Posts

搭建一个jupyter服务器 环境 一台服务器：本人使用的是Vultr的一台服务器，操作系统为CentOS 安装Conda和Python 安装Conda Conda不是必须安装的，但我在CentOS中直接安装Python并编译，卡了两个小时，使用Conda配置Python只花了两分钟就配好了，所以强烈推荐使用Conda。 CentOS yum -y install conda Ubuntu 下载Anaconda 官方的shell脚本 wget https://repo.anaconda.com/archive/Anaconda3-2022.05-Linux-x86_64.sh 执行脚本，一路enter或者yes bash Anaconda3-2022.05-Linux-x86_64.sh 修改bashrc文件 sudo vim ~/.bashrc 增加下面两句 export PATH="~/anaconda3/bin":$PATH source ~/anaconda3/bin/activate #修改终端的默认 python 为 anaconda 保存文件后关闭，然后在终端执行，用于保存环境配置

栈溢出 技术清单： shellcode：修改返回地址，指向溢出数据中的一段指令 return2libc：修改返回地址，指向内存中已有的某个函数 ROP：修改返回地址，指向内存中已有的一段指令 hijack GOT：修改某个被调用函数的地址，指向另一个函数 Shellcode ​ shellcode的存放位置可以是caller的栈帧（严格意义上不全是caller的栈帧，可以覆盖或超出），也可以是callee的栈帧，一般我们选择caller的栈帧，因为有时callee的栈帧太小了。 Payload构造 padding1 address of shellcode padding2 shellcode Q&A padding1里面数据是什么？ padding1的数据可以任意填充，但最好不要包含’\x00’，可能会被检测为字符串末尾的’\0’最后造成截断。 padding1多长？ 可以使用反汇编工具查看汇编代码来确定距离（静态） 可以使用调试工具（例如gdb）运行程序时不断增加输入长度的方法来试探（如果返回地址被无效地址例如“AAAA”覆盖，程序会终止并报错） shellcode的起始地址应该是多少？ 我们可以在调试工具里查看返回地址的位置（可以查看 ebp 的内容然后再加4（32位机），参见前面关于函数状态的解释），**可是在调试工具里的这个地址和正常运行时并不一致，这是运行时环境变量等因素有所不同造成的。**https://www.mathyvanhoef.com/2012/11/common-pitfalls-when-writing-exploits.html所以这种情况下我们只能得到大致但不确切的 shellcode 起始地址，解决办法是在 padding2 里填充若干长度的 “\x90”。这个机器码对应的指令是 NOP (No Operation)，也就是告诉 CPU 什么也不做，然后跳到下一条指令。有了这一段 NOP 的填充，只要返回地址能够命中这一段中的任意位置，都可以无副作用地跳转到 shellcode 的起始处，所以这种方法被称为 NOP Sled（中文含义是“滑雪橇”）。这样我们就可以通过增加 NOP 填充来配合试验 shellcode 起始地址。

栈溢出学习（一） 跟随教程https://sploitfun.wordpress.com/2015/ 此次实验参考https://sploitfun.wordpress.com/2015/05/08/classic-stack-based-buffer-overflow/ 经典栈溢出 这次实验是最简单的栈溢出实验，没有任何防护机制。 实验环境 ​ Ubuntu12.04（一开始用的64位Kali-Linux，踩了不少坑，最后还是用了教程上面的环境Ubuntu12.04） 漏洞代码： //vuln.c #include <stdio.h> #include <string.h> int main(int argc, char* argv[]) { /* [1] */ char buf[256]; /* [2] */ strcpy(buf,argv[1]); /* [3] */ printf("Input:%s\n",buf); return 0; } 分析：当我们输出的字符串大于256字节，覆盖到main函数的返回地址，使其指向我们的shellcode，就可以完成攻击

栈溢出学习（三） 实验环境 ​ Ubuntu12.04 ASLR ​ Address space layout random（地址空间布局随机化），该技术随机了： 栈地址 堆地址 共享库地址 内存地址随机化机制有以下三种情况： 0 - 表示关闭进程地址空间随机化。 1 - 表示将mmap的基址，stack和vdso页面随机化。 2 - 表示在1的基础上增加栈（heap）的随机化。 ​ 一旦这些地址被随机化了，我们的return2libc和shellcode便不好使了，因为shellcode需要栈上的地址，return2libc需要知道libc的起始地址。需要注意的是，ASLR随机了libc库的起始地址，但是函数的偏移地址仍然是一个常数。我们将采用三种方法来绕过ALSR： Return-to-plt Brute force GOT overwrite and GOT dereference Return-to-plt ​ 这个技术中我们不返回到libc函数，而是返回到一个函数的PLT中（该地址不会被随机化，因为这个地址在文件运行之前就已经知道），既然"function@PLT"不被随机化，供给制不用再预测libc基础地质，而是简单的返回到"function@PLT"就可以调用函数了。

栈溢出学习（三）Chained Return2Libc 跟随教程https://sploitfun.wordpress.com/2015/ 此次实验参考https://sploitfun.wordpress.com/2015/05/08/bypassing-nx-bit-using-chained-return-to-libc/ “esp lifting"和frame faking参考：http://phrack.org/issues/58/4.html 实验环境 ​ Ubuntu12.04

栈溢出学习（二）Return2Libc 跟随教程https://sploitfun.wordpress.com/2015/ 此次实验参考https://sploitfun.wordpress.com/2015/05/08/bypassing-nx-bit-using-return-to-libc/ 又看到一个好的博客，也是栈溢出系列：https://www.ret2rop.com/2018/08/return-to-libc.html NX保护机制 ​ NX保护机制原则为可写与可执行互斥，这就导致我们之前在栈上的shellcode不可以被执行，因此我们采用return2libc进行攻击 实验环境 ​ Ubuntu12.04 漏洞代码： //vuln.c #include <stdio.h> #include <string.h> int main(int argc, char* argv[]) { char buf[256]; /* [1] */ strcpy(buf,argv[1]); /* [2] */ printf("%s\n",buf); /* [3] */ fflush(stdout); /* [4] */ return 0; } 较于之前的漏洞代码，增加了fflush函数的调用，主要是为了向我们提供sh字符串。

保护机制 方法 步骤 无 shellcode NX ret2libc old 32libc地址覆盖返回地址，参数紧随其后 modern 32 控制ecx来指向libc地址存放的内存单元 modern 64 rop寻找execv("/bin/sh", 0 ,0) 片段 需要setuid(0) 使用gets函数设置指定内存为0，通过寻找pop ret片段形成libc链，最后调用setuid和system等函数 mprotect或memcpy使栈重新可执行，然后加入shellcode 传入0，通过gets覆盖指定内存为0，（教程上查看mprotect内部将参数放在了寄存器中，找pop 寄存器片段，然后inc/dec 寄存器片段，最后完成mprotect的调用） 遭遇可写和可执行不可同时出现，我们用mprotect(xx,xx,7)设置rwx权限就会失败 ASRL bruteforce 32位比64位更容易破解，只有几位发生变化 通过write泄露libc起始地址，多次调用程序vuln_function，通过偏移量不随机化计算system等函数地址，然后调用 return2plt，plt中偏移不会发生变化，适用于存在<system@plt>提供plt入口地址的程序 import xxx