【pwn】[UUCTF 2022 新生赛]easystack --pie爆破

最新推荐文章于 2024-10-16 19:59:25 发布

原创

最新推荐文章于 2024-10-16 19:59:25 发布 · 1k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#java #开发语言 #python #网络安全 #安全

文章讨论了在开启PIE（PositionIndependentExecutable）技术的环境中，如何利用部分写入（partialwrite）绕过随机化机制，通过溢出和高位绕过技术找到后门函数并获取shell。作者给出了详细的爆破脚本示例。

查看程序保护

发现开了pie：

partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制，PIE的随机化只能影响到单个内存页。通常来说，一个内存页大小为0x1000，这就意味着不管地址怎么变，某条指令的后12位，3个十六进制数的地址是始终不变的。因此通过覆盖EIP的后8或16位 (按字节写入，每字节8位)就可以快速爆破或者直接劫持EIP

简单来说就是后12位是不会被随机化的，接着看代码逻辑

发现有个后门的函数

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

GGb0mb

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

PWN保护机制以及编译方法

逆向萌新的博客

11-07

3118

PWN保护机制以及编译方法

2019.11.6 unctf 的pwn题——简单绕过pie

DSR446的博客

11-06

3082

这篇安全客关于pie和bapass绕过写的蛮好的！看到函数最后返回到v1（），而且上一个函数的开辟的空间比后一个函数开辟的函数大，我们想到可以在前一个函数中提早将后门函数布置好，因为弹栈并不会是栈中的数据变化，除非往栈中写数据。我们现在就通过gdb我们需要往栈的拿个位置写后门函数。我们可以看见第一个数组的位置和后面的v2（）之间隔了0xc个字节。还有需要注意的是程序是将一个函数...

1 条评论您还未登录，请先登录后发表或查看评论

pwn练习(1)

lzx13290757580的博客

09-28

305

通过之前建立的连接，向服务器发送字符串"-1"和一个换行符。这可能是为了触发某个特定的行为或条件。存在backdoor，所以我们需要返回到backdoor。由于溢出长度不够，所以我们需要通过爆破来实现。存在栈溢出，但可溢出空间较小。64位开启了NX和pie。

unctf2019 pwn部分题解

NoOneGroup

01-08

1671

unctf2019 pwn部分题解新博客链接 babyheap easy，不讲了 #!/usr/bin/env python2 # -*- coding: utf-8 -*- from pwn import * local = 1 host = '127.0.0.1' port = 10000 context.log_level = 'debug' exe = '/tmp/tmp.spk5n...

nepctf pwn easystack(_stack_chk_fail)

qq_51868336的博客

03-24

1236

这道题考察的是对_stack_chk_fail的利用 _stack_chk_fail 简单来说就是检测到canary被修改后就会触发_stack_chk_fail函数抛出异常并结束进程，这个函数的利用点在于它调用 _fortify_fail 来输出异常信息，其中包含libc_argv[0]指向的程序名 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __fortify_fail ("stack smashing detected");

爆破canary+pie

2302_79813730的博客

03-02

1648

canary，pie保护前面我都有说到，主要是利用格式化字符串漏洞去泄露canary或绕过pie，但如果没有格式化字符串漏洞，我们应该怎么去绕过canary和pie呢?通过以上内容我们可知，前边的数是相同的，我们又知道后三位是确定的，准确来说是只差半个字节4位，只要我们得到这半个字节，就可以利用IDA中的地址。read存在栈溢出，并且具有后门，这道题的思路就很明确了，爆破出来canary和后门地址，直接用栈溢出来做。博主也通过以上文章进行的学习，接下来详细讲一下canary，pie的爆破原理。

精选资源

mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务

05-02

MQTT-PWN MQTT是一种机器对机器的连接协议，被设计为一种极其轻量级的发布/订阅消息传递，并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店，因为它结合了枚举...

moe2024新生赛--pwn篇

fuiifiuiii的博客

10-16

1045

第一步有个password的随机数猜测，搜了搜arc4random,每运行就会生成一次，找不到破绽（刚开始以为让scanf返回为-1就得了，其实不对，而且花了好久的时间找怎么让它-1也每找到，顶多不输入是0）最后：有while，重复输入判断，有固定值加取余，直接爆破不就得了。只能读13字节，本来想分次orw，结果不够，那就shellcode执行read，再写orw，原本打算往这个已知地址的地方写，这会导致需要找地方写入（第一次加的地址太多了，写到了没有分配空间的地方），前面需要填nop来滑栈。

精选资源

题目源码2024年强网杯全国网络安全挑战赛 PWN题目old-fashion-apache源码

最新发布

11-07

在历年的强网杯全国网络安全挑战赛中，PWN题目一直是比赛的重要组成部分，许多题目都以真实存在的软件和服务为蓝本，例如本例中的"old-fashion-apache"源码。 Apache是一款广泛使用的开源HTTP服务器软件，其稳定性...

