Panua stack iliyochapishwa

Fikiria hali ambapo programu inayoweza kudhurika kwa kujaa kwa stack inaweza kutekeleza kazi ya puts ikionyesha sehemu ya kujaa kwa stack. Mshambuliaji anajua kwamba baiti ya kwanza ya canary ni nulisha (\x00) na zingine za canary ni baiti za nasibu. Kisha, mshambuliaji anaweza kuunda kujaa ambayo inaandika juu ya stack hadi kufikia baiti ya kwanza ya canary.

Kisha, mshambuliaji anaita kazi ya puts katikati ya mzigo ambao utachapisha canary yote (isipokuwa nulisha ya kwanza).

Kwa habari hii, mshambuliaji anaweza kutengeneza na kutuma shambulio jipya akijua canary (katika kikao kile kile cha programu).

Kwa wazi, mkakati huu ni mdogo sana kwani mshambuliaji lazima aweze kuchapisha maudhui ya mzigo wake ili kuchota canary na kisha aweze kuunda mzigo mpya (katika kikao kile kile cha programu) na kutuma kujaa kwa buffer halisi.

Mifano ya CTF:

• https://guyinatuxedo.github.io/08-bof_dynamic/csawquals17_svc/index.html

• Biti 64, ASLR imewezeshwa lakini hakuna PIE, hatua ya kwanza ni kujaza kujaa hadi baiti 0x00 ya canary kisha kuita puts na kuvuja. Kwa canary, kifaa cha ROP kinatengenezwa kuita puts kuvuja anwani ya puts kutoka kwa GOT na kifaa cha ROP kuita system('/bin/sh')

• https://guyinatuxedo.github.io/14-ret_2_system/hxp18_poorCanary/index.html

• Biti 32, ARM, hakuna relro, canary, nx, hakuna pie. Kujaa na wito wa puts juu yake kuvuja canary + ret2lib kuita system na mnyororo wa ROP kwa pop r0 (arg /bin/sh) na pc (anwani ya system)

Kusoma Kiholela

Kwa kusoma kiholela kama ile inayotolewa na vichocheo vya muundo inaweza kuwa inawezekana kuvuja canary. Angalia mfano huu: https://ir0nstone.gitbook.io/notes/types/stack/canaries na unaweza kusoma kuhusu kutumia vichocheo vya muundo kusoma anwani za kumbukumbu za kiholela katika:

• https://guyinatuxedo.github.io/14-ret_2_system/asis17_marymorton/index.html

• Changamoto hii inatumia njia ya kawaida sana ya vichocheo vya muundo kusoma canary kutoka kwa stack