這次強(qiáng)網(wǎng)杯CTF，組隊(duì)拿到了還算靠前的名次，但是也讓我們看到了差距。特別是隊(duì)伍里沒(méi)有一個(gè)擅長(zhǎng)PWN的，所以這個(gè)重任我自覺(jué)承擔(dān)起來(lái)了。以前讀書時(shí)，接觸過(guò)一些?，F(xiàn)在從新?lián)炱饋?lái)，開(kāi)始學(xué)習(xí)PWN。目標(biāo)是在下一次的CTF比賽中，拿到PWN的分?jǐn)?shù)。

廢話不多說(shuō)，直接拿出練習(xí)計(jì)劃，事務(wù)的學(xué)習(xí)都應(yīng)該從易到難，這樣學(xué)習(xí)起來(lái)效率較高。

(PS:沒(méi)有基礎(chǔ)的先看下大神寫的入門介紹，個(gè)人感覺(jué)寫得深入淺出，很容易明白.https://zhuanlan.zhihu.com/p/25892385

1. 首先學(xué)習(xí)linux下漏洞利用方法。國(guó)外有個(gè)大神已經(jīng)總結(jié)了一波：
   https://sploitfun.wordpress.com/2015/ 。我是準(zhǔn)備一個(gè)月學(xué)完這個(gè)。
2. 第二階段找歷年歷屆的CTF PWN題目練手，達(dá)到熟能生巧的目的。https://github.com/ctfs

在跟著國(guó)外大神練習(xí)時(shí)，我會(huì)使用兩個(gè)方法 ，一種不實(shí)用工具，另外一種使用CTF比賽常用的工具，熟悉工具的使用。

第一天：

經(jīng)典的棧溢出漏洞分析

https://sploitfun.wordpress.com/2015/05/08/classic-stack-based-buffer-overflow/

源程序：

//vuln.c
#include <stdio.h>
#include <string.h>

int main(int argc, char* argv[]) {
        /* [1] */ char buf[256];
        /* [2] */ strcpy(buf,argv[1]);
        /* [3] */ printf("Input:%s\n",buf);
        return 0;
}

我使用的32位的ubuntu14.04版本的。
首先漏洞利用，漏洞利用就是控制程序去執(zhí)行我們想要它執(zhí)行的代碼。這個(gè)漏洞主要是利用覆蓋eip來(lái)實(shí)現(xiàn)。

1. 首先關(guān)閉地址隨機(jī)化。

echo 0 > /proc/sys/kernel/randomize_va_space

2.然后打開(kāi)棧執(zhí)行,并且給程序可執(zhí)行權(quán)限

$gcc -g -fno-stack-protector -z execstack -o vul1 vul1.c
chmod +s vul1  //給程序可執(zhí)行權(quán)限

3.使用gdb反編譯程序
（PS: gdb調(diào)試資料http://wiki.ubuntu.org.cn/%E7%94%A8GDB%E8%B0%83%E8%AF%95%E7%A8%8B%E5%BA%8F）

屏幕快照 2018-03-29 下午8.30.21.png

(gdb) disassemble main
Dump of assembler code for function main:
   //Function Prologue
   0x08048414 <+0>: push   %ebp                      //backup caller's ebp
   0x08048415 <+1>: mov    %esp,%ebp                 //set callee's ebp to esp

   0x08048417 <+3>: and    $0xfffffff0,%esp          //stack alignment
   0x0804841a <+6>: sub    $0x110,%esp               //stack space for local variables
   0x08048420 <+12>:    mov    0xc(%ebp),%eax            //eax = argv
   0x08048423 <+15>:    add    $0x4,%eax                 //eax = &argv[1]
   0x08048426 <+18>:    mov    (%eax),%eax               //eax = argv[1]
   0x08048428 <+20>:    mov    %eax,0x4(%esp)            //strcpy arg2 
   0x0804842c <+24>:    lea    0x10(%esp),%eax           //eax = 'buf' 
   0x08048430 <+28>:    mov    %eax,(%esp)               //strcpy arg1
   0x08048433 <+31>:    call   0x8048330 <strcpy@plt>    //call strcpy
   0x08048438 <+36>:    mov    $0x8048530,%eax           //eax = format str "Input:%s\n"
   0x0804843d <+41>:    lea    0x10(%esp),%edx           //edx = buf
   0x08048441 <+45>:    mov    %edx,0x4(%esp)            //printf arg2
   0x08048445 <+49>:    mov    %eax,(%esp)               //printf arg1
   0x08048448 <+52>:    call   0x8048320 <printf@plt>    //call printf
   0x0804844d <+57>:    mov    $0x0,%eax                 //return value 0

   //Function Epilogue
   0x08048452 <+62>:    leave                            //mov ebp, esp; pop ebp; 
   0x08048453 <+63>:    ret                              //return
End of assembler dump.

屏幕快照 2018-03-29 下午8.31.06.png

5.分析需要的填充的字節(jié)數(shù)。
0x110(分配的字符數(shù)組)+0x8（16字節(jié)對(duì)齊）+0x4（ebp在eip前面）= 268個(gè)字節(jié)
覆蓋地址至少先需要填充268個(gè)字節(jié)。找到eip覆蓋的位置了，

怎么找到shellcode需要注入的地址呢？

先填充大量的無(wú)用數(shù)據(jù)，譬如A，然后導(dǎo)致程序崩潰，崩潰的地方就是函數(shù)地址返回的地方，這個(gè)時(shí)候esp=eip所在的棧位置。這樣我們就先定位到esp的值。這里我推薦大家使用gdb-peda。以我的例子，我填充了400個(gè)A，然后用gdb-peda調(diào)試。
可以得到下圖：

屏幕快照 2018-04-02 下午8.30.17.png

知道esp的值，我們可以把shellcode的返回地址設(shè)為這個(gè)值，
（實(shí)際操作中發(fā)現(xiàn)不行，需要填充NOP，暫時(shí)未搞清楚原因）
為了增大執(zhí)行概率，我們還可以再shellcode前面加上NOP字段。
則返回地址計(jì)算：
返回地址=esp+N<NOP最填充長(zhǎng)度
最后的代碼為：

屏幕快照 2018-04-03 上午11.38.40.png

這地方有幾個(gè)地方?jīng)]搞明白，我的ret地址，使用esp時(shí)，不能執(zhí)行，ret地址要加上0x18，填充NOP要足夠。（還在查資料）
運(yùn)行程序，成功執(zhí)行shell。

屏幕快照 2018-04-03 上午11.39.49.png