精选资源

struts-pwn:Apache Struts CVE-2017-5638的漏洞利用

05-18

python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...

dictionary:来自pwn硬糖师傅的爆破字典

05-20

dictionary 来自pwn硬糖师傅的爆破字典 ---非最终版

【八芒星计划】pwn python PIE爆破脚本绕过ASLR 覆盖后几位

carol2358的博客

09-02

3795

from pwn import * from LibcSearcher import * import time local_file = './magic_number' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' select = 0 if select == 0: r = pro

暑期pwn! pwn! pang! (三)：开了pie的rop绕过

qq_43342413的博客

07-12

4580

话不多说先上图：依旧开了栈中数据不可执行保护，而且重点是，开了pie! ! ! 唉，PIE这个磨人的小妖精。还是要想办法绕过，咱们的目的是得到libc中system和/bin.sh的地址开启了地址随机化，每次运行的基址都不一样，所以得先得到每次程序运行的libc的基址，这里我们利用__libc_start_main -我们想办法得到程序中libc_start_main的地址，减去li...

【pwn】[CISCN 2023 初赛]funcanary --爆破canary和pie

question55的博客

11-14

569

拿到程序先查一下保护状态可以发现保护全开，再看一下程序的逻辑可以发现，这里有一个fork函数：C语言中的fork()函数用于创建一个新的进程，该进程是原始进程（父进程）的一个副本。这个副本将从fork()函数之后的代码行开始执行，父进程和子进程在此处分别继续执行不同的代码。fork()函数的返回值有以下三种可能情况：如果返回-1，表示创建新进程失败。如果返回0，表示当前进程是子进程。如果返回一个正整数，表示当前进程是父进程，返回的整数是子进程的进程ID。就算说fork函数会开启一个子进程，然后根据whi

Linux pwn入门教程(7)——PIE与bypass思路

子曰小玖的博客

06-04

2800

https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰，ASLR被设计出来并得到广泛应用。因为ASLR技术的出现，攻击者在ROP或者向进程中写数据时不得不先进行leak，或者干脆放弃堆栈，转向bss或者其他地址固定的内存块。而PIE(position...

针对简单Pwn溢出题的爆破

Rog's Blog

04-19

1175

爆破大法好例子：BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有，很好然后拖到IDA64分析一波发现漏洞函数，地址为 0x401186 ，很好祭出脚本，开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact

国赛your_pwn，PIE保护

playmaker的博客

05-13

2109

题目主要代码如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-110h] unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL);...

“百度杯”CTF比赛十二月场easypwn

红凳子的博客

04-04

798

“百度杯”CTF比赛十二月场easypwn前言一、程序分析二、漏洞利用exploit 前言在这篇文章中将学习到泄露canary、ret2scu和ret2syscall 一、程序分析从中可以看出该程序为64位动态链接的ELF文件，开启了canary保护，需要想办法绕过。绕过canary的方法分为两种，一种为直接泄露canary的值，另一种为覆盖canary的值。这里选择泄露canary的值，可以看出canary的位置在[rbp-8h]处，接着想办法泄露出[rbp-8h]处数据。从源码中可以

二、pwn - 零基础ROP之PIE保护绕过-碰撞

键盘的起始页

04-18

732

本文唯一区别在于，我们不利用vulnerable_function打印的地址，无法定位pie base地址，直接随机碰撞（爆破）~ 有一定比例成功的可能，贴近实战！但是呢，内存溢出后覆盖PC，要么修改2位、4、6、8...位，无法修改3位，又因为arm是小端模式，例如0x6b25741，在内存中排列为0x41 0x57 0x6b...所以0x70d 是低地址，前面存在1位未知的数值，在1-F （16进制）之间，可能是0x170d、也可能是0x270d、0x370d...0xf70d。