Canary与PIE

最新推荐文章于 2024-10-17 16:28:38 发布
最新推荐文章于 2024-10-17 16:28:38 发布
阅读量334 收藏 7
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80798825/article/details/141068832
版权

Canary保护机制与绕过策略

简介

一种防止栈溢出的保护机制;栈溢出的主要利用过程就是通过填充数据覆盖存在于栈上的局部变量,井溢出至ebp和eip等,从而劫持程序控制流;在未开启栈溢出保护的时候,可以通过覆盖返回地址来达到执行shellcode 的目的;如果开启栈保护,在函数调用的时候(执行时),会往栈中插入类似于cookie的信息,当函数返回的时候会验证cookie信息是否合法,即在栈销毁之前测试该值是否发生改变;如果不合法,表示栈溢出发生,会立即停止程序的执行。攻击者在利用栈溢出的时候会将该cookie信息覆盖掉,但程序在返回检查该值的时候能够发现发生栈溢出,故导致攻击者利用失败。

原理

在一个函数的入口处,从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的一致。

当canary被篡改时,触发_stack_chk_fail

绕过方法 

1.格式化字符串绕过canary
    通过格式化字符串读取canary的值,在覆盖canary的时候将canary原有的值写入payload中。

%s 从内存中读取字符串


2.Canary爆破(针对有fork函数的程序)
    fork作用相当于自我复制,每一次复制出来的程序,内存布局都是一样的,当然canary值也一样。那我们就可以逐位爆破。如果程序崩溃了就说明这一位不对,如果程序正常就可以接着跑下一位,直到跑出正确的canary。
3.Stack smashing(故意触发canary.ssp leak)
4.劫持_stack chk fail
    修改got表中_stack_chk_fail函数的地址,在栈溢出后执行该函数,但由于该函数的地址被修改,所以程序会跳转到我们想要执行的地址。

PIE机制介绍

PIE PIE技术是一个针对代码段(.text)、数据段 (.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。
 

绕过方法

刚刚在程序中看到的开了PIE保护的程序,所有代码段的地址都只有最后三个数是已知的,这里有一点要知道的是,程序的加载地址一般都是以内存页为单位的,所以程序的基地址最后三个数字一定是0,这也就是说那些地址已知的最后三个数就是实际地址的最后三个数。知道这一点之后我们就有了绕过PIE的思路,虽然我并不知完整的地址,但我知道最后三个数,那么我们就可以利用栈上已有的地址,只修改他们最后两个字节(最后四个数)即可。所以对于绕过PIE保护的核心思想就是partial writing (部分写地址)

