_environ与ssp攻击

原创 已于 2022-03-09 21:29:33 修改 · 1.5k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

于 2022-02-21 15:12:09 首次发布
本文详细介绍了在Linux C环境中,如何通过栈溢出漏洞利用environ变量,展示了一个涉及fork函数、__stack_chk_fail和__libc_argv[0]的攻击过程,包括找到puts函数地址、libc基址和环境变量地址,最终实现flag的泄露。

_environ

在Linux C中,environ是一个全局变量,它储存着系统的环境变量。

它储存在libc中

因此environ是沟通libc地址与栈地址的桥梁。

如图:即为一个程序中environ的具体信息:

1

environ利用

通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。

ssp攻击

canary的各种利用方式中,有一种是通过 __stack_chk_fail函数打印报错信息来实现。

__stack_chk_fail源码:

void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
   
   
  __fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
   
   
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminatedn",
                    msg, __libc_argv[0] ?: "<unknown>");
}

据源码可见,报错信息中会打印出libc_argv[0]的值,而libc_argv[0]指向的则是程序名。

若我们能够栈溢出足够的长度,覆盖到__libc_argv[0]的位置,那我们就能让程序打印出任意地址的数据,造成任意地址数据泄露。这就是ssp攻击。

实例分析

wdb2018_guess

最低0.47元/天 解锁文章
Loτυs
关注
CTF权威指南 笔记 -第四章Linux安全机制-4.1-Linux基础
m0_64180167的博客
05-08 789
这里给出linux常用命令。
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 584
stack smash
攻防世界PWN之interpreter-200题解
seaaseesa的博客
02-06 710
interpreter-200 这是一个befunge程序解释器,befunge程序的语法参考https://www.jianshu.com/p/ed929cf72312,还有官方的文档在https://esolangs.org/wiki/Befunge 另外本文参考国外的一篇,加以自己的理解,做了简化 https://uaf.io/exploitation/2016/09/05/Tokyo...
Jarvis OJ --Smashes (SSP leak攻击
Kni9hT's Blog
11-03 865
1
BUUCTF【GUSESS】(利用canary报错信息ssp攻击)
weixin_51055545的博客
04-29 461
文章目录通过canary报错信息来解题(ssp攻击)前言:背景知识:检查保护:IDA分析:exp分析: 通过canary报错信息来解题(ssp攻击) 前言: ​ 我们知道栈溢出的基本原理是通过发送大量数据,溢出导致覆盖返回地址,劫持程序执行流,针对开启canary保护的题目,程序中存在gets()或类似这样的危险溢出函数,却又没其他洞的情况下,我们可以利用ssp攻击达到get flag,或get shell的目的. 背景知识: ​ 我们输入过多数据,导致栈溢出时,程序puts出来的报错信息同样是调用了__
PyPI 官网下载 | django_environ-0.3.1-py2-none-any.whl
02-14
"django_environ-0.3.1-py2-none-any.whl"是这个资源的完整名称,它进一步确认了这是一个Django框架相关的Python库,且兼容Python 2版本。 **标签解析:** "django" - Django是一个广泛使用的开源Web应用框架,用...
VB_Environ系统环境变量函数大全
07-10
- **`Environ("HOMEPATH")`**: 返回用户的主目录路径,`HOMEDRIVE`组合可以得到完整的用户主目录路径。 - **`Environ("NUMBER_OF_PROCESSORS")`**: 返回计算机中处理器的数量。 - **`Environ("OS")`**: 返回操作...
精选资源
Ubuntu20_Auto_ML_DL_Environ:自动安装了ML和DL(pytorch tensorflow keras)环境,并提供了许多有用的工具,Ubuntu 20.04
05-23
Ubuntu-20.04自动ML&DL服务器 :flexed_biceps: 标签: lab z-tech 介绍 该仓库用于为Ubuntu-20.04安装ML&DL环境,并带有pytorch1.4.0 tensorflow2.2.0 keras,此外还安装了vim zshell有用的插件。...
Linux environ 环境变量指针
Andes Home 千年的塔 -十年技术,风雨兼程
