处发生溢出,写入到`ch2`的空间中,覆盖`ch2`的内容。
@@ -37,7 +37,7 @@ int main()
}
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/out2.PNG)
![](https://cdn.xyxsw.site/out2.PNG)
这就是栈溢出的基本原理。
@@ -131,7 +131,7 @@ retn
可以看到其中使用`call`指令来调用`add`函数。那么该指令是如何工作的呢?其实`call`指令相当于`push next_loc;jmp loc`,通过将`call`指令下一行汇编的地址压栈的方式,等到函数调用完再取回,从而从`call`指令的下一行继续执行。由于栈地址从高向低生长,新调用的函数的局部变量生成在返回地址的上方(低地址处),因此如果我们在新函数中使用栈溢出来修改这一返回地址,如果将返回地址修改为某个函数的地址,就可以执行任意函数:
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/stack2.png)
![](https://cdn.xyxsw.site/stack2.png)
> 注意该图中使用32位的寄存器EBP、ESP、EIP实际原理一样的并且上方为高地址下方为低地址
@@ -139,22 +139,22 @@ retn
32位的程序我们使用IDA来打开该题目查看反编译代码可以发现有非常明显的栈溢出
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/main.png)
![](https://cdn.xyxsw.site/main.png)
由于第`8``gets`函数并没有检查输入的长度和`s`的长度,我们可以轻易地通过栈溢出来控制`main`函数的返回地址。而在程序中,存在另外一个函数`secure`,在该函数中有一个后门`system("/bin/sh")`,如果我们想办法执行该后门,就可以拿到目标机器的`shell`,从而控制目标计算机。
由于我们需要将返回地址在标准输入中输入待测程序,而返回地址拆分成小端序的字节后经常无法手动输入到待测程序中,所以此处我们使用`pwntools`这一`python`包来方便地进行攻击。
首先查看后门的地址:
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/backdoor.png)
![](https://cdn.xyxsw.site/backdoor.png)
接着计算溢出长度这里我们使用gdb来调试程序图中的gdb安装了pwndbg插件该插件在pwn调试时比较好用
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/gdb.png)
![](https://cdn.xyxsw.site/gdb.png)
将断点打在`gets`函数前后,可以看到此时`esp`值为`0xffffcd80``ebp`值为`0xffffce08`,在 IDA 中我们又可以看到`s`相对于`esp`的偏移为`+1C`,此时我们即可计算`hex(0xffffcd80+0x1c-0xffffce08)=-0x6C`,即`s`相对于`ebp`的偏移为`0x6C`,由于在`main`函数的开头有`push ebp`的操作,所以将`0x6C`再加`4`,即可到达返回地址处:
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/s.png)
![](https://cdn.xyxsw.site/s.png)
```python
from pwn import *
@@ -165,7 +165,7 @@ sh.sendline(exp)
sh.interactive() # 切换为手动交互模式
```
![](https://pic-hdu-cs-wiki-1307923872.cos.ap-shanghai.myqcloud.com/shell.png)
![](https://cdn.xyxsw.site/shell.png)
##### 0x1
通过上面的学习我们已经可以知道执行任意函数的办法但很多情况下对于攻击者来说程序中并没有可用的后门函数来达到攻击的目的因此我们需要一种手段来让程序执行任意代码任意汇编代码这样就可以最高效地进行攻击。ROPReturn Oriented Programming面向返回编程就是这样的一种技术在栈溢出的基础上通过在程序中寻找以retn结尾的小片段gadgets来改变某些寄存器、栈变量等的值再结合Linux下的系统调用我们就可以执行需要的任意代码。