劫持TLS绕过canary pwn89

劫持TLS绕过canary pwn88

首先了解一下这个东西的前提条件和原理
前提:

  1. 溢出字节够大,通常至少一个page(4K)

  2. 创建一个线程,在线程内栈溢出

原理:
在开启canary的情况下,当程序在创建线程的时候,会创建一个TLS(Thread Local Storage),这个TLS会存储canary的值,而TLS会保存在stack高地址的地方。

那么,当我们溢出足够大的字节覆盖到TLS所在的地方,就可以控制TLS结构体,进而控制canary到我们想要的值,实现ROP

然后具体写一下这个题目,毫无疑问canary是开启的

ida打开看一下

main函数里面就这些,我来解释一下pthread_create这个函数,相当于创建了一个进程去执行start函数,而pthread_join让
一个线程等待另一个线程结束。如果代码中没有pthread_join主线程就会很快结束从而使整个进程结束,从而使创建的线程没有机会开始 执行就结束了。

加入pthread_join后,主线程会一直等待直到等待的线程结束自己才结束,使创建的线程有机会执行。

跟进start函数看一下

跟进lenth和readn

相当于,我们一开始输入一个长度,然后readn函数会把我们再次输入的东西放入s中,因为长度最大可以到0x10000,而s长度只有0x1010所以有栈溢出

有canary保护我们可以通过覆盖高地址来覆盖掉TLS,然后就是正常的ROP然后栈迁移到bss段执行one_gadget

exp:

这里覆盖的长度应该大于等于0x1900,否则可能无法覆盖掉TLS进而覆盖掉canary