从o开始的pwn学习之随意pwnpwn(1)----两种绕过canary(金丝雀)的实例

最新推荐文章于 2025-06-24 09:45:55 发布
最新推荐文章于 2025-06-24 09:45:55 发布
阅读量4.3k 收藏 29
点赞数 16
CC 4.0 BY-SA版权
分类专栏: 笔记 pwn 文章标签: pwn 安全 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jzc020121/article/details/115190382

文章目录

从0开始的pwn学习之随意pwnpwn(1)----两种绕过canary(金丝雀)的实例

做两道简单的pwn(因为刚刚学,可能难免会有错误,望师傅们轻点骂)

众所周知,绕过canary的方法除了一个一个猜字节(不是),还有两种常见方法

(1)通过覆盖00字符读出canary

(2)通过格式化字符串漏洞泄露canary

金丝雀基础知识

Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。

canary是如何工作的

在函数初始化的时候回初始化一个随机的canary值置于缓冲区的末端,在函数返回之前会对canary的值进行验证,无误则正常返回。

如下图

原理

因为通过格式化字符串漏洞可以实现任意内存的读写,而且,在一个程序里,不同函数在运行中使用的canary值是相同的,所以可以通过对格式化字符串漏洞的利用,或用覆盖00字符的方法,将canary的值读出来,实现缓冲区溢出攻击后(控制RET地址),在函数退出验证前再将canary 的值填回栈中,通过验证实现函数的正常返回

覆盖00字符读出canary

原理

  • canary的值设计为以0x00结尾,防止read,printf等函数直接读出
  • 通过栈溢出覆盖最低位的字节,从而获得canary

利用条件

  • 存在read/printf等读出字符串的函数
  • 可以两次栈溢出
    • 第一次是覆盖00字节,得到canary
    • 第二次是利用canary进行攻击

