2019.11.6 unctf 的pwn题——简单绕过pie

最新推荐文章于 2025-10-24 14:47:39 发布
原创 最新推荐文章于 2025-10-24 14:47:39 发布 · 3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何在UNCTF的Pwn题目中,针对PIE(Position Independent Executable)保护进行后门布置,通过GDB分析函数返回地址和栈布局,利用函数间的空间差异来规避安全机制。关键在于理解地址的特定部分在PIE中不变,从而确定需要爆破的地址位。

这篇安全客关于pie和bapass绕过写的蛮好的!
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
看到函数最后返回到v1(),而且上一个函数的开辟的空间比后一个函数开辟的函数大,我们想到可以在前一个函数中提早将后门函数布置好,因为弹栈并不会是栈中的数据变化,除非往栈中写数据。
我们现在就通过gdb我们需要往栈的拿个位置写后门函数。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
我们可以看见第一个数组的位置和后面 的v2()之间隔了0xc个字节。还有需要注意的是程序是将一个函数右移16位(也就是右移2个字节,我们能接收前两个字节,后面的两个字节,有3位是确定的)然后转为10进制打印出来。所以我们在接收后要将其逆过去。
在pie中地址的后三位是绝对不会改变的,所以我们需要爆破倒数第4位。
EXP:
在这里插入图片描述

