PWN入门（从零开始学习PWN）

这次强网杯CTF，组队拿到了还算靠前的名次，但是也让我们看到了差距。特别是队伍里没有一个擅长PWN的，所以这个重任我自觉承担起来了。以前读书时，接触过一些。现在从新捡起来，开始学习PWN。目标是在下一次的CTF比赛中，拿到PWN的分数。

废话不多说，直接拿出练习计划，事务的学习都应该从易到难，这样学习起来效率较高。

(PS:没有基础的先看下大神写的入门介绍，个人感觉写得深入浅出，很容易明白.https://zhuanlan.zhihu.com/p/25892385

1. 首先学习linux下漏洞利用方法。国外有个大神已经总结了一波：
   https://sploitfun.wordpress.com/2015/ 。我是准备一个月学完这个。
2. 第二阶段找历年历届的CTF PWN题目练手，达到熟能生巧的目的。https://github.com/ctfs

在跟着国外大神练习时，我会使用两个方法 ，一种不实用工具，另外一种使用CTF比赛常用的工具，熟悉工具的使用。

第一天：

经典的栈溢出漏洞分析

https://sploitfun.wordpress.com/2015/05/08/classic-stack-based-buffer-overflow/

源程序：

//vuln.c
#include <stdio.h>
#include <string.h>

int main(int argc, char* argv[]) {
        /* [1] */ char buf[256];
        /* [2] */ strcpy(buf,argv[1]);
        /* [3] */ printf("Input:%s\n",buf);
        return 0;
}

我使用的32位的ubuntu14.04版本的。
首先漏洞利用，漏洞利用就是控制程序去执行我们想要它执行的代码。这个漏洞主要是利用覆盖eip来实现。

1. 首先关闭地址随机化。

echo 0 > /proc/sys/kernel/randomize_va_space

2.然后打开栈执行,并且给程序可执行权限

$gcc -g -fno-stack-protector -z execstack -o vul1 vul1.c
chmod +s vul1  //给程序可执行权限

3.使用gdb反编译程序
（PS: gdb调试资料http://wiki.ubuntu.org.cn/%E7%94%A8GDB%E8%B0%83%E8%AF%95%E7%A8%8B%E5%BA%8F）

屏幕快照 2018-03-29 下午8.30.21.png
4.反汇编出来的代码与国外大神博客是一样的。

(gdb) disassemble main
Dump of assembler code for function main:
   //Function Prologue
   0x08048414 <+0>: push   %ebp                      //backup caller's ebp
   0x08048415 <+1>: mov    %esp,%ebp                 //set callee's ebp to esp

   0x08048417 <+3>: and    $0xfffffff0,%esp          //stack alignment
   0x0804841a <+6>: sub    $0x110,%esp               //stack space for local variables
   0x08048420 <+12>:    mov    0xc(%ebp),%eax            //eax = argv
   0x08048423 <+15>:    add    $0x4,%eax                 //eax = &argv[1]
   0x08048426 <+18>:    mov    (%eax),%eax               //eax = argv[1]
   0x08048428 <+20>:    mov    %eax,0x4(%esp)            //strcpy arg2 
   0x0804842c <+24>:    lea    0x10(%esp),%eax           //eax = 'buf' 
   0x08048430 <+28>:    mov    %eax,(%esp)               //strcpy arg1
   0x08048433 <+31>:    call   0x8048330 <strcpy@plt>    //call strcpy
   0x08048438 <+36>:    mov    $0x8048530,%eax           //eax = format str "Input:%s\n"
   0x0804843d <+41>:    lea    0x10(%esp),%edx           //edx = buf
   0x08048441 <+45>:    mov    %edx,0x4(%esp)            //printf arg2
   0x08048445 <+49>:    mov    %eax,(%esp)               //printf arg1
   0x08048448 <+52>:    call   0x8048320 <printf@plt>    //call printf
   0x0804844d <+57>:    mov    $0x0,%eax                 //return value 0

   //Function Epilogue
   0x08048452 <+62>:    leave                            //mov ebp, esp; pop ebp; 
   0x08048453 <+63>:    ret                              //return
End of assembler dump.

屏幕快照 2018-03-29 下午8.31.06.png

5.分析需要的填充的字节数。
0x110(分配的字符数组)+0x8（16字节对齐）+0x4（ebp在eip前面）= 268个字节
覆盖地址至少先需要填充268个字节。找到eip覆盖的位置了，

怎么找到shellcode需要注入的地址呢？

先填充大量的无用数据，譬如A，然后导致程序崩溃，崩溃的地方就是函数地址返回的地方，这个时候esp=eip所在的栈位置。这样我们就先定位到esp的值。这里我推荐大家使用gdb-peda。以我的例子，我填充了400个A，然后用gdb-peda调试。
可以得到下图：

屏幕快照 2018-04-02 下午8.30.17.png

知道esp的值，我们可以把shellcode的返回地址设为这个值，
（实际操作中发现不行，需要填充NOP，暂时未搞清楚原因）
为了增大执行概率，我们还可以再shellcode前面加上NOP字段。
则返回地址计算：
返回地址=esp+N<NOP最填充长度
最后的代码为：

屏幕快照 2018-04-03 上午11.38.40.png

这地方有几个地方没搞明白，我的ret地址，使用esp时，不能执行，ret地址要加上0x18，填充NOP要足够。（还在查资料）
运行程序，成功执行shell。

屏幕快照 2018-04-03 上午11.39.49.png