Canary保护机制及绕过

最新推荐文章于 2025-03-22 19:34:04 发布
原创 最新推荐文章于 2025-03-22 19:34:04 发布 · 1.3k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #开发语言

本文详细介绍了一种绕过Canary防护机制的方法,利用特定条件获取Canary值,并通过构造恶意返回地址实现对目标函数的调用。

Canary基本介绍

在基本的栈溢出中,我们可以通过没有限制输入长度或限制不严格的函数等向栈中写入我们构造的数据,可写入的数据包括但不限于:

  • 一段可执行的代码(关闭NX防护的前提下)

  • 一段特意构造的返回地址等

传统的防御机制之一就是开启
Canary防护,该机制会向我们运行程序的栈底放入一串8字节的随机数据,在函数即将返回时会验证该数据是否发生改变,若发生改变则说明栈被改变了,直接call__stack_chk_fail。验证成功则跳到leave 和 ret正常的返回。

WeChat Screenshot_20221009181351.png

如何绕过

直接获取栈中canary的值
若该程序会输出我们输入的字符串,则可以在输入数据时估计超出输入的限制1字节,由于C字符串是以'\0'结尾的,我们多输入的1字节就会覆盖'\0',在接下来的输出中,程序本身使用的输出函数没有限制输出的长度,就会将栈中位于所存数据高地址处的Canary值泄露出来,在接下来我们向栈中写入恶意返回地址的时候就可以将该值覆写回去,验证成功。

获取fs:28h中的canary
通过观察汇编代码,我们可以发现每次运行程序产生的随机canary值都存在fs:28h中,接下来会将该值放入EAX中再mov进程序的栈空间内。

mov rax,fs:28h
mov [rbp-8],rax

所以若程序中存在任意读的功能的函数,就可以直接读取该地址中的值即可。

逐字节爆破canary

其余的利用方式由于没有碰到,所以暂时不说,后续遇到了会进行补充。

准备环节

源程序

我们接下来用上述所说的第一种方式来尝试绕过一下canary值的校验。

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

#define MAX_LENGTH 100

void init()
{
    setvbuf(stdin,0,_IONBF,0);
    setvbuf(stdout,0,_IONBF,0);
}

void backdoor()
{

    system("/bin/sh");

}

int main()
{

    char buf[10] = {0};

    init();
    printf("[DEBUGING] main: %p\n",main);
    printf("Hello,What's Your name?\n");

    read(0,buf,MAX_LENGTH);

    printf("%s",buf);
    printf("Welcom!\n");
    printf("But wait,WHO ARE YOU?\n");

    read(0,buf,MAX_LENGTH);

    printf("I don't know you,so bye ;)\n");

    return 0;

