二、pwn - 零基础ROP之PIE保护绕过-碰撞

已于 2024-04-18 15:52:03 修改
阅读量632 收藏 4
点赞数 5
分类专栏: 渗透/漏洞/安全 android安全与逆向 文章标签: CTF 漏洞 绕过 android PIE
于 2024-04-18 15:43:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tabactivity/article/details/137921655
版权
本文介绍了一种在Android系统中绕过PIE保护的碰撞(爆破)方法。通过分析函数运行时地址规律,确定目标函数的低三位地址,并利用小端模式的特性,尝试设置特定地址来调用所需函数。尽管存在ASLR,但通过部分写入的思路,仍能控制程序执行流程,实现目标函数的调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

欲学本文,先看前文:一、pwn - 零基础ROP之Android ARM 32位篇(新修订,精华篇)-CSDN博客

代码、文件同第一篇,自行复制。本文唯一区别在于,我们不利用vulnerable_function打印的地址,无法定位pie base地址,直接随机碰撞(爆破)~ 有一定比例成功的可能,贴近实战!

多次运行level6,我们可以发现一个 规律,函数运行时的地址低3始终不变,都为741  !!!

通过IDA静态分析level6,看到相对地址是740。运行时地址+1了,因为此函数为thumb指令,PC需要+1

那么我们可以推导,我们想要调用的目标函数callsystem,其低三位应该就是:

最低0.47元/天 解锁文章
2019.11.6 unctfpwn题——简单绕过pie
DSR446的博客
11-06 3016
这篇安全客关于pie和bapass绕过写的蛮好的! 看到函数最后返回到v1(),而且上一个函数的开辟的空间比后一个函数开辟的函数大,我们想到可以在前一个函数中提早将后门函数布置好,因为弹栈并不会是栈中的数据变化,除非往栈中写数据。 我们现在就通过gdb我们需要往栈的拿个位置写后门函数。 我们可以看见第一个数组的位置和后面 的v2()之间隔了0xc个字节。还有需要注意的是程序是将一个函数...
CTFpwn常见保护绕过:pie,canary
2302_79813730的博客
01-27 4100
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
暑期pwn! pwn! pang! (三):开了pierop绕过
qq_43342413的博客
07-12 4413
话不多说先上图: 依旧开了栈中数据不可执行保护,而且重点是,开了pie! ! ! 唉,PIE这个磨人的小妖精。 还是要想办法绕过,咱们的目的是得到libc中system和/bin.sh的地址 开启了地址随机化,每次运行的基址都不一样,所以得先得到每次程序运行的libc的基址,这里我们利用__libc_start_main -我们想办法得到程序中libc_start_main的地址,减去li...
大年初一绕过PIE
Sakura给爷pwn全场
02-12 561
PIE保护详解和常用bypass手段: https://www.anquanke.com/post/id/177520
pie绕过方式
weixin_30270561的博客
04-23 2029
目标程序下载 提取码:qk1y 1.检查程序开启了哪些安全保护机制 pie机制简介 PIE(position-independent executable) 是一个针对代码段.text, 数据段.*data,.bss等固定地址的一个防护技术。同ASLR一样,应用了PIE的程序会在每次加载时都变换加载基址 pie机制怎么绕过 虽然程序每次运行的基址会变,但程序中的各段的相对偏移是不会变的,只要泄露...
pwn-canary绕过PIE(未完待续)
m0_75234353的博客
05-30 1182
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
一、pwn - 零基础ROPAndroid ARM 32位篇(新修订,精华篇)
键盘的起始页
04-17 1217
一旦你知道了溢出的偏移量,你就可以构造一个包含NOP滑梯、shellcode以及用于覆盖PC的正确地址的有效载荷。你需要确保shellcode位于溢出点之后,并且PC被设置为指向NOP滑梯的开始部分,这样当执行流到达该位置时就会滑入你的shellcode并执行。使用模式创建工具来确定哪部分输入覆盖了程序计数器(PC),是一种常见的方法,特别是在开发缓冲区溢出漏洞利用时。当程序崩溃时,检查程序计数器(PC)的值。工具将输出一个数字,表示在模式中的偏移量,这个数字就是从输入数据的开始到覆盖PC的点的字节数。
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 3083
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
[pwn]ROP:三道题讲解花式绕过Canary栈保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
canary保护pie保护绕过
2301_79880074的博客
01-27 2662
今天通过三道例题学习一下开启canary,pie保护的解题方法。
binary_vulnerability:进制突破之栈溢出原理和利用技术,绕过安全保护技术(绕过NX,ASLR,PIE,Canary,RELRO等),格式化串行突破原理是利用技术,大量溢出漏洞原理和利用技术,glibc2 .30内存管理进制文件深入分析,堆迭扩展(fastbin攻击,UAF,双重释放,堆重叠和扩展攻击,unlink攻击,house系列攻击)突破原理和攻破技巧
03-23
漏洞利用 进制漏洞挖掘技术摘要 该项目是关于挖掘进制突破的一些技术和技巧,可以理解为它是一个教材,里面包含了一些常见突破的原理和攻击方式。 由于本人水平有限,不能避免可能会在文档中出现错误,敬请原谅。 注意: 该项目版权尽属于我个人所有,这包括项目中的文档和源码,你可以下载和查看,该项目涉及的所有文档和代码仅能进行学习交流目的,但不能以下用途否则必究: 1,相关项目和文档不能被发布到网上或其他地方 2,不能用于商业目的(如复制,摘抄,或者通过部分更改复制,摘抄或用作出书,发帖,发文章等。否则后果自负!!!),违背剥削!!!
PIE保护绕过
weixin_30633949的博客
09-14 1879
(一):partial write 开了PIE保护的程序,其低12位地址是固定的,所以我们可以采用partial write。但是我们不能写入一个半字节,所以选择写入两个字节,倒数地位进行爆破,范围是0到f,例如: list1 = ["x05","x15","x25","x35","x45","x55","x65","x75","x85","x95","xa5","xb5","x...
pie绕过
WateranFire的博客
09-18 884
遇到use after free之类的漏洞时,利用small bin可以获取libc的基址,类似这种格式 p1=malloc(200); p2=malloc(200); free(p1); print(*(unsigned long long*)p1); 然后算一下偏移即可。 或者申请一大片的内存来触发mmap,mmap 分配的内存与 libc 之间存在固定的偏移。 p1=mal...
绕过android 5.0以上的pie机制
Android/Linux的专栏
09-21 3438
最快的方法是其实有个无痛的方法,修改不能运行的进制可执行文件将第17个字节的02改为03即可。root@p201:/ # /cache/native_audio error: only position independent executables (PIE) are supported. 1|root@p201
【八芒星计划】pwn python PIE爆破脚本绕过ASLR 覆盖后几位
carol2358的博客
09-02 3726
from pwn import * from LibcSearcher import * import time local_file = './magic_number' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' select = 0 if select == 0: r = pro
pwn】[UUCTF 2022 新生赛]easystack --pie爆破
question55的博客
11-12 894
查看程序保护发现开了pie:partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制,PIE的随机化只能影响到单个内存页。通常来说,一个内存页大小为0x1000,这就意味着不管地址怎么变,某条指令的后12位,3个十六进制数的地址是始终不变的。因此通过覆盖EIP的后8或16位 (按字节写入,每字节8位)就可以快速爆破或者直接劫持EIP简单来说就是后12位是不会被随机化的,接着看代码逻辑发现有个后门的函数可以getshell,但是问题是怎么溢出到这里,vuln函数
国赛your_pwnPIE保护
playmaker的博客
05-13 2025
题目主要代码如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-110h] unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL);...
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 2556
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position...
PWN入门(9)NX enabled,PIE enabled与返回LibC库
Ba1_Ma0的博客
10-02 2102
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对进制漏洞的利用下载这个github库,进入08文件夹还是和上一篇文件一样,设置文件权限,将flag设置位只能root可读设置程序位suid位关动态链接库的防护。
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江西省遂川县常驻深圳大使

喜欢本文,打赏下作者吧~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值