stack canary泄露方法

最新推荐文章于 2024-04-01 17:04:41 发布
最新推荐文章于 2024-04-01 17:04:41 发布
阅读量645 收藏 1
点赞数
分类专栏: linux漏洞利用技术 文章标签: 漏洞利用 pwn canary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winsunxu/article/details/128897046
版权
本文详细介绍了栈 Canary 的概念,一种用于防止栈溢出的安全机制。通过分析漏洞程序 `vuln.c`,揭示了 Canary 保护如何在函数调用期间启用,并探讨了两种绕过 Canary 保护的方案,特别是利用 `printf` 函数泄露 Canary 值的方法。文章还讨论了 canary 的偏移计算和其在函数栈地址空间的位置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是canary

security cookies,Assume that at the beginning of a function call (e.g. during its prologue) we are saving a value in the function’s stack frame, we would expect (! if everything went well !) to read the same value just before the function exits or namely at its epilogue. If the value has changed, then the execution of the program will be terminated and an error message will be displayed. [1]

Obviously, this protection mechanism is added by the compiler during the compilation process. For the

GNU Compiler Collection (gcc), it is implemented via the StackGuard extension which was added to gcc 2.7.2.2 [1]

Bypass stack canary

漏洞程序 vuln.c




                

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    


                



	

		

			

				
					
stack canary绕过思路

				
			

			

				

					sea_time的博客
				

				

					11-29
					
					2094
					
				

			

		

		

			
				
canary
简介:
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,...

			
		

	



                

            
              



	

		

			

				
					
4.pwn入门新手做攻防世界Mary_Morton (stack canary与绕过的思路)

				
			

			

				

					qiudalaojiao的博客
				

				

					02-14
					
					653
					
				

			

		

		

			
				
canary
通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip
等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实
现。。这个概念应用在栈保护上则是在初始化一个栈帧时在栈底设置一个随机的canary值,栈帧销毁前
测试比较该值是否“死掉”,即是否被改变,若被改变则说明栈溢出发生,程序走另一个流程结束,以免漏洞利...

			
		

	



              


  
              

                


	

		

			

				
					
Canary机制及绕过策略-格式化字符串漏洞泄露Canary

				
			

			

				

					01-27
				

			

		

		

			
				
Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。
Stackcanary保护机制在刚进入函数时,在栈上放置一个标志canary,然后在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。
一,实验源码
文件名:Canary.c
命令

			
		

	





	

		

			

				
					
LeakCanary直面项目中的内存泄露

				
			

			

				

					Sahara_Savage
				

				

					01-05
					
					3831
					
				

			

		

		

			
				
转载请标明出处:http://blog.csdn.net/donkor_/article/details/54095110

前言: 
LeakCanary一个直白的展示Android中内存泄露的工具。它是Square公司开源出来的内存泄露自动探测神器,能够在程序发生内存泄漏的时候在通知栏提示通知,而且学习成本巨低。通过学习本文,了解和如何使用LeakCanary工具,同时了解和解决实际开发中出现...

			
		

	



		

			
		



	

		

			

				
					
Canary学习(泄露Canary

				
			

			

				

					至臻求学,胸怀云月
				

				

					01-30
					
					6002
					
				

			

		

		

			
				
canary
原理

通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp,eip等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址让shellcode执行。
当启用栈保护时,函数开始执行的时候会先往栈底插入cookie信息,如果不合法就停止程序运行(栈溢出发生)。攻击者在覆盖返回地址的时候...

			
		

	





	

		

			

				
					
绕过CanaryCanary泄露

				
			

			

				

					Sakura给爷pwn全场
				

				

					12-24
					
					321
					
				

			

		

		

			
				
Canary学习(泄露Canary):
https://blog.csdn.net/acsuccess/article/details/104115114
泄露canary:
https://blog.csdn.net/qq_38204481/article/details/81076850



			
		

	





	

		

			

				
					
泄露Canary的正确姿势

				
			

			

				

					Sakura给爷pwn全场
				

				

					01-22
					
					353
					
				

			

		

		

			
				
Canary学习(泄露Canary):https://www.icode9.com/content-4-626619.html



			
		

	





	

		

			

				
					
栈溢出之canary泄露与绕过“新方法” .pdf

				
			

			

				

					09-05
				

			

		

		

			
				
Canary,又称为Stack Guard或Stack Smashing Protector,是一种防止栈溢出攻击的技术。当启用Canary时,系统会在函数调用的栈帧中插入一个随机生成的Cookie(或称Canary Value),这个值在函数执行期间会被保存。在...

