0x00本文視頻:
如果文字過於枯燥可觀看在線視頻:https://edu.51cto.com/sd/16514
0x01基礎知識:
在c語言中printf的使用方法爲printf(format,<參量表>),printf是c語言中少見的可變參數的庫函數,printf在調用前無法知道傳入的參數到底有多少個(在32位彙編中參數都是壓入棧中,也就是說printf不知到有多少個參數入棧了),例如printf("My name is %s,%s"),這裏format指定了要傳遞2個參數,但我們並沒有傳,這時候printf就會去棧中高地址四字節數據來填充%s,也就是:format+4,format+8的值進行填充。
下面舉個例子:
編譯:gcc -m32 -O0 base.c -o ./base 編譯爲32位。
這是我們的測試代碼,在printf裏沒有給printf傳遞%s對應的值,我們一起來看下執行效果:
你會發現,我們沒有傳遞str變量,但還是打印了,我們使用GDB來調試下,看是否和我們前面說的使用format+4地址來填充.
彙編代碼執行到printf的時候我們暫停,看看棧中的數據:
format數據是0x8048580,對應在棧空間的位置:0xffffd5c0,按照之前的計算format+4對應的值爲Margin,這樣我們便驗證成功了。
利用這個思路,我們可以考慮下,既然可以使用%s來打印棧空間的內容,那是不是所有棧空間的內容都可以打印,我使用%s時打印的是format+4,那我使用兩個%s%s打印的是不是format+4,format+8的內容,以此類推我們可以將棧空間所有值都可以打印出來。接下來我們用一個實驗來驗證下我們的想法。
下面我們要做的是使用printf的格式化漏洞來泄漏canary的值來達到繞過的目的。
第一步:我們先分析下c語言代碼
代碼中的func函數是有一個printf函數,存在格式化字符串漏洞,正常寫法應該是printf("My name is %s",name)。
編譯:gcc -fstack-protector -m32 -o0 c.c -o ./c
第二步:確認canary的位置(偏移量)
思路是:先找到我們輸入內容的位置x,在找到canary位置y,然後x-y得到偏移量
在printf位置打斷點:b printf
在gdb裏執行r運行程序,然後輸入aaaa(這裏隨意寫,寫aaaa的意義在於在棧空間裏好找,都是61616161)
1.打印ebp的值,在函數運行時要保存ebp的值,所以,我們只要在函數運行的時候找到即可。執行命令disass func查看func函數彙編代碼,在0x080484ea的位置打斷點,因爲gs:0x14的值就是Canary的值。
打斷點:b *0x080484ea,執行到此處,在輸入兩次n,執行完mov dword ptr [ebp-0xc],eax後canary的值就在eax中了
可以看到canary的值爲0xb26f7f00
我們在打斷點b printf,然後執行c,執行到該斷點(中間我們輸入margin)
1.找到canary在棧中的位置:p $ebp (因爲canary在ebp附近)
在棧中找到ebp的位置,執行:stack 0x28(意思是要看四十行棧數據)
我們知道在棧幀空間中佈局如下:
可以看到canary在0xffffd5ec的位置,我們輸入的margin字符串在0xffffd5b0位置,但是指向的是0xffffd5cc,所以我們可以計算我們輸入的margin字符串距離canary:0xffffd5ec - 0xffffd5cc = 32,所以,我們如果要覆蓋canary需要32個字符。
第三部:動態獲取canary
現在我們知道了canary的偏移量,但是我們還不知道canary的動態值,這裏我們就需要用到printf函數的格式化漏洞(回憶下前面講的format+4),上面截圖我們可以看到printf第一個參數距離canary有15所以我們可以輸入%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x來得到canary的值(最後8位是canary),或者簡化寫法%15$08x.
第四步:獲取shell
在程序中我們已經知道了有一個exploit函數可以讓我們直接獲取shell,所以我們就把func函數的返回地址直接覆蓋爲exploit即可
從上面步驟截圖中我們可以看到canary到ebp是12,所以payload爲:
'a' * 32 + canary + 'a' * 12 + exploit地址
python代碼爲:
