绕canary保护

最新推荐文章于 2024-11-11 19:02:30 发布
原创 最新推荐文章于 2024-11-11 19:02:30 发布 · 448 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Canary保护机制的工作原理,通过一个Bugku - Pwn4的实例,展示了如何泄露Canary值并利用其进行栈溢出攻击。在分析过程中,讨论了如何确定缓冲区大小,泄露Canary,以及构造ROP链来绕过保护。文章强调了在64位程序中Canary的特性,并提醒读者栈溢出攻击时需注意的细节。

这几天一直在跟着团队的进度做csapp的实验报告,突然想拿题来练手了才发现自己还是有点菜的。这次的任务是做一道简简单单的带canary保护的一题,做了很长时间问了很多师傅,也算把这个方法搞搞明白了,但是不确定能不能完全说的明白,那么下面就开始吧。

canary保护

canary就是一段简简单单的cookie,它一般在上个函数所保存的ebp之前(即靠近栈顶的那个方向)下面一个图能描述一个带canary保护的栈帧,应该还是比较清楚的。

↑栈顶
buf//函数的缓冲区,一般用于保存局部变量
canary
ebp//上一个函数保存的ebp
eip//返回地址
argument 1
argument 2
argument 3
...
...
↓栈底

如果企图用大量数据覆盖缓冲区并且修改返回地址的数据达到劫持eip的目的那么就会修改canary的值,那么在返回的时候检测到canary的值发生改变后就会直接抛出异常并且停止执行程序。并且每次canary的值都是随机的,普通方法几乎是突破不了的。但是我们可以先想办法泄露canary的值,然后再把canary插入到payload当中,这样的话,就算我溢出了,但是并没有修改canary的值,也就没办法检测到我有没有栈溢出了。在64位的程序当中,canary就是一个七字节的数据带一个\x00字节,并且\x00字节在最低位。

那么回想一下字符串是什么?字符串就是一串连着的字节序,不管它原本在这个地方的定义是什么,我说它是字符串,他就可以是字符串,因为计算机它不管是存什么数据它终归也只是0和1的组成。例如0x61626364它看上去好像是一个int型变量,但是它储存也只是

64 63 62 61

如果我把它看成字符串那也没错,它可以代表字符串dcba,它们存储的数据是一模一样的。但是有一个问题:计算机里基本上都是又很多字节连在一起,那如果后面还有很多数据,怎么样才能只表示字符串dcba呢?那就需要一个特殊字节\x00了,识别字符串会从一个字符指针开始,然后依次增大指针的值,只要指针所指向的地址不是\x00字节,那么它就可以是这个字符串中的一员。那如果我输入一个字符串,溢出了但没完全溢出呢?我们把字符串填充地恰到好处,刚好紧挨着canary,那么在之后如果printf这个字符串的话,就会把canary一起输出出来,我们就获取了canary。但是注意,canary最后一个字节是\x00,不会被接受,因此在获取canary的时候注意末尾加上\x00字节。

下面来看道例题:

Bugku - Pwn4

下载文件照例拖进虚拟机checksec检查一下各种保护

最低0.47元/天 解锁文章
buuctf pwn wp(第六波)学会绕过Canary保护
月阴荒的博客
04-22 796
canary保护,也被称为金丝雀
【PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 1283
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
PWN入门(10)绕过程序堆栈Canary防护
Ba1_Ma0的博客
10-05 1314
简介“pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入10文件夹。
Canary,三种优雅姿势绕过
yjh_fnu_ltn的博客
07-06 1842
如果利用栈溢出将最低的b’\x00’覆盖,就可以利用答应函数将canary一致输出,最后再在最低拼接上。逐次覆盖掉canary的4个字节(一无法绕过字节堆高进行爆破,所以必须从低到高),且要求canary不能变化,绕过重开程序canary变化,就不适用爆破了。在进行栈溢出时,如果程序开启了canary保护,首先就需要泄漏这个随机值,否则其被覆盖掉后,程序在退出时再检查该值,会引发错误。注意:canary爆破时,利用栈溢出,溢出到canary置,从。首先确定要覆盖的置,由于是。
Pwn之Canary绕过的五种方法
Rinko233的博客
11-11 3661
Canary 的意思是金丝雀🦜,英国矿井工人们每次下井都会带上一只金丝雀,如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。我们知道,通常栈溢出的利用方式是通过,从而让多出来的数据等,从而达到目的。当启用栈溢出保护后,函数开始执行的时候会先往栈底,当函数真正返回的时候会,如果不合法就停止程序运行 (栈溢出发生)。攻击者在覆盖返回地址的时候往往也会将 cookie 信息给覆盖掉,导致栈保护检查失败而阻止 shellcode 的执行,避免漏洞利用成功。
精选资源
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
一旦Canary值泄露,攻击者就可以绕过Canary保护,构造特定的payload来控制程序执行。 此外,实验还提到了使用Python脚本`exp.py`进行exploit,这可能涉及到ret2libc技术,这是一种经典的栈溢出利用方法,通过跳转到...
[pwn]ROP:三道题讲解花式绕过Canary保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary保护Canary保护babystack writeupMary_Morton writeup 绕过Canary保护 Canary保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
绕过canary原理及其利用方式
glhdbk的博客
09-07 4611
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
CTF中的PWN——canary防护2(64bit + 格式化字符串漏洞leak canary + 栈溢出)
壊壊的诱惑你的博客
10-15 2464
前言: 前文canary防护1中程序时32的,这篇文章中pwn的程序是64的,都是利用格式化字符串漏洞leak canary的值,然后直接栈溢出即可,只是数不同,利用格式化字符串漏洞泄露金丝雀值也略微不同。 题目:Mary_Morton-攻防世界 检查软件的详细信息: 64的金丝雀与NX,拖入IDA64查看: 当输入等于2时存在格式化字符串漏...
Canary机制的绕过
weixin_30822451的博客
04-22 388
目标程序下载 提取码:8ypi 1.检查程序开启了哪些安全保护机制 Canary与NX开启了 Canary机制简介 64canary机制,会在函数头部添加: mov rax,QWORD PTR fs:0x28 //从fs:0x28寄存器中取一个值 mov QWORD PTR [rbp-0x8],rax //写入当...
CTF pwn canary绕过技巧
zwb2603096342的博客
05-22 597
fork函数会直接拷贝父进程的内存,所以通过fork函数创建的子进程中的canary是相同的!64canary溢出在这篇博客里面有提到,32也差不多,注意是rjust就行。具体这道题目呢,可以看我的这篇两校"联合杯"的博客(还没有写,后续有时间写)32中,canary有4字节,其中最低为0x00,然后逐字节爆破其余3。每遇到一种方法就补充一种。
canary保护和pie保护绕过
2301_79880074的博客
01-27 3100
今天通过三道例题学习一下开启canary,pie保护的解题方法。
canary绕过感悟随记(pwn入门)
2402_83422357的博客
06-05 1407
这个是假设总共要打70个长度,canary在0xc的置,你刚开始打程序打到canary置总共是打了0x70-0xc计算一下就是0x64置了,那么,32的机子.canary的值为4个字节,所以我们接收0x65,0x66,0x67就可以接收到canary前面的3个字节了.[0x65:0x68]左闭右开可以达到要求,而canary规定最后一个字节为\x00,用rjust(4,b'\x00')可以达到要求.rjust(4,b'\x00')这个的意思就是说,总共接收4个字节的数据,先接收完所有数据。
Canary学习(泄露Canary
至臻求学,胸怀云月
01-30 6505
canary 原理 通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp,eip等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址让shellcode执行。 当启用栈保护时,函数开始执行的时候会先往栈底插入cookie信息,如果不合法就停止程序运行(栈溢出发生)。攻击者在覆盖返回地址的时候...
PWN:Canary学习2
weixin_44319142的博客
04-05 532
PWN:Stein:Gate 套路操作 开了canary,是64的RELRO开是开了不过这题目里面没影响,据说是got表不能再更改了,不清楚会咋样,下次碰到题目再说 ida看看 进sub_400AF1看到,他的unk_602040在bss上,正好,里面有system函数,把/bin/sh写到bss里面,然后调用system 看到rdi了,那个就是用来给system传参数 pop_rdi=...
PWN-canary学习
苗_的博客
02-10 1838
先简单介绍一下canaryCanary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32)或RBP - 0x8...
CSAPP学习笔记-缓冲区溢出(AttackLab前言)
Here is prician
04-17 667
向程序缓冲区写入超出其长度的内容,造成缓冲区溢出,造成程序破坏以执行其他程序,达到攻击目的
Canary保护
u014377094的博客
04-25 1468
之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。 学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。 栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将c
【逆向】【Attack Lab】漏洞攻击实验解说
ethan18的博客
06-13 2097
CSAPP译名为《深入理解计算机系统》,Attack Lab是这本书的第三个实验,关于前两个实验,可以在中找到,关于第二个实验【Bomb Lab】之前有篇已经写过了(不过好像对于Bomb lab的题目有点细微的不一样)我们的实验可以依照着官方给的进行参照,依照着这个文档直接开始。
canary绕过脚本分析
最新发布
03-16
### Canary机制概述 栈金丝雀(Stack Canary)是一种用于检测缓冲区溢出的安全技术。其基本原理是在函数返回地址之前放置一个特定值(称为“金丝雀”),如果该值被修改,则表明发生了缓冲区溢出攻击[^1]。 在网络安全上下文中,绕过Canary保护通常涉及利用某些漏洞来规避这种安全措施。以下是几种常见的方法: 1. **覆盖其他变量而非直接破坏Canary** 攻击者可能通过精心设计输入数据仅覆盖目标内存区域中的非关键部分而不触及实际的Canary值,从而避免触发异常处理程序[^2]。 2. **泄露Canary值后再实施攻击** 如果存在信息泄漏漏洞,比如格式化字符串错误等,可以先读取到当前线程或进程内的Canary具体数值;之后再基于此构建精确控制流劫持所需的payload[^3]。 3. **利用已知固定Canary模式** 某些老旧系统可能存在未随机化的Canary实现方式,在这些情况下可以直接猜测或者枚举出正确的Canary序列号来进行后续操作[^4]。 下面给出一段Python伪代码展示如何尝试获取并应用泄露出来的canary value: ```python import struct def leak_canary(target_process): # 假设这里有一个能够造成信息泄露的功能调用 leaked_data = target_process.send_payload("%x." * 20) # 解析返回的数据找出canary所在canary_value = int(leaked_data.split('.')[CANARY_POSITION], 16) return canary_value def craft_exploit(canary, buffer_size): nop_sled = b"\x90" * (buffer_size - len(shellcode)) shellcode = asm("mov $0xb,%al; mov %esp,%ebx; ...") # 构造shellcode address_to_jump = struct.pack("<I", RETURN_ADDRESS) exploit_payload = ( nop_sled + shellcode + struct.pack("<I", canary) + b"A"*(CANARY_PADDING_SIZE-len(struct.pack("<I", canary))) + address_to_jump ) return exploit_payload ``` 以上仅为理论上的演示,请勿非法测试任何真实环境下的软件和服务!
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xi@0ji233

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值