#writeup#平安科技CTF培训-2017.10.22

CTF攻防赛平台与规则介绍

比赛形式

线上解题赛(Jeopardy)

  • DEF CON CTF 资格赛
  • Plaid CTF
  • HITCON CTF

线下攻防赛(Attack-Defense)

  • DEF CON CTF 决赛

攻防赛规则

- 每队X人
- 每队维护相同的若干服务(Web服务、二进制服务)
- 挖掘服务漏洞、攻击对手得分
- 修补己方服务、阻止对手得分
- 修补服务时不许破坏服务本身
- 定时更改flag
  • 攻击
    • 利用服务器漏洞读取对方flag
    • flag位于固定路径,例如/flag,每回合更新一次flag
    • 队伍多、回合时间短时需要写脚本自动攻击并完成提交得分
  • 防御

解题赛题型

  • Web安全(Web)
  • 二进制安全(Binary)
    • 逆向(Reverse)
    • 二进制漏洞挖掘与利用(PWN)
  • 综合题型(Misc)
    • 密码(Crypto)
    • 隐写术()

赛题与考点

  • Web服务器若干(重点)
    • Web Shell
    • SQL注入
  • 线下攻防


二进制漏洞挖掘与利用

课时1:从C语言到汇编指令

  • 编译与链接
    C Code(p1.c)
    <编译器:gcc -S>
    Assembly(p1.s)
    <汇编器:gcc或as>
    Object(p1.o)
    <链接器:gcc或ld>
    Executable(p)

  • 机器指令是如何执行指令的

    • 汇编基础
    • 寻址模式
  • Intel语法与AT&T

课时2:调用约定与ELF

  • 调用约定
    • 什么是调用约定
      • 实现层面(底层)的规范
      • 约定了函数之间如何传递参数
      • 约定了函数如何传递返回值
    • 常见x86调用约定
      • 调用者负责清理栈上的参数(Caller Clean-up)
        • cdecl(最常用,x86,32位)
          • x86(32位)cdecl调用约定
            • 用栈来传递参数
            • 用寄存器$eax来保存返回值
          • amd64(64位)cdecl调用约定
        • optlink
      • 被调者负责清理栈上的参数(Callee Clean-up)
        • stdcall
        • fastcall
一般寄存器:AX、BX、CX、DX
AX:累积暂存器,BX:基底暂存器,CX:计数暂存器,DX:资料暂存器

索引暂存器:SI、DI
SI:来源索引暂存器,DI:目的索引暂存器

堆叠、基底暂存器:SP、BP
SP:堆叠指标暂存器,BP:基底指标暂存器

EAX、ECX、EDX、EBX:为ax,bx,cx,dx的延伸,各为32位元
ESI、EDI、ESP、EBP:为si,di,sp,bp的延伸,32位元

eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。

比方说:add eax,-2 ; //可以认为是给变量eax加上-2这样的一个值。

这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。

EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。

EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。

ECX 是计数器(counter), 是重复(REP)前缀指令和LOOP指令的内定计数器。

EDX 则总是被用来放整数除法产生的余数。

ESI/EDI分别叫做"源/目标索引寄存器"(source/destination index),因为在很多字符串操作指令中, DS:ESI指向源串,而ES:EDI指向目标串.

EBP是"基址指针"(BASE POINTER), 它最经常被用作高级语言函数调用的"框架指针"(frame pointer). 在破解的时候,经常可以看见一个标准的函数起始代码:
  
  push ebp ;保存当前ebp
  mov ebp,esp ;EBP设为当前堆栈指针
  sub esp, xxx ;预留xxx字节给函数临时变量.
  ...
  
  这样一来,EBP 构成了该函数的一个框架, 在EBP上方分别是原来的EBP, 返回地址和参数. EBP下方则是临时变量. 函数返回时作 mov esp,ebp/pop ebp/ret 即可.