实例–bugku现在的pwn4

题目地址

首先,我们来checksec一下

发现,对got表进行半保护,即got表可读,有金丝雀,有NX(无法写入shellcode),地址不随机。

那么,反编译看看吧。

首先看看有没有奇怪字符串,发现惊喜

发现奇怪hint函数,跟进查看,再次发现惊喜

于是发现是简单绕过canary的题,没有格式化字符串漏洞,于是选择通过覆盖00字符读出canary

用gdb看一眼

可以看出金丝雀放在rbp-0x8的位置,设断点运行,看一眼金丝雀的地址

看一眼

重新开始,发现改变,确定此处就是金丝雀

那么思路到这里就结束了。

进行准备工作用ROPgadget找一下rdi和/bin/sh

于是扔脚本

from pwn import *
import struct
context.log_level = 'debug'
最低0.47元/天 解锁文章

200万优质内容无限畅学
pwn by example学习笔记(一)
沐沐的博客
05-15 1546
通过一些例子来学习pwn,这些例子来自于github上的ctf-wiki pwn部分栈溢出原理(示例:ret2text)首先,获取要pwn的程序的基本信息这个程序是Linux下32位的elf格式的可执行文件,没有开启栈(stack)保护机制,没有开启nx了解了程序的基本信息以后,就运行下程序发现只有输入和输出,而且就只有一个输入点。放到ida里面去跑一下可以看到,gets从标准输入设备读字符串函数...
pwn篇:随机数种子
weixin_44644249的博客
02-02 1214
攻防世界pwn进阶:dice_game 程序分析: 64位elf可执行文件、libc.so.6库文件 保护:除了Canary,其他保护全开 IDA分析程序逻辑 创建一个随机数种子,为当前时间 首先输入名字,长度为55的数组。程序对输入做了处理,当大于49长度时,将最后一个赋值为“0x00”,也就是对字符串长度进行了限制,这个函数没什么问题。 打印输入的字符串,这里也没什么问题。 调用了srand函数,seed是输入名字时字符串第0x41个元素,也就是该值可控。 SUB_A20函数对随机数进行了处理,
ctf-pwn 伪随机数绕过问题
weixin_66751120的博客
03-07 2476
生成伪随机数的范围在0到RAN_DMAX之间,这个最大值依赖于所指定的库,一般至少为32767,该随机数的生成依赖于种子,也就是说,如果种子一样,生成的随机数序列就一样,所以是伪随机数,当然很多题目会把时间作为种子,以此增加随机性。,初始化随机数发生器,用来设置rand函数的种子seed。系统在调用rand函数时,会先调用srand函数,如果没有就会默认种子为1。这里是种子为1时,可以看到生成了0到100内完全相同的随机数序列。
微服务架构实战:利用Istio与Spring Boot实现优雅的金丝雀发布
lingRJ777的博客
06-24 733
本文以电商平台的商品详情页改版为业务场景,深入探讨了在微服务架构下如何利用Istio服务网格解决新功能发布的核心挑战:线上流量的平滑、可控切换。文章详细介绍了从系统架构设计、技术选型,到利用Istio实现灰度发布(金丝雀发布)的完整步骤,包含核心的Kubernetes和Istio YAML配置详解,旨在为有1-5年经验的Java开发者提供一套可落地的生产环境实践方案。
一个简单的例子入门pwn
阿龙丶的博客
09-13 1321
首先,pwn大概是pwn to own的意思,就是通过二进制/系统调用等方式获得目标主机的shell; 我直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令; 所需要的工具安装等,可以先看这个链接(https://blog.youkuaiyun.com/qq_40827990/article/details/83217716) 例子下载地址:https://download.youkuaiyun.com/download/qq_40827990/10740077 https://..
pwn学习---ret2libc绕过地址随机化
gclome的博客
04-10 1378
前情回顾 之前的实践中,当我们开启了栈不可执行,但是关闭了地址随机化,我们可以通过找到system“/bin/sh”的地址,然后利用溢出跳转到system“/bin/sh”的地址去执行,当然,这一切都基于关闭了地址随机化,使得 system() 函数在内存中的地址是不会变化的,并且 libc.so 中也包含 “/bin/sh” 这个字符串,这个字符串的地址也是固定的。 那么问题来了。。。。。。 如...
(pwn)基本ROP的几个例子()
谭宇
11-13 744
对Wiki上的几个例子复现 一、stack_example 点击下载文件stack_example.c 无success入口的情况下,尝试进入success() 对c文件进行编译 ...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CTF学习【攻防世界题目hello-pwnPWN二进制文件工具-训练1(代码中提供了cat flag.txt命令直接利用)
最新发布
07-22
CTF学习【攻防世界题目hello-pwnPWN二进制文件工具-训练1(代码中提供了cat flag.txt命令直接利用)
第一个pwn案例---栈溢出的学习
MrTreebook的博客
07-13 462
第一个pwn案例—栈溢出的学习 漏洞:利用gets()函数以回车判断输入结束,并不检查输入字符串长度的特点, 将函数返回地址改写成期望执行的函数地址 在64位条件下进行实验: 1.准备好测试的程序 #include <stdio.h> #include <string.h> void success() { puts("You have already pwned me."); } void vulnerable() { char s[12]; gets(s); puts(s); }
(pwn)基本ROP的几个例子()
谭宇
12-02 281
五、ret2libc 1)ret2libc1 checksec ret2libc1 IDA伪代码 gdb调试 计算返回地址偏移量得出112 找/bin/sh地址 找到system函数地址 payload 运行 2)ret2libc2 checksec ret2libc2 与上题基本一致,只在找/bin/sh时找不到,需要自己...
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 2197
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
Linux pwn入门教程(9)——stack canary绕过的思路
子曰小玖的博客
06-04 2850
https://bbs.ichunqiu.com/thread-44069-1-1.html 0x00 canary简介 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金...
PWN入门(2)利用缓冲区溢出绕过登录和第一个PwnTools脚本
Ba1_Ma0的博客
09-08 1619
有什么不会或者是错误的地方的可以私信我,看到必回。
pwn学习Canary的各种绕过姿势
Morphy_Amo的博客
12-24 9081
Canary各种绕过姿势
信息安全工程师-选择题考点总结
m0_56010012的博客
12-16 1139
软考-信息安全工程师选择题考点总结2016年-2024年
BUGKU canary2
qq_39628285的博客
11-20 1045
plt表指过程连接表,got表指全局偏移量表,这两个表在程序调用动态链接库中的函数时起作用。函数地址=库被加载的基地址+函数在库内的偏移地址。要获取库中任一函数在调用时的地址,关键在于确定库的基地址。如果程序已经调用了某个库函数的地址,那么该函数在got表中的对应表现则会被改写为其地址,那么我们使用该地址减去该函数的库内偏移即可得到基地址。在本题中,puts函数是已经调用过的,因此我们可以通过溢出让puts函数打印自身地址的方式获取基地址。先使用ROPgadget寻找一个pop rdi;
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值