			
		

	





	

		

			

				
					
PWN——格式化字符串泄露canary

				
			

			

				

					djhtdjdywgjc的博客
				

				

					11-19
					
					1846
					
				

			

		

		

			
				
格式化字符串泄露canary

			
		

	





	

		

			

				
					
反思:泄露canary之后一定要记得处理掉多余的东西————[2021 鹤城杯]littleof

				
			

			

				

					m0_73858054的博客
				

				

					02-28
					
					862
					
				

			

		

		

			
				
这是一道libc类型的题目,应该是不难的,月余之前遇到。当时思路什么的都理清楚了,脚本也写出来了,结果死活获取不到shell…最后又重写了一遍才跑成功了。今天又想起来这件事儿,重新捋了一遍。终于是让我找到了原因!现在把这个原因记录下来,惊醒自己千万要注重细节,不要再犯这种错误。

			
		

	





	

		

			

				
					
栈上格式化字符串漏洞泄露canary,修改got表,stack check fail,one_gadget

				
			

			

				

					2302_79813730的博客
				

				

					02-05
					
					892
					
				

			

		

		

			
				
此时就存在格式化字符串漏洞。%c为单个字符形式%s为多个字符形式%d为数字形式%f是转为浮点型%x是转为十六进制形式,不带0x%p是转为十六进制,但是带0x%n 将%n之前打印出来的字符的个数存入到参数中接下通过例题来讲解利用方法

			
		

	





	

		

			

				
					
leakcanary的使用以及常见的泄露

				
			

			

				

					smallwei2014的博客
				

				

					04-08
					
					1297
					
				

			

		

		

			
				
1.gradle 引用


debugImplementation 'com.squareup.leakcanary:leakcanary-android:1.6.1'
releaseImplementation 'com.squareup.leakcanary:leakcanary-android-no-op:1.6.1'
//testCompile 'com.squareup.leakcana...

			
		

	





	

		

			

				
					
wdb2018_guess-___stack_chk_fail泄露信息

				
			

			

				

					qq_40712959的博客
				

				

					11-03
					
					426
					
				

			

		

		

			
				
背景知识

在程序添加了canary保护后,如果我们读取的bof覆盖了对应的值时,程序就会报错,我们可以利用报错信息。

程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。很简单,只要我们可以控制argv[0],就能知道我们想知道的信息。


void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
  __forti

			
		

	





	

		

			

				
					
CTF-pwn 技术总结,二进制漏洞挖掘---安全机制绕过

					
最新发布

				
			

			

				

					键盘的起始页
				

				

					04-01
					
					1404
					
				

			

		

		

			
				
学习linux pwn,linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们,那么在比赛时将你举步维艰,本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法,希望能帮助一些小萌新更快入门,帮助需要进阶的朋友打好根基。

			
		

	





	

		

			

				
					
pwn学习资料整理——x64中的printf回显漏洞

				
			

			

				

					recover517的博客
				

				

					08-04
					
					440
					
				

			

		

		

			
				
利用printf打印栈中内容
B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。
IDA伪代码
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[32]; // [rsp+0h] [rbp-30h] BYREF
  char buf[16]; // [rsp+20h] [rbp-10h] BYREF

  setvbuf(stdin, 0L

			
		

	





	

		

			

				
					
BugKu做题记录【pwn】(持续更新中)

				
			

			

				

					Assassin
				

				

					04-06
					
					4128
					
				

			

		

		

			
				
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结

好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~
** **

repeater
1.题目分析
题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容


pinrtf存在格式化字符串漏洞
read长度为0x64,不足以造成栈溢出
经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行
经过查看,bss段不可执

			
		

	





	

		

			

				
					
在zsh中安装Python3

				
			

			

				

					memoryjdch的博客
				

				

					10-26
					
					8077
					
				

			

		

		

			
				
在mac系统中,默认的python是2.7版本。但是python现在早已更新了3.x版本,所以身为一名作死的程序员,肯定是要安装一个python3版本啦~~。 
     众macer所知,homebrew和zsh是mac的两个神器。尤其是zsh,具体原因这里不再赘述,那么要在zsh中安装python3怎么办呢?网上许多教程,讲得都不清楚,这事需要bash和zsh一起干才能成功。我们先大体浏览一下步

			
		

	





	

		

			

				
					
永恒之蓝(EternalBlue)实例复现

				
			

			

				

					Leite的学习空间
				

				

					12-19
					
					3365
					
				

			

		

		

			
				
一.前言

2017年4月的时候,Shadow broker在网络上公布一批NSA(美国国家安全局)使用的网络武器,其中就包含一种工具,可以远程控制有漏洞的任何一台windows机器,正是这些工具的问世,导致了去年WannaCry病毒横行世界,短短的时间内攻陷了多少台电脑,本人也是这个病毒的受害者。这个病毒的爆发牵扯出来一系列的故事,就像美国大片一样精彩,出现的Shadow broker组织,其揭...

			
		

	





	

		

			

				
					
利用格式化字符串漏洞泄露Canary机制及其绕过策略

				
			

			

				

					
				

			

		

		

			
				
在实验源码文件"Canary.c"中,作者通过GCC编译器(`gcc-m32-ggdb-zexecstack-fstack-protector-no-pie-opwnmeCanary.c`)演示了如何使用Stackcanary,并且通过`ldd`工具观察了库文件加载位置的变化。为了便于调试,...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
winsunxu

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值