pwn1-believeMe
- x86 elf | nx , stack canary
- 漏洞点:
- 40个字符内的格式化字符串
- 使用 pwntools 的 fmtstr_payload 生成payload (设置 write_size="short" 缩短payload长度)
- ASLR 保护机制没有开启
- 系统层面的保护机制
- ASLR是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度
- 这一点没有了解导致看了很久 , 留一个坑总结所有的保护机制。。
- 40个字符内的格式化字符串
- 利用过程:
- 格式化字符串 泄露远程的 ebp 地址 , 加上相对偏移得到 ret 地址
- 再次利用格式化字符串修改 ret 地址为后门函数
exp
- 再次利用格式化字符串修改 ret 地址为后门函数
TheNameCalculator
- x86 elf | nx , stack canary
- 流程分析:
- main函数中有 一个检测 , 通过检测之后 进入secret 函数
- secret 中 有一个name的输入 , 加密后直接作为格式化字符串 进行printf
- 漏洞点:
- secret 中的格式化字符串漏洞
- 利用过程:
- 注意点 :
- 格式化字符串 修改 exit@got 的 低位 为 后门函数的地址 (27个字符的有限输入仅足以修改 4 个字节)
- 注意 格式化字符串的 修改大小为 每次 修改 2个字节
- 操作 :将 修改 exit@got值的格式化字符串加密后 输入即可
- 注意点 :
Grocery List
- x64 elf | full relro , nx , pie , stack canary
- 功能分析 :
- 1 . 新建 item
- 1.1 新建有内容的
- 1.2 新建无内容的
- 1.3 新建样例 | 样例的传值有问题,传入的是main函数内栈上一个字符串的地址 , 可以通过此处获得 main_ret 地址
- 2 . 编辑 item | 使用gets读入,有堆溢出
- 3 . 删除 item
- 4 . print all , 列出 所有 item的内容
- 1 . 新建 item
- 漏洞利用:
- 泄露栈地址 , 得到 main_ret 地址 (地址上的值是 __libc_start_main + 240 )
- 利用 堆溢出 和 栈地址上的 0x21 覆盖 释放的堆块 的 fd ,将堆块 释放到 栈上( alloc to stack) , 从而泄露 __libc_start_main 的值
- 利用 LibcSearcher 查找对应的libc
- 找到 对应libc 后 计算 libc的 基址 ,从而得到 __malloc_hook 地址 和 one_gadget 地址
- 利用 2的思路 覆盖 fd 使得 malloc_hook 可控 | 因为 直接覆盖 __malloc_hook 为 one_gadget 在当前环境下不可用,所以使用 __realloc_hook 劫持来构造满足条件的环境
- 知识点:
- __realloc_hook 劫持 :
- 将realloc_hook设置为选择好的one_gadget,将malloc_hook设置为realloc函数开头某一push寄存器处。push和pop的次数是一致的,若push次数减少则会压低堆栈,改变栈环境。这时one_gadget就会可以使用。具体要压低栈多少要根据环境决定,这里我们可以进行小于48字节内或72字节的堆栈调整。
- 参考链接 : https://bbs.pediy.com/thread-246786.htm
exp
- __realloc_hook 劫持 :
