這次強網杯CTF，組隊拿到了還算靠前的名次，但是也讓我們看到了差距。特別是隊伍里沒有一個擅長PWN的，所以這個重任我自覺承擔起來了。以前讀書時，接觸過一些。現在從新撿起來，開始學習PWN。目標是在下一次的CTF比賽中，拿到PWN的分數。

廢話不多說，直接拿出練習計劃，事務的學習都應該從易到難，這樣學習起來效率較高。

(PS:沒有基礎的先看下大神寫的入門介紹，個人感覺寫得深入淺出，很容易明白.https://zhuanlan.zhihu.com/p/25892385

1. 首先學習linux下漏洞利用方法。國外有個大神已經總結了一波：
   https://sploitfun.wordpress.com/2015/ 。我是準備一個月學完這個。
2. 第二階段找歷年歷屆的CTF PWN題目練手，達到熟能生巧的目的。https://github.com/ctfs

在跟著國外大神練習時，我會使用兩個方法 ，一種不實用工具，另外一種使用CTF比賽常用的工具，熟悉工具的使用。

第一天：

經典的棧溢出漏洞分析

https://sploitfun.wordpress.com/2015/05/08/classic-stack-based-buffer-overflow/

源程序：

//vuln.c
#include <stdio.h>
#include <string.h>

int main(int argc, char* argv[]) {
        /* [1] */ char buf[256];
        /* [2] */ strcpy(buf,argv[1]);
        /* [3] */ printf("Input:%s\n",buf);
        return 0;
}

我使用的32位的ubuntu14.04版本的。
首先漏洞利用，漏洞利用就是控制程序去執行我們想要它執行的代碼。這個漏洞主要是利用覆蓋eip來實現。

1. 首先關閉地址隨機化。

echo 0 > /proc/sys/kernel/randomize_va_space

2.然后打開棧執行,并且給程序可執行權限

$gcc -g -fno-stack-protector -z execstack -o vul1 vul1.c
chmod +s vul1  //給程序可執行權限

3.使用gdb反編譯程序
（PS: gdb調試資料http://wiki.ubuntu.org.cn/%E7%94%A8GDB%E8%B0%83%E8%AF%95%E7%A8%8B%E5%BA%8F）

屏幕快照 2018-03-29 下午8.30.21.png

(gdb) disassemble main
Dump of assembler code for function main:
   //Function Prologue
   0x08048414 <+0>: push   %ebp                      //backup caller's ebp
   0x08048415 <+1>: mov    %esp,%ebp                 //set callee's ebp to esp

   0x08048417 <+3>: and    $0xfffffff0,%esp          //stack alignment
   0x0804841a <+6>: sub    $0x110,%esp               //stack space for local variables
   0x08048420 <+12>:    mov    0xc(%ebp),%eax            //eax = argv
   0x08048423 <+15>:    add    $0x4,%eax                 //eax = &argv[1]
   0x08048426 <+18>:    mov    (%eax),%eax               //eax = argv[1]
   0x08048428 <+20>:    mov    %eax,0x4(%esp)            //strcpy arg2 
   0x0804842c <+24>:    lea    0x10(%esp),%eax           //eax = 'buf' 
   0x08048430 <+28>:    mov    %eax,(%esp)               //strcpy arg1
   0x08048433 <+31>:    call   0x8048330 <strcpy@plt>    //call strcpy
   0x08048438 <+36>:    mov    $0x8048530,%eax           //eax = format str "Input:%s\n"
   0x0804843d <+41>:    lea    0x10(%esp),%edx           //edx = buf
   0x08048441 <+45>:    mov    %edx,0x4(%esp)            //printf arg2
   0x08048445 <+49>:    mov    %eax,(%esp)               //printf arg1
   0x08048448 <+52>:    call   0x8048320 <printf@plt>    //call printf
   0x0804844d <+57>:    mov    $0x0,%eax                 //return value 0

   //Function Epilogue
   0x08048452 <+62>:    leave                            //mov ebp, esp; pop ebp; 
   0x08048453 <+63>:    ret                              //return
End of assembler dump.

屏幕快照 2018-03-29 下午8.31.06.png

5.分析需要的填充的字節數。
0x110(分配的字符數組)+0x8（16字節對齊）+0x4（ebp在eip前面）= 268個字節
覆蓋地址至少先需要填充268個字節。找到eip覆蓋的位置了，

怎么找到shellcode需要注入的地址呢？

先填充大量的無用數據，譬如A，然后導致程序崩潰，崩潰的地方就是函數地址返回的地方，這個時候esp=eip所在的棧位置。這樣我們就先定位到esp的值。這里我推薦大家使用gdb-peda。以我的例子，我填充了400個A，然后用gdb-peda調試。
可以得到下圖：

屏幕快照 2018-04-02 下午8.30.17.png

知道esp的值，我們可以把shellcode的返回地址設為這個值，
（實際操作中發現不行，需要填充NOP，暫時未搞清楚原因）
為了增大執行概率，我們還可以再shellcode前面加上NOP字段。
則返回地址計算：
返回地址=esp+N<NOP最填充長度
最后的代碼為：

屏幕快照 2018-04-03 上午11.38.40.png

這地方有幾個地方沒搞明白，我的ret地址，使用esp時，不能執行，ret地址要加上0x18，填充NOP要足夠。（還在查資料）
運行程序，成功執行shell。

屏幕快照 2018-04-03 上午11.39.49.png