Jarvis OJ --Smashes (SSP leak攻击)

最新推荐文章于 2023-01-29 10:11:00 发布
最新推荐文章于 2023-01-29 10:11:00 发布
阅读量833 收藏 1
点赞数
分类专栏: # pwn 文章标签: pwn SSP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43092232/article/details/102790343
版权
本文记录了一次在在线判题系统Jarvis OJ中遇到的SSP leak攻击过程。作者详细阐述了如何利用Canary保护的触发来获取想要的内存地址,探讨了在NX保护开启的情况下,如何通过源码分析和exploit尝试来寻找并读取隐藏的flag。过程中涉及了ELF的重映射问题,最终成功找到并展示了flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在OJ做题的时候遇到了SSP(Stack Smashing Protector) leak
因为第一次遇到,所以记录一下。

> 简单的来说,SSP leak 就是通过故意触发canary的保护来输出我们想要地址上的值。
先看一下程序开了哪些保护
在这里插入图片描述
发现Canary和NX都开了

如果canary保护被触发,就会调用___stack_chk_fail 这个函数(libc库自带)
在这里插入图片描述
先来触发一下canary保护试一下
在这里插入图片描述

我们来看一下源码

__stack_chk_fail :

void 
__attribute__ ((noreturn)) 
__stack_chk_fail (void) {
      
    __fortify_fail ("stack smashing detected"); 
}

fortify_fail


                

                
                
        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    



                



	

		

			

				
					
18.9.19 Jarvis OJ PWN----Smashes

				
			

			

				

					qq_42192672的博客
				

				

					09-19
					
					590
					
				

			

		

		

			
				
先checksec一下



我的天,有栈保护,nx,咋办……

IDA进去,我们可以看见有个函数挺关键的,如下



我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法

然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak)

先介绍一下好...

			
		

	



                

            
              



	

		

			

				
					
(Jarvis Oj)(Pwn) Smashes

				
			

			

				

					Nothing
				

				

					06-14
					
					2527
					
				

			

		

		

			
				
(Jarvis Oj)(Pwn) Smashes

查看保护。打开了栈保护。看上去有点麻烦。 
 
再来分析下程序代码。如下是主要的函数体部分。 
 
这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 
 
并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...

			
		

	



              


  
              

                


	

		

			

				
					
JarvisOJ smashes

				
			

			

				

					PLpa的博客
				

				

					07-10
					
					364
					
				

			

		

		

			
				
这题仍然是栈溢出题,只不过加入了栈保护CANARY,要做这题,CANARY的作用以及他对栈的影响一定要有所了解,不然将无从下手。
拿到程序,首先查看一下保护:

程序开了CANARY保护,有点麻烦。
对于canary,就是在栈底前面一点点(不一定贴近)加入一串字符,如果你暴力进行栈溢出,你就会覆盖canary,导致程序报错,只是栈的一种保护机制。
我们先进入IDA查看程序逻辑:

我们可以看到在函...

			
		

	





	

		

			

				
					
jarvis oj smashes

				
			

			

				

					发蝴蝶和大脑斧的博客
				

				

					02-23
					
					484
					
				

			

		

		

			
				
checksec发现开启了nx和canary。ida打开发现输入name时存在栈溢出,缓冲区大小0x108,同时发现存在"PCTF{Here’s the flag on server}"字符串,不过第二次输入的时候会覆盖。当检测到修改了canary时会返回'*** stack smashing detected ***: /home/ctf/smashes terminated\n'。
此处“/h...

			
		

	



		

			
		



	

		

			

				
					
Smashes Jarvis OJ

				
			

			

				

					九层台
				

				

					04-06
					
					673
					
				

			

		

		

			
				
nc pwn.jarvisoj.com 9877 
检查开启的保护



liu@ubuntu:~/Desktop$ checksec 2
[*] '/home/liu/Desktop/2'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    Canary found #栈保护
    NX:       NX en...

			
		

	





	

		

			

				
					
BUUCTF【GUSESS】(利用canary报错信息ssp攻击)

				
			

			

				

					weixin_51055545的博客
				

				

					04-29
					
					419
					
				

			

		

		

			
				
文章目录通过canary报错信息来解题(ssp攻击)前言:背景知识:检查保护:IDA分析:exp分析:
通过canary报错信息来解题(ssp攻击)
前言:
​	我们知道栈溢出的基本原理是通过发送大量数据,溢出导致覆盖返回地址,劫持程序执行流,针对开启canary保护的题目,程序中存在gets()或类似这样的危险溢出函数,却又没其他洞的情况下,我们可以利用ssp攻击达到get flag,或get shell的目的.
背景知识:
​		我们输入过多数据,导致栈溢出时,程序puts出来的报错信息同样是调用了__

			
		

	





	

		

			

				
					
Jarvis OJ pwn刷题

				
			

			

				

					清霂的博客
				

				

					03-26
					
					280
					
				

			

		

		

			
				
目录level1level3level3_x64smashes
level1
#!/usr/bin/env python3
from pwn import *

context(os="linux", arch="i386", log_level="debug")
content = 1


def main():
    if content == 0:
        io = process("./level1.80eacdcd51aca92af7749d96efad7fb5")
    else:


			
		

	





	

		

			

				
					
Jarvis Oj   smashes 经验总结

				
			

			

				

					qq_43189757的博客
				

				

					07-18
					
					244
					
				

			

		

		

			
				
解题思路:
本题除了PIE 和 RELRO 其他保护都开了
而ELF文件中告诉了你flag的位置,所以要通过某个漏洞去读取这个地址上的flag,在触发 CANARY 这个保护时, 程序会终止并且输出argv[0] 的内容,利用这点加上gets函数的无限读取可以覆盖argv[0] 处的内容,从而输出我们想输出的内容
(本来在pwnable.kr 上做过类似的题目,但是过了太久忘光了,全程在想有没有其...

			
		

	





	

		

			

				
					
_environ与ssp攻击

				
			

			

				

					N1rvana的博客
				

				

					02-21
					
					1425
					
				

			

		

		

			
				
_environ
在Linux C中,environ是一个全局变量,它储存着系统的环境变量。
它储存在libc中
因此environ是沟通libc地址与栈地址的桥梁。
如图:即为一个程序中environ的具体信息:

environ利用
通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。
ssp攻击
canary的各种利用方式中,有一种是通过 __stack_chk_fail函数打印报错信息来实现。
__stac

			
		

	





	

		

			

				
					
(Jarvis Oj)(Re)Smali

				
			

			

				

					Nothing
				

				

					03-30
					
					613
					
				

			

		

		

			
				
(Jarvis Oj)(Re)Smali

安卓的smali文件,有自己的语法,熟悉这个语法可以直接还原成源文件。然而我并看不懂。应为程序比较简单所以靠猜也是可以知道大概意思的。



.class public Lnet/bluelotus/tomorrow/easyandroid/Crackme;
.super Ljava/lang/Object;
.source "Crackme.java"...

			
		

	





	

		

			

				
					
pwn学习-jarvisoj-smashes-利用canary打印信息

				
			

			

				

					qq_45653588的博客
				

				

					12-22
					
					349
					
				

			

		

		

			
				
下载文件,先检查一下保护机制,开得还挺多的。

反编译一下查看伪代码。
unsigned __int64 sub_4007E0()
{
  __int64 v0; // rbx
  int v1; // eax
  __int64 v3; // [rsp+0h] [rbp-128h]
  unsigned __int64 v4; // [rsp+108h] [rbp-20h]

  v4 = __readfsqword(0x28u);
  __printf_chk(1LL, "Hello!\nWhat's 

			
		

	





	

		

			

				
					
域内权限维持:注入SSP

				
			

			

				

					
				

				

					01-29
					
					722
					
				

			

		

		

			
				
01、简介
SSP(Security Support Provider)是Windows操作系统安全机制的提供者。简单地说,SSP是个DLL文件,主要用来实现Windows操作系统的身份认证功能。在系统启动时,SSP 将被加载到lsass.exe进程中,攻击者通过自定义恶意的DLL文件,在系统启动时将其加载到lsass.exe进程中,就能够获取lsass.exe进程中的明文密码。这样,即使用户更...

