Pwn

Introduction ASM 是 Assembly（組合語言）的縮寫。組合語言屬於低階語言，通常專為特定架構設計。相對於低階語言，高階語言更易於理解和使用。以下是兩者的比較： 層級 優點 缺點 範例 高階語言 易學易懂、除錯容易 執行效率較低、佔用記憶體較多 C、C++、Python 低階語言 執行效率高、速度快 相容性差、不易維護 組合語言、機器語言 學習組合語言的原因之一是許多程式語言在執行前會先編譯成機器語言。儘管近年來的 PWN 題目通常會提供程式碼，但如果要挖掘漏洞或檢測產品韌體，仍需要進行程式碼的逆向分析。因此，我們會將編譯好的程式反組譯成組合語言，以便閱讀和理解。以下是一個 C 程式編譯過程的流程圖： 你需要知道的 ASM Registers Flags Sections Instructions Stack frame Calling Convention Registers（暫存器） 暫存器是處理運算時暫存數值的地方，具有讀寫速度快的特性。根據資料型態大小，暫存器可以分為以下四種： QWORD: 64 bits, Quad Word DWORD: 32 bits, Double Word WORD: 16 bits BYTE: 8 bits 根據功能，暫存器又可以分為以下四種： 名稱 功用 通用暫存器 運算、計數 區段暫存器 指向記憶體區段 指標暫存器 指向堆疊或陣列 旗標暫存器 紀錄狀態（進位、溢位等） 通用暫存器 Register AX、BX、CX、DX、DI、SI、BP、SP R8 ~ R15 64 bit 前綴加 R，例如：RAX、RDI 前綴加 R，例如：R8、R9 32 bit 前綴加 E，例如：EAX、EDI；後綴加 D，例如：R8D、R9D 前綴加 E，例如：EAX、EDI；後綴加 D，例如：R8D、R9D 16 bit 無變化，例如：AX、DI；後綴加 W，例如：R8W、R9W 無變化，例如：AX、DI；後綴加 W，例如：R8W、R9W 8 bit 後綴加 X（X 可替換為 H/L），例如：AH、BL、DIL、BPL；後綴加 B，例如：R8B、R9B 後綴加 X（X 可替換為 H/L），例如：AH、BL、DIL、BPL；後綴加 B，例如：R8B、R9B 區段暫存器 名稱 作用 CS 指向 Code Segment DS 指向 Data Segment SS 指向 Stack Segment ES、FS、GS 指向 Data Segment（選擇性使用） 指標暫存器 名稱 作用 SP Stack Pointer，指向 stack 頂端 BP Base Pointer，指向 stack 的任何位置 IP 指向目前執行指令的地址 SI Source Index，指向資料來源 DI Destination Index，指向資料目的地 旗標暫存器 名稱 作用 CF Carry Flag：最高位元有進位或借位，CF = 1；否則為 0 PF Parity Flag：判斷運算後最低 8 位元的 1 的數量，奇數個 PF = 1；否則為 0 AF Auxiliary Flag：運算後第 3 位元產生進位或借位，AF = 1；否則為 0 ZF Zero Flag：運算後結果為 0，則 ZF = 1；否則為 0 SF Sign Flag：運算後，SF=1 表示負數；否則為 0 OF Overflow Flag：運算後結果溢位，OF=1；否則為 0 TF Trap Flag：用於 Debug，TF=1 時，每次執行一個指令 DF Direction Flag：字串運算，DF=0 從低位到高位；DF=1 反之 IF Interrupt Flag：IF=1 時，接受外部中斷；IF=0 則無法 語法格式 常見的格式有兩種：Intel 和 AT&T。如果有興趣，也可以使用 Compiler Explorer 將程式轉為 ASM 進行觀察。原則上，大家比較偏向使用 Intel 格式，因為它的語法接近正常的程式語言，且更易於閱讀。以下是兩種語法格式的比較： ...

ELF format ELF 是 Executable and Linkable Format 的縮寫，可以簡單稱為可執行檔。不同平台有不同的可執行檔格式，如 Windows 的 exe 和 Linux 的 ELF。而 ELF 檔又包含各種區段 (Section)，這些區段在執行時會映射 (mapping) 到記憶體中。常見的區段包括：.text、.bss、.data、.rodata、.got、.plt 等。以下是對這些區段的介紹： .text 存放編譯後的程式碼 .bss 存放未初始化的全域變數 .data 存放初始化的全域變數 .rodata 存放可讀不可寫的資料 ex: 輸出文字 .got (Global Offset Table) 用於儲存動態鏈接 (dynamic linking) 時需要的外部函數的地址，並幫助程式在執行期間通過這些地址來訪問函數或變數。 .plt 用於動態呼叫外部函數 呼叫一個外部函數時，程式會先跳到 .plt，然後再由 .plt 透過 .got 找到實際的函數地址 以下是一段程式碼中各段落存在的區段 1#include <stdio.h> 2int a; // .bss 3int b = 100; // .data 4// .text start 5int main(){ 6 puts("Hello World!"); // .rodata 7 return 0; 8} 9// .text end 各區段皆可能成為後續內容可以利用的部分，不過目前可以先看過即可，後續講述到攻擊手法時會再進一步介紹 ...

What is PWN？ PWN 也稱為 Binary Exploitation，簡單來說，就是透過找尋程式中的漏洞，並利用這些漏洞來取得伺服器權限，或是直接使用 shell 獲取檔案，或者進行各種不同的利用。至於 PWN 的念法，有很多有趣的說法。由於 PWN 源自於 “own” 這個詞，因此有人讀作 “碰”，但也有不少人讀作 “胖”。 How to PWN？ 從上面的簡單介紹可以看出，PWN 主要是透過發現程式中的漏洞，並利用這些漏洞達成我們想要的目標。那麼，應該如何找到漏洞呢？在這個過程中，我們可能會使用以下方法： 模糊測試 (Fuzzing) 分析原始碼 反組譯至組合語言 反編譯到原始碼 … 找到漏洞後，如何利用這些漏洞？常見的方法包括： 控制程式的執行流程 覆蓋返回位址 (Return Address) 修改變數值 至於我們的目標，通常包括以下幾點： 提取檔案 讀寫檔案 獲取 Shell 接下來的內容 上述所有內容將在後續的文章中一一為大家詳細介紹，並提供豐富的練習範例和實戰題目來進行漏洞利用。如果有想要學習的特定內容，也歡迎大家在下方留言區許願。

Web Evil Calculator 網頁是一個簡單的計算機程式 透過攔截封包與 app.py 程式碼會發現他是將結果傳 POST 請求到 /calculate，並傳入 eval 做計算，所以可以傳入程式碼做解析，接下來看到 app.py 會發現傳送過去的 expression 空格跟底線都會被過濾，所以應該是不可以 import 其他東西，接下來看到 docker-compose.yml 可知 flag 在 /flag，因此直接透過開檔讀檔拿到 flag app.py 1from flask import Flask, request, jsonify, render_template 2 3app = Flask(__name__) 4 [email protected]('/calculate', methods=['POST']) 6def calculate(): 7 data = request.json 8 expression = data['expression'].replace(" ","").replace("_","") 9 try: 10 result = eval(expression) 11 except Exception as e: 12 result = str(e) 13 return jsonify(result=str(result)) 14 [email protected]('/') 16def index(): 17 return render_template('index.html') 18 19if __name__ == '__main__': 20 app.run("0.0.0.0",5001) docker-compose.yml ...