..Agoni
关注
CanaryPie保护
2301_79880752的博客
01-27 908
Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置。
爆破canary+pie
2302_79813730的博客
03-02 1442
canarypie保护前面我都有说到,主要是利用格式化字符串漏洞去泄露canary或绕过pie,但如果没有格式化字符串漏洞,我们应该怎么去绕过canarypie呢?通过以上内容我们可知,前边的数是相同的,我们又知道后三位是确定的,准确来说是只差半个字节4位,只要我们得到这半个字节,就可以利用IDA中的地址。read存在栈溢出,并且具有后门,这道题的思路就很明确了,爆破出来canary和后门地址,直接用栈溢出来做。博主也通过以上文章进行的学习,接下来详细讲一下canarypie的爆破原理。
canary保护和pie保护的绕过
2301_79880074的博客
01-27 1947
今天通过三道例题学习一下开启canarypie保护的解题方法。
绕过 canary机制 pie机制 防栈溢出
s_hiy_iyi的博客
11-26 435
下个断点。
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 2754
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
canary爆破、pie保护(格式化字符串漏洞)
2301_81031055的博客
01-29 439
canary两种解题方式:1.爆破canary2.如果存在字符串格式化漏洞可以输出泄露canary的地址并利用栈溢出覆盖canary的地址返回到system地址从而达到绕过。
NX,Canary,RELRO,PIE,Linux的4种保护机制讲解
半岛铁盒的博客
12-18 5499
 NX(DEP):数据执行防护  Canary(FS):栈溢出保护  RELRO(ASLR):(地址随机化)  PIE(代码地址随机化) NX: 栈上的数据没有执行权限 防止攻击手段:栈溢出 + 跳到栈上执行shellcode CANARY: 在函数开始时就随机产生一个值,将这个值CANARY 放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲 区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆 盖掉CANARY的值;当程序结束时,程序会检查 CANARY这个值和之前的是否一致,如果不一致,则
Canary保护
u014377094的博客
04-25 1214
之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。 学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。 栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将c
刷题小结2:pie与canary保护
weixin_66751120的博客
01-27 900
pie保护开启后也就是所有地址都被随机化了,包括ida与ROPgadget所看到的所有地址都只有最后几位,这是相对于当前随机产生的pie的基址的偏移,那么我们如果能得到pie的基址,就能得到其他地址,从而拿到权限,这里总结的方法是接收pie的基址。先checksec一下,可以看到开启pie保护,同时ida里也不是可以用的地址,而是偏移。那么看主函数主函数的逻辑就是进行两次循环,分别输入1,2,3或者其他进入对应函数case1:非常明显的栈溢出,可以覆盖rbp以及返回地址。
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
- `-no-pie`:禁止生成Position Independent Executable (PIE),使程序地址固定,方便调试。 - `-o pwnme`:指定输出文件名为`pwnme`。 为了便于调试,可以通过`ldd pwnme`查看libc的加载位置,如果位置不固定,...
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 3050
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
32位系统栈溢出防护:Canary机制与格式化字符串漏洞绕过
实验示例中,作者提供了一个名为`Canary.c`的源代码,展示了如何在不使用完全保护的情况下编写函数,并通过`gcc-m32-ggdb-zexecstack-fstack-protector-no-pie-opwnmeCannary.c`命令进行编译。在这个例子中,通过`...
Qt的websocket客户端和服务器测试(非安全版本)
10-17 137
Qt的websocket客户端和服务器测试(非安全版本)
【云原生安全篇】Notation助力Harbor镜像验证实践
StevenZeng学堂
10-14 2001
❤️摘要: 随着容器化技术的普及,容器镜像的安全性愈发成为企业关注的焦点。Harbor 作为一款开源的企业级镜像仓库管理工具,通过提供多种安全功能来帮助企业管理容器镜像的生命周期。而 Notation 则是一个用于容器镜像签名的工具,能够为镜像提供加密签名,以确保镜像的来源可验证、内容未被篡改。本文将详细介绍如何在 Harbor 中使用 Notation 对镜像进行签名和验证,帮助读者提升镜像安全的管理能力。
CTFHUB技能树之HTTP协议——响应包源代码
weixin_73049307的博客
10-13 371
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
【OCPP】ocpp1.6协议第5.19 Update Firmware章节的介绍及翻译
qq_53871375的博客
10-11 293
在OCPP 1.6协议中,第5.19章节讨论了“Update Firmware”(更新固件)的功能。这一章节主要描述了如何通过充电站管理系统(CSMS)远程更新充电站的固件,以确保充电站能够支持最新的功能和修复已知的漏洞。该章节描述了通过远程操作更新充电站固件的流程。固件更新是维护充电站软件的一个关键部分,可以提高系统的稳定性、增加功能或修复安全问题。
网络安全的全面指南
qq_42568323的博客
10-09 1304
网络安全是指保护计算机网络及其数据免受未经授权访问、攻击或破坏的过程。其目标是确保信息的机密性、完整性和可用性。
涉密网和非涉密网之间企业如何进行安全跨网文件交换?
最新发布
镭速的博客
10-17 339
医疗行业需要传输病人的医疗影像资料,金融行业需要传输交易记录,而高新技术企业则需要交换研发文档。传统的文件传输方式,如FTP或网络共享,存在安全隐患,无法满足加密传输的需求,且在处理大文件时效率低下。此外,不同网络的安全级别不同,需要针对性的数据安全管理,而传统的传输方式难以实现。镭速的跨网文件交换系统不仅提高了数据传输的效率,还通过先进的安全技术和智能化的管理功能,确保了数据的安全性和合规性。在数字化时代,企业面临着跨网文件交换的挑战,尤其是涉密网和非涉密网之间的数据传输。
【系统架构设计师】案例专题六(8大系统架构设计之7): 安全架构设计考点梳理
数据知道的博客
10-13 338
安全架构是架构面向安全性方向上的一种细分,可关注三个安全方面,即产品安全架构、安全技术体系架构和审计架构, 这三个方面可组成三道安全防线。信息的可用性、完整性、机密性、可控性和不可抵赖性等安全保障尤为重要如果安全性体现在产品上,那么,通常的产品安全架构、安全技术体系架构和审计架构可组成三道安全防线。(1)产品安全架构: 构建产品安全质量属性的主要组成部分以及它们之间的关系。产品安全架构的目标是如何在不依赖外部防御系统的情况下,从源头打造自身安全的产品。(2)安全技术体系架构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值