2020 金盾 pwn where_call

利用ret2vdso技术绕过PIE保护的漏洞利用
最新推荐文章于 2025-03-21 09:47:34 发布
原创 最新推荐文章于 2025-03-21 09:47:34 发布 · 492 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了如何在面对PIE(Position Independent Executable)保护的程序中,通过ret2vdso(return to VDSO)技术来实现代码执行。作者详细解析了ret2vdso的工作原理,特别是利用time函数来获取固定地址,并通过爆破方法找到使v5等于121的条件,从而触发后门调用system(/bin/sh)。文章还提供了一个exploit示例,展示了如何连接到程序并尝试爆破执行shell命令的过程。

总的来说是ret2vdso

在这里插入图片描述保护全开。

在这里插入图片描述

就如程序名,where_call,程序让你输入一个函数地址,结合下面的v5等于121,那么想的是找到一个函数,对v5进行一些操作,让它等于121,但是程序开了PIE,难点就在这里。

我们说平常PIE的绕过有两种方法,一种是泄露内存地址,但是那需要一些类似于read函数的东西,但是现在啥没有。另外一种就是partial write,但你看这显然不行,你去哪write?

所以就想到ret2vdso,或者说ret2vsyscall。

vsyscall是固定的,里面第二个函数是time函数,传入一个参数,调用time函数,返回一个时间值到buf,即相对于UTC(1970-01-01 00:00:00 +0000)所经过的秒数。当buf恰好等于121时即可进入后门函数调用system(“/bin/sh”)。

虽然说我们得到的时间是相对UTC的,但是它判断的时候值判断最后一个字节

在这里插入图片描述
所以还是可以爆破出来的。

然后就接爆破。

exp

from pwn import
最低0.47元/天 解锁文章
精选资源
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Python编程中的Alias库
2301_79326510的博客
09-24 719
Python是一种功能强大的编程语言,具有丰富的标准库和第三方库,可以帮助开发人员更高效地编写代码。在Python中,Alias库是一个常用的库,它提供了一些功能,可以方便地创建和管理变量的别名。Alias库是一个方便的Python库,可以帮助我们创建、修改和删除变量的别名。通过使用Alias库,我们可以更灵活地操作变量,并且可以在代码中更好地表达我们的意图。希望本文提供的示例代码能够帮助你理解Alias库的使用方法,并在实际开发中发挥作用。如果我们想要删除一个变量的别名,可以使用Alias库提供的。
小用lambda函数
weixin_48445640的博客
09-26 638
当函数只有一句代码,并且含有一个返回值时可以利用lambda函数 print((lambda a, b = 1: a + b)(1, 2)) 此时输出为3 a和b相当于python函数里的参数
Javascript的匿名函数
lzhdim的专栏
03-30 304
从下文中你可以知道JS的多种写法,当然有些写法不清晰,但比较适合JS框架设计开发用。
 
 
 
 一、什么是匿名函数?
 在Javascript定义一个函数一般有如下三种方式:
 
