【pwn】[UUCTF 2022 新生赛]easystack --pie爆破

最新推荐文章于 2024-10-16 19:59:25 发布
原创 最新推荐文章于 2024-10-16 19:59:25 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #python #网络安全 #安全

文章讨论了在开启PIE(PositionIndependentExecutable)技术的环境中,如何利用部分写入(partialwrite)绕过随机化机制,通过溢出和高位绕过技术找到后门函数并获取shell。作者给出了详细的爆破脚本示例。

查看程序保护

发现开了pie:

partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制,PIE的随机化只能影响到单个内存页。通常来说,一个内存页大小为0x1000,这就意味着不管地址怎么变,某条指令的后12位,3个十六进制数的地址是始终不变的。因此通过覆盖EIP的后8或16位 (按字节写入,每字节8位)就可以快速爆破或者直接劫持EIP

简单来说就是后12位是不会被随机化的,接着看代码逻辑

发现有个后门的函数

最低0.47元/天 解锁文章
GGb0mb
关注
PWN保护机制以及编译方法
逆向萌新的博客
11-07 3118
PWN保护机制以及编译方法
2019.11.6 unctf 的pwn题——简单绕过pie
DSR446的博客
11-06 3082
这篇安全客关于pie和bapass绕过写的蛮好的! 看到函数最后返回到v1(),而且上一个函数的开辟的空间比后一个函数开辟的函数大,我们想到可以在前一个函数中提早将后门函数布置好,因为弹栈并不会是栈中的数据变化,除非往栈中写数据。 我们现在就通过gdb我们需要往栈的拿个位置写后门函数。 我们可以看见第一个数组的位置和后面 的v2()之间隔了0xc个字节。还有需要注意的是程序是将一个函数...
pwn练习(1)
lzx13290757580的博客
09-28 305
通过之前建立的连接,向服务器发送字符串"-1"和一个换行符。这可能是为了触发某个特定的行为或条件。存在backdoor,所以我们需要返回到backdoor。由于溢出长度不够,所以我们需要通过爆破来实现。存在栈溢出,但可溢出空间较小。64位开启了NX和pie
unctf2019 pwn部分题解
NoOneGroup
01-08 1671
unctf2019 pwn部分题解 新博客链接 babyheap easy,不讲了 #!/usr/bin/env python2 # -*- coding: utf-8 -*- from pwn import * local = 1 host = '127.0.0.1' port = 10000 context.log_level = 'debug' exe = '/tmp/tmp.spk5n...
nepctf pwn easystack(_stack_chk_fail)
qq_51868336的博客
03-24 1236
这道题考察的是对_stack_chk_fail的利用 _stack_chk_fail 简单来说就是检测到canary被修改后就会触发_stack_chk_fail函数抛出异常并结束进程,这个函数的利用点在于它调用 _fortify_fail 来输出异常信息,其中包含libc_argv[0]指向的程序名 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __fortify_fail ("stack smashing detected");
爆破canary+pie
2302_79813730的博客
03-02 1648
canary,pie保护前面我都有说到,主要是利用格式化字符串漏洞去泄露canary或绕过pie,但如果没有格式化字符串漏洞,我们应该怎么去绕过canary和pie呢?通过以上内容我们可知,前边的数是相同的,我们又知道后三位是确定的,准确来说是只差半个字节4位,只要我们得到这半个字节,就可以利用IDA中的地址。read存在栈溢出,并且具有后门,这道题的思路就很明确了,爆破出来canary和后门地址,直接用栈溢出来做。博主也通过以上文章进行的学习,接下来详细讲一下canary,pie爆破原理。
精选资源
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
moe2024新生--pwn
fuiifiuiii的博客
10-16 1045
第一步有个password的随机数猜测,搜了搜arc4random,每运行就会生成一次,找不到破绽(刚开始以为让scanf返回为-1就得了,其实不对,而且花了好久的时间找怎么让它-1也每找到,顶多不输入是0)最后:有while,重复输入判断,有固定值加取余,直接爆破不就得了。只能读13字节,本来想分次orw,结果不够,那就shellcode执行read,再写orw,原本打算往这个已知地址的地方写,这会导致需要找地方写入(第一次加的地址太多了,写到了没有分配空间的地方),前面需要填nop来滑栈。
精选资源
题目源码2024年强网杯全国网络安全挑战 PWN题目old-fashion-apache源码
最新发布
11-07