最低0.47元/天 解锁文章
pie绕过方式
weixin_30270561的博客
04-23 2073
目标程序下载 提取码:qk1y 1.检查程序开启了哪些安全保护机制 pie机制简介 PIE(position-independent executable) 是一个针对代码段.text, 数据段.*data,.bss等固定地址的一个防护技术。同ASLR一样,应用了PIE的程序会在每次加载时都变换加载基址 pie机制怎么绕过 虽然程序每次运行的基址会变,但程序中的各段的相对偏移是不会变的,只要泄露...
PWN保护机制以及编译方法
逆向萌新的博客
11-07 3124
PWN保护机制以及编译方法
PWN入门基础小记
最新发布
qq_49849300的博客
10-24 615
PIE(位置无关可执行文件)与ASLR(地址空间随机化)共同构成现代程序安全防护机制。PIE使程序能在任意内存地址加载运行,通过相对地址访问代替绝对地址;ASLR则负责运行时随机化内存布局。两者关系为:PIE是程序属性(编译时决定),ASLR是系统机制(运行时执行)。在漏洞利用中,ROP技术通过拼接程序片段(gadgets)来绕过NX保护,但需克服ASLR带来的地址随机化问,通常利用内存泄漏获取基址偏移。栈溢出攻击需定位危险函数并精确计算填充长度,以覆盖关键地址控制程序流。
PWN】03.Linux-User Mode-栈溢出-x86-基本ROP
weixin_52553215的博客
11-23 4468
检查保护:checksec 文件名 编译并关闭栈保护:gcc -no-pie -fno-stack-protector -z execstack -m32 -o read read.c 查看程序使用了哪些函数:objdump -t -j .test.read(推荐使用ida)
暑期pwn! pwn! pang! (三):开了pie的rop绕过
qq_43342413的博客
07-12 4581
话不多说先上图: 依旧开了栈中数据不可执行保护,而且重点是,开了pie! ! ! 唉,PIE这个磨人的小妖精。 还是要想办法绕过,咱们的目的是得到libc中system和/bin.sh的地址 开启了地址随机化,每次运行的基址都不一样,所以得先得到每次程序运行的libc的基址,这里我们利用__libc_start_main -我们想办法得到程序中libc_start_main的地址,减去li...
二、pwn - 零基础ROP之PIE保护绕过-碰撞
键盘的起始页
04-18 732
本文唯一区别在于,我们不利用vulnerable_function打印的地址,无法定位pie base地址,直接随机碰撞(爆破)~ 有一定比例成功的可能,贴近实战!但是呢,内存溢出后覆盖PC,要么修改2位、4、6、8...位,无法修改3位,又因为arm是小端模式,例如0x6b25741, 在内存中排列为0x41 0x57 0x6b...所以0x70d 是低地址,前面存在1位 未知的数值,在1-F (16进制)之间,可能是0x170d、也可能是0x270d、0x370d...0xf70d。
精选资源
pwn目中的libc-2.27.so文件
04-11
pwn,有些时候目不给这个文件,这里是这个库的文件。
pwn入门——2.工具基本使用
weixin_62626298的博客
07-29 1779
Pwntools是一个CTF框架和漏洞利用开发库,用Python开发,旨在让使用者简单快速的编写exploit。几乎涵盖了做pwn目脚本所需要用到的各种工具。这是针对CTF比赛所做的小工具,在泄露了Libc中的某一个函数地址后,常常为不知道对方所使用的操作系统及libc的版本而苦恼,常规方法就是挨个把常见的Libc.so从系统里拿出来,与泄露的地址对比一下最后12位。
精选资源
强网杯2022 pwn解析.docx
12-18
尽管从2.30版本开始,glibc引入了两个新的检查机制来防止传统的大bin攻击,但仍然存在绕过这些检查的路径。 2. **House of Apple** House of Apple是大型bin攻击的一种变体,主要针对glibc中的_IO_FILE结构。_IO_...
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 4646
这道没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
PIE保护绕过
weixin_30633949的博客
09-14 1944
(一):partial write 开了PIE保护的程序,其低12位地址是固定的,所以我们可以采用partial write。但是我们不能写入一个半字节,所以选择写入两个字节,倒数地位进行爆破,范围是0到f,例如: list1 = ["x05","x15","x25","x35","x45","x55","x65","x75","x85","x95","xa5","xb5","x...
大年初一绕过PIE
Sakura给爷pwn全场
02-12 600
PIE保护详解和常用bypass手段: https://www.anquanke.com/post/id/177520
pie绕过
WateranFire的博客
09-18 924
遇到use after free之类的漏洞时,利用small bin可以获取libc的基址,类似这种格式 p1=malloc(200); p2=malloc(200); free(p1); print(*(unsigned long long*)p1); 然后算一下偏移即可。 或者申请一大片的内存来触发mmap,mmap 分配的内存与 libc 之间存在固定的偏移。 p1=mal...
PWN PIE绕过方法两种
2402_89736595的博客
08-06 1457
针对PIE的破解方法
Canary_PIE 绕过介绍
m0_57836225的博客
11-18 914
PWN 相关技术中,canary_pie 绕过是一个重要的知识点。
unctf2019 pwn部分
NoOneGroup
01-08 1675
unctf2019 pwn部分解 新博客链接 babyheap easy,不讲了 #!/usr/bin/env python2 # -*- coding: utf-8 -*- from pwn import * local = 1 host = '127.0.0.1' port = 10000 context.log_level = 'debug' exe = '/tmp/tmp.spk5n...
canary保护和pie保护的绕过
2301_79880074的博客
01-27 3148
今天通过三道例学习一下开启canary,pie保护的解方法。
2019.7.22 babypie(canary绕过)和一些调试技巧
DSR446的博客
08-12 1060
1. 以上是程序的反编译代码和保护机制。我们可以看出他开了canary保护。我们运行一下程序,发现只要输入一定数额的字符,其可以保持正常功能。 2.canary总是保存在bp的上面,意是我们虽然开辟了48字节的空间,但真正能写的只有40字节。最近遇到一个pwn大佬,跟着他学到了很多gdb调试的技巧,我想把它结合这个目记录下来。 3. 我们可以在代码中加入gdb.attach(io,’’),让程...
【八芒星计划】pwn python PIE爆破脚本绕过ASLR 覆盖后几位
carol2358的博客
09-02 3797
from pwn import * from LibcSearcher import * import time local_file = './magic_number' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' select = 0 if select == 0: r = pro
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值