 函数关键字(function)语句:
 function fnMethodName(x){alert(x);}&#13...
JS匿名函数理解
aiqi458587的专栏
02-04 255
匿名函数的基本形式为(function(){...})(); 前面的括号包含函数体,后面的括号就是给匿名函数传递参数并立即执行之 匿名函数的作用是避免全局变量的污染以及函数名的冲突 1.小括号的作用 小括号能把我们的表达式组合分块,并且每一块,也就是每一对小括号,都有一个返回值。这个返回值实际上也就是小括号中表达式的返回值。所以,当我们用一对小括号把匿名函数括起来的时候,实...
python 执行alias_alias命令的使用
weixin_39826089的博客
12-18 2970
alias, 假名,别名,bash的一个内建命令,用来给常用的较长的命令定义个简短的名称。alias命令的基本格式为alias [word[='command']], []内为可选项。定义word为command的别名。若=’command’部分省略,则输出word之前的定义,未定义则报错。单独的alias列出当前环境中所有可用的别名。通常来讲,关于alias,知道这么多就行了。#alias#...
BUUCTF-PWN题详解(pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2655
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
【BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 349
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
buuctf pwn1_sctf_2016
最新发布
A_fish_like_sing的博客
03-21 264
buu ctf pwn1_sctf_2016
js匿名函数的作用
zhuoyunpeng的博客
09-11 939
作用域:变量的作用范围 根据作用域不同: 全局变量: 在整个文档中都能被访问 在函数外声明的变量 在函数中声明变量时没有使用var 局部变量: 在函数内声明的变量(包含参数位置) 在ES5中没有块级作用域 总结: 建议:优先使用局部变量(因为全局变量生命周期更长(和页面生命周期一致),占用内存时间更长,局部变量使用完毕就可以等待回收,更加合理) ...
python中1%7是多多少_再传捷报!原子同学优秀学员Python成绩位列全国前1%!
weixin_36384501的博客
12-24 677
原标题:再传捷报!原子同学优秀学员Python成绩位列全国前1%! #科创板块成为素质教育崛起的突破口长期以来,在应试教育为主导的中国教育体制下,素质教育一直是比较矛盾的存在。从教育本质上看,二者并不对立,但由于成绩、升学率等硬性指标的“挤压”,学校、家长和学生很少把大量时间用在素质教育上。随着近几年少儿编程&机器人教育在国内的快速兴起,素质教育的崛起似乎在科创素养这一板块找到突破口。 为...
第一类对象(First-class Object)
weixin_33907511的博客
04-14 750
2019独角兽企业重金招聘Python工程师标准>>> ...
JavaScript中匿名函数的作用和用法
Dontla的博客
03-05 2621
匿名函数可bai以有效的保证在页面上写入Javascript,而不会造成全局变量的污染。 这在给一个不是很熟悉的页面增加Javascript时非常有效,也很优美。 例: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script> var b=10;
js的函数和匿名函数和作用域
XUELUO123456789的博客
03-19 1144
一.匿名函数 概念:没有名字的函数 匿名函数的自调用:第一种(function(){ ... })(); 第二种(function(){ ... }...
python 执行alias_设置bash alias别名及取消
weixin_33848436的博客
12-28 1627
设置bash_alias别名之前在使用python3的时候有提到过如何将bash的默认python命令切换到python3。具体做法如下:在用户目录创建 .bash_alias文件vim ~/.bash_alias在其中写入别名信息alias python=python3执行source命令生效source ~/.bash_alias此时执行python命令进入的shell就是python3了。这...
【Unix/Linux.Shell Script】函数
王晓斌的专栏
09-21 1076
在shell中还可以定义函数。函数实际上也是由若干条shell命令组成的。因此它与shell程序形式上相似的, 函数定义 函数定义的基本格式为: [function] 函数名() #函数名前的function可以省略 { 若干个命令行 } 所有函数在使用前必须定义,这意味着必须将函数放在脚本开始部分。或者将它们放在另一个独立文件中且以点号 . 命令来取用它们。 函
第一个Unix Shell函数
产品经理,程序人生
02-01 1535
凡事都有个开头;有句话说,万事开头难;不管以后的路怎么样,走好脚下的每一步。 今天接触到了Unix shell中的函数,记录下,写了个hello函数,如下: pg fun_hello.sh #!/bin/ksh hello () { echo "Hello ,this is my first Shell function!" echo "Today is `date +%Y-%m-%
如何正确理解Python函数是第一类对象(First-Class Object)
Python之禅的专栏
04-12 612
之前写过一篇关于函数(Function)作为程序语言中不可或缺的一部分,太稀松平常了。但函数作为第一类对象(First-Class Object)却是 Python 函...
js匿名函数的理解
小男孩tom的博客
09-19 309
摘要: 定义函数的方式有两种,一种是函数声明,一种是函数表达式(匿名函数)。 函数声明: function abc(x,y){ return x+y; } JavaScript无论你怎么去定义你的函数,JS解释器都会把它翻译成一个Function对象。 alert(typeof abc);// “function” Function 对象是JavaScript里面的固有对象,...
pwn2_sctf_2016
02-16
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### 漏洞环境描述 该挑战提供了一个存在缓冲区溢出缺陷的应用程序实例。应用程序接收用户输入作为处理对象,在缺乏适当边界检查的情况下将其复制到固定大小的内存区域中。这种设计使得攻击者能够精心构造恶意数据包以破坏堆栈结构,并最终实现任意代码执行的目的。 #### 解决方案概述 为了成功完成这一任务,参与者通常采取以下策略: - **确定偏移量**:首先需要找到合适的字节填充数量以便精确地覆盖目标位置而不影响其他重要部分的数据完整性。 - **泄露 SSP 地址**:由于开启了 Stack Smashing Protector(SSP),即栈保护机制,因此还需要想办法获取其实际值用于后续操作中的调整校验计算。 - **定位 libc 基础地址**:如果远程服务器上使用的 glibc 版本未知,则可能需借助某些方法推测或直接读取相关指针从而得知确切基址。 - **构建有效载荷**:最后一步就是组合上述信息形成完整的 exploit chain ,比如采用 ret2libc 技巧调用 system 函数启动 shell 或者跳转至已知 gadgets 实现相同效果。 ```python from pwn import * context(log_level="debug") flag_addr = 0x600DC0 for attempt in range(1, 101): try: conn = remote('example.com', port_number) padding = b'a' * offset_to_return_address # 计算得出的确切偏移量 payload = ( padding + pack(flag_addr, 64) + ... # 可能还包括其他的 ROP chains 组件 ) conn.recvuntil(prompt_string) conn.sendline(payload) response = conn.recvall(timeout=timeout_seconds).decode() print(f"[Attempt {attempt}] Received: ", response.strip()) if success_pattern in response.lower(): break except Exception as e: log.error(e) finally: conn.close() if not 'success pattern found': raise ValueError("Failed after multiple attempts.") ``` 这段 Python 脚本展示了如何自动化尝试连接服务端发送特制请求的过程。注意这里 `offset_to_return_address`, `prompt_string`, 和 `port_number` 等变量都需要根据实际情况设定具体的数值;而 `pack()` 方法用来创建适合架构位宽的机器码表示形式。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值