在历年的强网杯全国网络安全挑战中,PWN题目一直是比的重要组成部分,许多题目都以真实存在的软件和服务为蓝本,例如本例中的"old-fashion-apache"源码。 Apache是一款广泛使用的开源HTTP服务器软件,其稳定性...
精选资源
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
dictionary:来自pwn硬糖师傅的爆破字典
05-20
dictionary 来自pwn硬糖师傅的爆破字典 ---非最终版
【八芒星计划】pwn python PIE爆破脚本绕过ASLR 覆盖后几位
carol2358的博客
09-02 3795
from pwn import * from LibcSearcher import * import time local_file = './magic_number' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' select = 0 if select == 0: r = pro
暑期pwn! pwn! pang! (三):开了pie的rop绕过
qq_43342413的博客
07-12 4579
话不多说先上图: 依旧开了栈中数据不可执行保护,而且重点是,开了pie! ! ! 唉,PIE这个磨人的小妖精。 还是要想办法绕过,咱们的目的是得到libc中system和/bin.sh的地址 开启了地址随机化,每次运行的基址都不一样,所以得先得到每次程序运行的libc的基址,这里我们利用__libc_start_main -我们想办法得到程序中libc_start_main的地址,减去li...
pwn】[CISCN 2023 初]funcanary --爆破canary和pie
question55的博客
11-14 568
拿到程序先查一下保护状态可以发现保护全开,再看一下程序的逻辑可以发现,这里有一个fork函数:C语言中的fork()函数用于创建一个新的进程,该进程是原始进程(父进程)的一个副本。这个副本将从fork()函数之后的代码行开始执行,父进程和子进程在此处分别继续执行不同的代码。fork()函数的返回值有以下三种可能情况:如果返回-1,表示创建新进程失败。 如果返回0,表示当前进程是子进程。 如果返回一个正整数,表示当前进程是父进程,返回的整数是子进程的进程ID。就算说fork函数会开启一个子进程,然后根据whi
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 2800
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position...
针对简单Pwn溢出题的爆破
Rog's Blog
04-19 1174
爆破大法好 例子:BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有,很好 然后拖到IDA64分析一波 发现漏洞函数,地址为 0x401186 ,很好 祭出脚本,开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact
your_pwnPIE保护
playmaker的博客
05-13 2109
题目主要代码如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-110h] unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL);...
“百度杯”CTF比 十二月场easypwn
红凳子的博客
04-04 798
“百度杯”CTF比 十二月场easypwn前言一、程序分析二、漏洞利用exploit 前言 在这篇文章中将学习到泄露canary、ret2scu和ret2syscall 一、程序分析 从中可以看出该程序为64位动态链接的ELF文件,开启了canary保护,需要想办法绕过。 绕过canary的方法分为两种,一种为直接泄露canary的值,另一种为覆盖canary的值。 这里选择泄露canary的值,可以看出canary的位置在[rbp-8h]处,接着想办法泄露出[rbp-8h]处数据。 从源码中可以
二、pwn - 零基础ROP之PIE保护绕过-碰撞
键盘的起始页
04-18 732
本文唯一区别在于,我们不利用vulnerable_function打印的地址,无法定位pie base地址,直接随机碰撞(爆破)~ 有一定比例成功的可能,贴近实战!但是呢,内存溢出后覆盖PC,要么修改2位、4、6、8...位,无法修改3位,又因为arm是小端模式,例如0x6b25741, 在内存中排列为0x41 0x57 0x6b...所以0x70d 是低地址,前面存在1位 未知的数值,在1-F (16进制)之间,可能是0x170d、也可能是0x270d、0x370d...0xf70d。
CTF比PWN项目源码及write-up解析
文件名称列表中的"write-ups-pwn-master"暗示了这个压缩包内可能包含了一系列的write-ups文档,这些文档专门针对Pwn类题目。文件名中的"write-ups"表明内容是关于如何解决CTF比中的Pwn题目的详细攻略。"pwn"指出了...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值