本文介绍了如何在开启金丝雀保护的32位程序中,利用栈溢出和格式化字符串漏洞来读取flag。通过分析程序结构,发现可以控制win函数执行两次,首次泄露栈地址,第二次填充地址读取flag。通过gdb调试,计算栈地址偏移,最终成功获取flag。
题目名称叫做canary,应该是要绕canary了,首先我们来看看开了什么保护
开了金丝雀的32位程序,拉入ida按f5来分析一下
vuln存在栈溢出漏洞,gets函数没有限制输入,我们可以,虽然开了金丝雀,但是一般开金丝雀的程序,在主函数里,会有一堆变量,最后return a&b(为什么会是这样子呢,假设a是金丝雀原本的值,b是栈上本来存金丝雀的内容,如果没有发生栈溢出,b就还是原本金丝雀的值,那么a&b就是0,主函数返回0是没事的,但是如果b被修改了,a&b返回1,主函数返回1会导致系统奔溃)这样子的形式,但是这个没有,所以金丝雀不复存在的,
这里面有一个win函数,我们进去看看
实现的操作就是,打开这个flag的文件,创建了一个栈上的临时变量v3,把flag内容读到v3上,然后我们可以给v2赋值,在printf出来,这里就是一个格式化字符串漏洞了,我们前面讲到,格式化字符串,如果栈上存在一块地址,这块地址是指向flag的地址,然后我们可以把"%k$s"赋值到v2上,这样子就可以用printf把flag给打印出来了!
栈上平白无故是不会存v3的地址的,除非我们输入,但是栈的地址又是随机的,那么首先第一步就要泄露一个准确实时的栈地址(这个栈地址是同一个进程的栈地址)出来,然后通过计算偏移,然后再把这个地址和%$s一起写进去,这样子的一种模式,大概思路就是控制win函数执行两次,第一次泄露地址,第二次填写进去之后读flag
栈地址每次加载都是随机的,但是地址之间的偏移是不会变的,那么我们可以通过泄露栈上可以泄露的栈地址,泄露一个出来,gdb调一下然后计算一下他的偏移,就是距离flag的偏移是多少,然后把offset算出来之后,第一次泄露的地址加上偏移,就是第二次调用win的时候flag的位置了
完整exp如下
from pwn import *
context(log_level='debug')
ly=process
最低0.47元/天 解锁文章
5140
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