03-04 5496
POSIX.1也规定应使用environ而不使用第三个参数。通常用getenv和putenv函数(7.9节将说明)来存取特定的环境变量,而不是用environ变量。但是,如果要查看整个环境, 则必须使用environ指针。 unistd.h:extern char **__environ; unistd.h:extern char **environ; #include ex
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1640
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
域内权限维持:注入SSP
01-29 874
01、简介 SSP(Security Support Provider)是Windows操作系统安全机制的提供者。简单地说,SSP是个DLL文件,主要用来实现Windows操作系统的身份认证功能。在系统启动时,SSP 将被加载到lsass.exe进程中,攻击者通过自定义恶意的DLL文件,在系统启动时将其加载到lsass.exe进程中,就能够获取lsass.exe进程中的明文密码。这样,即使用户更...
Linux中environ变量的使用
妙木山
11-21 1838
environ变量时一个char**类型的变量,其中存放着系统的全局变量,可以通过对environ输出来输出系统的全局变量。 因为environ是一个外部的全局变量,所以在使用时需要用extern声明一下。另一种使用方法是使用unistd.h头文件,但是在unistd.h头文件中定义environ的地方使用了条件编译#ifdef __USE_GUN,在Linux C中默认没有定义这个宏,所以需要...
CTF-PWN: 通过libc _environ 泄露地址的原理
weixin_59166557的博客
01-21 427
注意: 本文是基于的,我不能确保文章完全准确在libc中,_environ符号指向的是一个全局变量,通常用于存储程序的环境变量数组。具体来说,_environ是一个指向字符串数组的指针,每个字符串表示一个环境变量(如HOMEPATH等)。这个数组的结尾是一个NULL指针,表示环境变量的结束。
进程的环境变量environ
weixin_30835923的博客
03-27 261
编程之路刚刚开始,错误难免,希望大家能够指出。 每个进程都有自己的环境变量,在C语言程序中可使用外部变量(char **environ)来访问环境,而库函数可允许进程去获取或修改自己环境的值。   两种方法使用该变量。   第一种是将其直接声明为外部变量,就可以直接调用了:         第二种,该变量在unistd.h头文件里已有声明,打开头文件如下:      可以看到...
environ泄露地址+orw+uaf
FUCKING12的博客
10-08 873
这个题开了沙箱,有uaf。利用思路:借助environ泄露地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
wdb2018_guess
z1r0的博客
01-19 1105
wdb2018_guess 查看保护 这里开了canary,溢出时会报错 可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。 environlibc中存储栈地址的一个变量,可以通过environ算出flag的偏移,再将flag通过canary来输出。 想要知道environ地址还需要知道libc地址libc地址可以通过got来算。 那么第一步就是需要算出argv[0]gets这个地方ebp-0x40的偏移。 argv[0]的地址为0x7fffffffdeb8,
linux4.12 交叉编译链,交叉编译工具链(很详细)
weixin_39539684的博客
05-01 418
搞了一个“中基学生电脑”(详细的见这里http://www.ouravr.com/bbs /bbs_content.jsp?bbs_sn=1420850&bbs_page_no=1&search_mode=4& search_text=dack&bbs_id=9999),当作arm开发板用。但本人对linux不熟,arm更是没有搞过,所以从头开始 学,先编译一套工具...
环境变量
这是书生呀
03-31 374
基本概念: 环境变量一般是指操作系统中用来指定操作系统运行环境的一些参数 环境变量具有某些特殊用途,在系统当中通常具有全局性。(环境变量通常具有全局性,可以被子进程继承下去) 常见的环境变量: PATH 指定命令的搜索路径(查看可执行环境的变量) HOME 当前用户的家目录 SHELL 保存当前使用的shell 它的值通常是bin/bash LD_LIBRARY_PA...
【Linux系统编程】环境变量的组织方式
m0_74246469的博客
01-18 1106
在环境变量的基础认识下进一步认识环境变量的组织方式
usethis::edit_r_environ()
最新发布
03-14
### 如何使用 `usethis::edit_r_environ()` 编辑 R 的环境变量配置文件 `usethis::edit_r_environ()` 是一个用于编辑 R 环境变量配置文件的函数。通过该函数可以轻松打开 `.Renviron` 文件并修改其中的内容,从而...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值