栈溢出——cannary绕过方法详解

已于 2022-03-15 21:12:30 修改
阅读量2.5k 收藏 19
点赞数 10
文章标签: 安全 web安全
于 2022-03-14 22:02:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42882717/article/details/123489916
版权
本文详细介绍了栈溢出保护中的Canary原理,并探讨了五种有效的绕过方法,包括利用栈的变化规律、爆破Canary值、修改函数Got表、覆盖flag地址以及操纵TLS结构。每种方法都结合了实践操作和原理分析。
摘要由CSDN通过智能技术生成

栈溢出保护及整数保护

说点什么

之前觉得学习原理很没有用,不如实践去执行

原理很多、很杂,很没用

真正去做时发现,原理是能做、不能做

从根本上指导实践,减少100%的试错时间

知行合一…

Canary原理

image-20220314185521681

Canary是在栈的尾部插入值,函数返回时检测canary是否改变,判断是否溢出

利用gcc编译:

gcc … -fstack-protector

image-20220314190213372

如果Canary检查到,会调用__stack_chk_failed函数

绕过:

image-20220314190450780

绕过方法1

image-20220314190852476

至少利用两次栈溢出,才可以使用绕过方法1

image-20220314191036897

V3后代表开启canary,所以v3是canary字节

第一次打印canary,第二次利用

buf距离ebp,10C个字节,v3距离ebp,C个字节,所以buf为100个字节

gdb:

dias main

disas vuln

image-20220314194309705

最低0.47元/天 解锁文章
大瑞大
关注
绕过栈溢出
qq_43579237的博客
10-11 226
note-service2 首先查看程序防护 开启了Canary与PIE 反编译 我们可以发现无堆溢出,但在申请堆块时有数组的下标溢出,可在任意地址申请堆块。userdata最多申请8个字节,但是只能写入7个字节。所有我们可以通过数组下标溢出,对got表复写,也可以对函数进行got表复写。所以我们申请一个堆块,写入字符串’/bin/sh’。申请多个chunk,分组将shellcode写入连续的堆块中,在最后两个字节构造跳转到下一个shellcode的指令,调用free函数,下标为之前写入字符串’/b
【PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 788
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。 Stackcanary保护机制在刚进入函数时,在栈上放置一个标志canary,然后在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。 一,实验源码 文件名:Canary.c 命令
C++栈溢出及其解决方法
最新发布
qq_54098120的博客
08-06 1427
C++ 中的堆和栈内存各有其特点和使用场景。栈内存由编译器自动管理,适合存储局部变量和函数调用信息,但容易因递归调用过深或局部变量过大导致栈溢出。堆内存由程序员手动管理,适合动态分配和管理大块内存,但需要注意避免内存泄漏和悬空指针问题。通过优化数据结构、增加栈大小、使用智能指针和标准库容器、遵循 RAII 原则,并使用内存检测工具,可以有效管理内存,避免栈溢出和内存管理问题。这些方法有助于编写健壮、安全的 C++ 代码。
pwn学习总结 栈溢出,canary绕过和格式化字符串
MrTreebook的博客
11-07 741
pwn学习总结 栈溢出,canary绕过和格式化字符串 目录pwn学习总结 栈溢出,canary绕过和格式化字符串1. checksec看一下保护2. IDA 看一下3. dgb动态调试3.1. gdb打开canary文件,断点先下在main函数上3.2. disass命令查看一下func函数的汇编代码3.3. 首先看一下canary的偏移是多少3.4. 在上面的func函数的汇编代码中可以看到canary的偏移量是多少3.5. 看一下canary的地址3.6. 看一下栈,计算一下溢出量4. exp 1.
canary栈溢出保护)纯新手入门(一)
qq_66690477的博客
05-08 1788
栈溢出保护是一种缓冲区溢出攻击的缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址让shellcode能够执行。 1.基础介绍 缓冲区:在计算机读取数据时, 在内存中开辟的临时存储数据的区域。 缓冲区溢出:针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁中断之际获取程序乃至系统的控制权。 计算机对接收的输入数据没有进行有效的检测(理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符),向缓冲区内填充数据
ssm插入数据时候栈溢出_栈溢出之canary泄露与绕过“新方法
weixin_39901943的博客
12-06 134
文末还有精彩视频,敬请关注~前段时间在刷一些基础的pwn,发现自己的基础知识太薄弱了,所以打算按照ctf-wiki开始不断地巩固一下自己的基础。初来乍到,还请各位大佬多多指教啦!新手入门,有些地方可能讲解的不是很到位,还忘前辈们打脸可以轻点啊~~前景引入结合题目,我们先简单的讲解一下栈溢出的原理吧!栈溢出原理:栈溢出主要是指向某个变量输入的字节数超过了这个变量向系统空间所申请的栈空间,...
Chrome Cannary
02-26
Chrome Cannary
linux漏洞挖掘入门,Linux 二进制漏洞挖掘入门系列之(一)栈溢出
weixin_30277297的博客
05-13 600
欢迎访问系列文章Linux 二进制漏洞挖掘入门系列之(二)堆溢出:off-by-oneLinux 二进制漏洞挖掘入门系列之(三)整数溢出Linux 二进制漏洞挖掘入门系列之(四)格式化字符串漏洞Linux 二进制漏洞挖掘入门系列之(五)UAF 漏洞分析与利用0x10 环境gdb-peda 插件,用来调试程序时,高亮不同寄存器,堆栈的地址和数据Windows 环境下的 IDA Pro,强大的交互式反...
CTF|栈溢出入门题hellopwn解题思路
skyattractive的博客
05-31 1668
CTF|栈溢出入门题hellopwn解题思路及个人总结 解题思路 将题目下载下来后拖入虚拟机ubuntu中,利用checksec hellopwn 查到有关文件保护信息 NX enabled 表示这个文件NX保护已经打开(个人总结会写各种保护) 输入./hellopwn命令行将文件运行 走一边流程,发现程序很简单 拖入IDA 按照往常一样去找栈溢出的地方,这里我们找到了read这个函数,读入10个字节 (伪代码中一些函数和变量的名字我自行修改了,方便观看) 题意很明显,我们只需让v2等于1853186
pwn入门:sploitfun-典型的基于堆栈的缓冲区溢出详解
EternalBurning的博客
04-12 1718
虚拟机环境:Ubuntu 14.04(x86) 本文是基于sploitfun系列教程的详细解析,sploitfun对于纯新手而言,其中有些东西还是不够详细,新手不能很好的接触到其中原理,故作此文进行补充 编译代码第一行,表示关闭ASLR(地址空间布局随机化)。kernel.randomize_va_space堆栈地址随机初始化,很好理解,就是在每次将程序加载到内存时,进程地址空间的...
绕过__chkesp堆栈检查
lixiangminghate的专栏
06-23 2688
前面很多注入相关的文章中都提到为了保证注入后原始程序能恢复正常的执行流,需要在编译器中关闭堆栈检查。作为解决问题,这是个好手段,但是不得不说这是回避问题,不是解决问题。本文旨在解决这个问题。     __chkesp,顾名思义,检查esp的值,检查失败就抱错。什么时候esp会出错?情况很多,如果排除缓冲区溢出的可能,那还有堆栈失衡的情况。比如不正常的退出函数方式。 我经常遇到的不正常退出函数引
栈溢出保护原理——Stack Canaries
weixin_62675330的博客
02-26 3505
栈溢出保护原理——Stack Canaries Stack Canaries (取名自地下煤矿的金丝雀,因为它能比矿工更早地发现煤气泄露,有预警的作用) 是一种对抗栈溢出攻击的技术,即SSP安全机制 Canary的值是栈上的一个随机数,在程序启动时随机生成并保存在比函数返回地址更低的位置。由于栈溢出是从低地址向高地址进行覆盖,因此攻击者要想控制函数的返回指针,就一定要先覆盖到Canary。程序只需要在函数返回前检查Canary是否被篡改,就可以达到保护栈的目的。 一,Canaries的分类 canar
劫持TLS绕过canary && 堆和栈的灵活转换
susu_xiaosu的博客
07-11 703
【代码】劫持TLS绕过canary && 堆和栈的灵活转换。
Canary保护机制及绕过
二狗的博客
01-29 919
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
【pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 6127
Canary各种绕过姿势
伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记
01-18 5408
Author:[CISRG]KiSSinGGerE-mail:kissingger@gmail.comMSN:kyller_clemens@hotmail.com题目有点搞......Anti-CallStack Check and Anti-Anti-CallStack Check...(;- -)发现最近MJ0011的“基于CallStack的Anti-Rootkit HOOK检测思路”和gy
Canary机制及绕过策略
helloworlddm的博客
06-14 3345
Canary机制 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段(只是缓解机制,不能彻底的阻止),当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode
pwn-canary绕过和PIE(未完待续)
m0_75234353的博客
05-30 1011
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值