栈溢出——cannary绕过方法详解

VIP文章 已于 2022-03-15 21:12:30 修改
阅读量2.4k 收藏 19
点赞数 10
文章标签: 安全 web安全
于 2022-03-14 22:02:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42882717/article/details/123489916
版权

栈溢出保护及整数保护

说点什么

之前觉得学习原理很没有用,不如实践去执行

原理很多、很杂,很没用

真正去做时发现,原理是能做、不能做

从根本上指导实践,减少100%的试错时间

知行合一…

Canary原理

image-20220314185521681

Canary是在栈的尾部插入值,函数返回时检测canary是否改变,判断是否溢出

利用gcc编译:

gcc … -fstack-protector

image-20220314190213372

如果Canary检查到,会调用__stack_chk_failed函数

绕过:

image-20220314190450780

绕过方法1

image-20220314190852476

至少利用两次栈溢出,才可以使用绕过方法1

image-20220314191036897

V3后代表开启canary,所以v3是canary字节

第一次打印canary,第二次利用

buf距离ebp,10C个字节,v3距离ebp,C个字节,所以buf为100个字节

gdb:

dias main

disas vuln

image-20220314194309705

最低0.47元/天 解锁文章
大瑞大
关注
  • 10
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Chrome Cannary
02-26
Chrome Cannary
i春秋2020新春战役PWN之BFnote (修改TLS结构来bypass canary)
seaaseesa的博客
02-24 2098
BFnote 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 一开始处,有一个溢出漏洞,但是由于开启了canary保护,得想办法绕过canary。下方的堆溢出,不仔细看还发现不了,v4只有一开始被初始化,在循环里,只有i被重新赋值,v4没变,而下方又用到了v4。 这题是可以绕过canary的,这就牵涉到了一个知识点。 在linux下,有一种线程局部存储(Thread ...
伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记
01-18 5337
Author:[CISRG]KiSSinGGerE-mail:[email protected]:[email protected]题目有点搞......Anti-CallStack Check and Anti-Anti-CallStack Check...(;- -)发现最近MJ0011的“基于CallStack的Anti-Rootkit HOOK检测思路”和gy
Canary保护机制及绕过
二狗的博客
01-29 755
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
pwn-进阶-forgot
weixin_45971758的博客
08-19 1281
1.checksec先检查,开启的保护以及程序情况。 开启了NX(地址随机化保护) , 就意味着程序地址分布随机。 32位小段序,输入的变量数据在地址中的存放位置(安装小段序存放)。 2.静态调试(静态查看) 将文件拖入到 ida 32位,然后确定。 shift+F12看到程序出现的字符串,发现下面。 有./flag cat %s , 双击字符串并且看到了在.rodata 的存放位置,后面还有一个函数。 双击此函数,查看函数全部信息。 这样就看到了函数全貌。之后按F5(笔记本电脑键盘FN+F5),查
Canary 学习
H1zerguo的博客
10-04 597
pwn_Canary
pwn-canary绕过和PIE(未完待续)
m0_75234353的博客
05-30 869
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
绕过__chkesp堆检查
lixiangminghate的专栏
06-23 2617
前面很多注入相关的文章中都提到为了保证注入后原始程序能恢复正常的执行流,需要在编译器中关闭堆检查。作为解决问题,这是个好手段,但是不得不说这是回避问题,不是解决问题。本文旨在解决这个问题。     __chkesp,顾名思义,检查esp的值,检查失败就抱错。什么时候esp会出错?情况很多,如果排除缓冲区溢出的可能,那还有堆失衡的情况。比如不正常的退出函数方式。 我经常遇到的不正常退出函数引
Canary学习(爆破Canary)
至臻求学,胸怀云月
01-30 3551
one-by-one 爆破Canary原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的...
【pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 5105
Canary各种绕过姿势
保护机制
hollk’s blog
06-22 4894
一、CANNARY溢出保护) ​ 溢出保护是一种用缓冲区溢出攻击环节手段,当函数存在缓冲区溢出漏洞时,攻击者可以覆盖上的返回地址来让shellcode能够得到执行。当启用保护后,函数开始执行的时候就会向往里插入cookie信息,当函数真正返回的时候回验证cookie信息是否合法,若果不合法就会停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致保护检查失败...
PostmanCanary-win64-7.9.0-canary02-Setup.exe
10-22
感觉postman的官网下载好卡,就上传下自己好不容易下载下来的安装包,备用。
Android 使用LeakCanary 检测内存泄露
08-26
博客地址 http://blog.csdn.net/sbsujjbcy/article/details/47999163
绕过Canary与Canary的泄露
Sakura给爷pwn全场
12-24 252
Canary学习(泄露Canary): https://blog.csdn.net/acsuccess/article/details/104115114 泄露canary: https://blog.csdn.net/qq_38204481/article/details/81076850
(BUUCTF)starctf2018_babystack
xy1458214551的博客
11-29 108
BUUCTF上的starctf2018_babystack题解
CANARY爆破
aptx4869_li的博客
12-24 3010
小白一枚最近开始上手搞pwn,不断认识到一些新的知识,感觉这个CANARY爆破挺有意思,估计以后也会常用,写一篇博客记录一下。 主要是向大佬学习,然后看了他们的博客,自己在一点点分析出来,可能比较啰嗦,但尽力讲的细致一点,也方便之后的小白理解。 本文是向这位大佬学习: http://0x48.pw/2017/03/14/0x2d/
canary爆破、pie保护(格式化字符串漏洞)
2301_81031055的博客
01-29 281
canary两种解题方式:1.爆破canary2.如果存在字符串格式化漏洞可以输出泄露canary的地址并利用溢出覆盖canary的地址返回到system地址从而达到绕过
pwn中 one-by-one 爆破 Canary
Jonas_brown的博客
10-28 395
对于 Canary,虽然每次进程重启后的 Canary 不同 (相比 GS,GS 重启后是相同的),但是同一个进程中的不同线程的 Canary 是相同的, 并且 通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 在著名的 offset2libc 绕过 linux64bit 的所有保护的文章中,作者就是利用这样的方式爆破得到的 Canary: 这是爆破的 Python 代码:
合规基线:让安全大检查更顺利
a38417的博客
04-29 1136
德迅基线产品还支持自定义基线功能,企业可根据实际的使用场景,自行定义基线的检查项,如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等,以满足企业多样化的内部监管要求。但是在有限的安全人员、参差不齐的安全技术水平面前,迫切需要能够辅助安全检查与自评估的自动化、标准化的基线检查工具,并且能够支持多种类型的主机、数据库、应用系统等安全基线信息的采集与检测工作。,进行实时安全核查,快速发现安全配置变化,一旦发生安全配置变更异常,以邮件方式进行安全告警。相对于其他同等产品优势,
安全运维 -- splunk 操作手册
最新发布
leeezp的博客
04-30 968
日常运维操作笔记 (持续更新)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值