ESP 专门用作堆栈指针,被形象地称为栈顶指针,堆栈的顶部是地址小的区域,压入堆栈的数据越多,ESP也就越来越小。在32位平台上,ESP每次减少4字节。



386部分寄存器:



状态和控制寄存器组除了EFLAGS、EIP ,还有四个32位的控制寄存器,它们是CR0,CR1,CR2和CR3。

这几个寄存器中保存全局性和任务无关的机器状态。

CR0中包含了6个预定义标志,0位是保护允许位PE(Protedted Enable),用于启动保护模式,如果PE位置1,则保护模式启动,如果PE=0,则在实模式下运行。1位是监控协处理位MP(Moniter coprocessor),它与第3位一起决定:当TS=1时操作码WAIT是否产生一个“协处理器不能使用”的出错信号。第3位是任务转换位(Task Switch),当一个任务转换完成之后,自动将它置1。随着TS=1,就不能使用协处理器。CR0的第2位是模拟协处理器位 EM (Emulate coprocessor),如果EM=1,则不能使用协处理器,如果EM=0,则允许使用协处理器。第4位是微处理器的扩展类型位ET(Processor Extension Type),其内保存着处理器扩展类型的信息,如果ET=0,则标识系统使用的是287协处理器,如果 ET=1,则表示系统使用的是387浮点协处理器。CR0的第31位是分页允许位(Paging Enable),它表示芯片上的分页部件是否允许工作。

CR1是未定义的控制寄存器,供将来的处理器使用。

CR2是页故障线性地址寄存器,保存最后一次出现页故障的全32位线性地址。

CR3是页目录基址寄存器,保存页目录表的物理地址,页目录表总是放在以4K字节为单位的存储器边界上,因此,它的地址的低12位总为0,不起作用,即使写上内容,也不会被理会。

这几个寄存器是与分页机制密切相关的,因此,在进程管理及虚拟内存管理中会涉及到这几个寄存器,读者要记住CR0、CR2及CR3这三个寄存器的内容。


esp:寄存器存放当前线程的栈顶指针
ebp:寄存器存放当前线程的栈底指针

eip:寄存器存放下一个CPU指令存放的内存地址,当CPU执行完当前的指令后,从EIP寄存器中读取下一条指令的内存地址,然后继续执行。
- 进程空间内存布局(Linux x86)

内核 0xFFFFFFFF
栈0xC0000000
共享库 0x40000000
堆(Heap)
数据(Data)
代码(Text)0x08048000
未使用 0x00000000
- 内存空间中的栈帧(Stack Frame)
栈下包含的:
上一层栈帧指针
。。。

  • ELF
    • ELF文件格式
      • ELF:Executable and Linkable Format
      • 一种Linux下常用的可执行文件、对象、共享库的标准文件格式
      • 还有许多其他可执行文件格式:PE、Mach-O、COFF、COM...
      • 内核中处理ELF相关代码参考:fs/binfmt_elf.c
      • ELF中的数据按照Segment和Section两个概念进行划分
    • ELF文件类型
      • 可执行文件(ET_EXEC)

      • 对象文件(ET_REL,*.o)

课时3:延迟绑定与GOT劫持

  • 动态链接
    • 动态链接
      一种运行时才会加载和链接程序所依赖的共享库的技术
      Linux最常见的共享库是libc
    • 重定位
      • 指二进制文件中的待填充项
        链接器在链接时填充,例如链接多个目标文件是,修正相互引用的函数、变量地址
        动态链接器在运行时填充,例如动态解析库函数(例如printf)
    • 动态链接中的延迟绑定
      外部函数的地址在运行时才会确定
      外部函数富豪通常在首次调用时才会被解析
      外部变量不适用延迟绑定机制
就现在培训的时候,小伙伴突然分享了一个关于溢出原理和实操的视频:

https://www.bilibili.com/video/av10605112/

B站姿势水平真的让我震精了。牛欢喜

你可能感兴趣的:(#writeup#平安科技CTF培训-2017.10.22)