			
		

	





	

		

			

				
					
Linux pwn入门教程(9)——stack canary与绕过的思路

				
			

			

				

					子曰小玖的博客
				

				

					06-04
					
					2824
					
				

			

		

		

			
				
https://bbs.ichunqiu.com/thread-44069-1-1.html

0x00 canary简介

我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金...

			
		

	





	

		

			

				
					
SCTF 2015 pwn试题分析

				
			

			

				

					weixin_30819163的博客
				

				

					05-11
					
					206
					
				

			

		

		

			
				
Re1
是一个简单的字符串加密。程序使用了多个线程,然后进行同步。等加密线程加密好了之后才会启动验证线程。这个题比较坑的是IDA F5出来的结果不对,不知道是不是混淆机制。
刚开始看的是F5后的伪代码,一脸懵逼。后来看了下汇编才明白是怎么回事。
解密直接打表就可以,也可以写逆算法。

pwn1
用checksec看了一下保护机制,有canary+nx保护。漏洞是一个简单的栈溢出,但是...

			
		

	





	

		

			

				
					
第12周OJ实践 爬楼梯

				
			

			

				

					越努力,越幸运!!!
				

				

					11-22
					
					1463
					
				

			

		

		

			
				
问题及代码:
/*烟台大学计算机学院
题目描述:爬楼梯
作者:景怡乐
完成时间:2016年11月22日
*/
#include 
#include 
 unsigned long count (int n);
int main()
{

    int n;
     unsigned long m;
    printf("请输入楼梯的台阶数;");
    scanf("%d",&n);
 

			
		

	





	

		

			

				
					
JarvisOJ Web&Reverse&Pwn

					
热门推荐

				
			

			

				

					4ct10n
				

				

					11-16
					
					5万+
					
				

			

		

		

			
				
Web
0x01 phpinfo
0x02 WEB
0x03 Easy Gallery
0x04 Login
0x05 PORT51
0x06 LOCALHOST
0x07 神盾局的秘密
0x08 IN A Mess
0x09 api调用
0x0a Simple Injection
0x0b 图片上传漏洞
0x0c  chopper
0x0b flag在管理员手里
Reverse
0x01FindK

			
		

	





	

		

			

				
					
好好说话之Stack smash

				
			

			

				

					hollk’s blog
				

				

					07-28
					
					2285
					
				

			

		

		

			
				
Stack smash
我们之前一直没有做过关于canary保护的题,那么这个Stack smash就是绕过canary保护的技术。在程序加载了canary保护之后如果我们是在覆盖缓冲区的时候就会连带着覆盖了canary保护的cookie,这个时候程序就会报错。但是这个技术并不在乎是否报错,而是在乎报错的内容。stack smash技巧就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动canary保护之后,如果发现canary被修改的话就会执__stack_chk_fail函数来打印argv

			
		

	





	

		

			

				
					
Jarvis-OJ WEB 多题writeup

				
			

			

				

					烟敛寒林的博客
				

				

					04-19
					
					4589
					
				

			

		

		

			
				
PORT51(curl)

LOCALHOST(伪造ip)

Login(SQL注入)

神盾局的秘密(base64编码+反序列化)

IN A Mess(代码审计+过滤空格SQL注入)

admin(robots.txt+cookie欺骗)

[61dctf]babyphp(Git泄露+代码注入)

Easy Gallery(文件上传、%00截断)

Simple Injection(过滤空格S...

			
		

	





	

		

			

				
					
Jarvis OJ admin

				
			

			

				

					沐目的博客
				

				

					04-18
					
					598
					
				

			

		

		

			
				
Jarvis OJ admin
(http://web.jarvisoj.com:32792/)题目链接
首先打开连接后,发现什么也没有,然后抓包,发现有个admin=0,然后将admin改成等于1,但发现什么也没有发生。让后想到题目是admin,于是去式了一下index。php发现不行。

...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值