}

对应的makefile语句。

OBJS=pwn_1.c
CC=gcc # 默认就为gcc
CFLAGS+=-fstack-protector -no-pie -g

pwn_1:$(OBJS)
        $(CC) $^ $(CFLAGS)
最低0.47元/天 解锁文章
Canary保护机制
ATOD
10-25 4426
实验要求:调研 VC .net 或 GCC 4.*中的 Canary 技术实现, 弄懂原理并设计相应的实验例程进行测试,编制相应 报告。 实验环境: Windows 10, 编译器配置为 TDM-GCC 4.8.1 64-BIT Debug 实验主题: 调研 GCC 4.*中的 Canary 技术: 原理: 1、 在所有函数调用发生时,向栈帧内压入一个额外的随机 DWORD,这个随机数被称作 “c...
Canary、Pie保护
2301_79880752的博客
01-27 1198
Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置。
攻防世界 pwn练习区解法 write up
qq_46441427的博客
02-16 946
checksec stack: canary found 是指运行程序时,会把canary取出放入一个rbp定向的值,在退出函数前将rbp定向的值和canary的值进行一个比较(异或一下,看是不是0),如果不相等,则运行_stack_chk_fail函数 NX 数据所在的内存为不可执行,程序溢出转为shellcode时,程序会去在数据页面上执行指令,这个时候CPU抛出异常,不会让它执行 PIE 程序装在随机的地址 ASLR 即使文件开启了PIE保护,还需要开启ASLR才会真正打乱基址 ...
Canary保护
u014377094的博客
04-25 1465
之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。 学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。 栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将c
精选资源
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
一旦Canary值泄露,攻击者就可以绕过Canary保护,构造特定的payload来控制程序执行。 此外,实验还提到了使用Python脚本`exp.py`进行exploit,这可能涉及到ret2libc技术,这是一种经典的栈溢出利用方法,通过跳转到...
32位系统栈溢出防护:Canary机制与格式化字符串漏洞绕过
Stackcanary保护机制是针对这一威胁的一种解决方案,它在函数调用前后设置一个称为canary的特殊标记,用于检测是否有非法操作。 在32位系统中,Canary机制的实现通常包括以下步骤: 1. 函数入口时,将canary值存入...
canary保护
Power_shell的博客
03-25 905
1.在函数刚开始执行时会设成一个标志,这个标志会入栈,当程序执行完之后,他会校验canary值是不是会发生变化,如果发生变化,说明程序被改过,发生异常,如果没改过就正常 这个在突破时我们用canary去泄露,canary是一个随机的值,每次程序执行他都是一个变量,核心就是每次执行时泄露一下,然后去拼接我们的shellcode 2.正常情况下能够在堆栈中加上我们shellcode的代码,但如果堆栈...
Canary机制及绕过策略
helloworlddm的博客
06-14 3899
Canary机制 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段(只是缓解机制,不能彻底的阻止),当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode
ctf(pwn) canary保护机制讲解 与 解密方法介绍
半岛铁盒的博客
03-03 2920
Canary保护机制 canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖掉CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻
canary机制及绕过策略
qq_44119514的博客
08-20 407
缓冲区溢出-canary保护
weixin_34043301的博客
04-16 626
本文视频: 如果文字过于枯燥,可观看在线视频:https://edu.51cto.com/sd/16514基础知识: 我们知道在32位操作系统上,主要是溢出栈缓冲区,覆盖函数返回地址来达到劫持程序的木的,那么Linux为了防御该问题,使用了canary来保护函数的返回地址。canary保护是Linux众多保护机制的一种,主要的作用是防御溢出**...
Canary机制的绕过
weixin_30822451的博客
04-22 386
目标程序下载 提取码:8ypi 1.检查程序开启了哪些安全保护机制 Canary与NX开启了 Canary机制简介 64位的canary机制,会在函数头部添加: mov rax,QWORD PTR fs:0x28 //从fs:0x28寄存器中取一个值 mov QWORD PTR [rbp-0x8],rax //写入当...
缓冲区溢出的保护机制
nibiru_holmes的博客
03-10 9093
本文转载自:http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ checksec及其包含的保护机制 今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安
绕过canary原理及其利用方式
glhdbk的博客
09-07 4605
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
pwn入门笔记(2)——什么是Canary保护
weixin_45551695的博客
07-27 436
有无Canary保护的区别 无canary保护 有canary保护 子函数在执行完了之后会去对比之前开始压入的有没有变化,如果不一样,就说明被改了 实例 #include<stdio.h> int main() { char *name = "Roger"; printf("My name is %s"); return 0; } 源码已给,之后参考笔记(0)去编写 接下来输入 gcc -no-pie -fno-stack-protector -m32 -o pr
[PWN][基础篇]什么是Canary保护
网络安全知识分享
03-20 4812
什么是Canarygdb指令复习 有无Canary呢就是在函数压栈的时候,函数刚开始执行的时候,它会多一个参数,也就是在ebp的上面,会压入一个Canary的值,在子函数验证完之后,对比Canary的值,看看是否相等。不相等,代表程序被修改,产生了异常。 本次实验教学代码如下: 实验目的,对比有无Canary保护的程序有何不同 gcc -m32 -no-pie -fno-stack-protector -o canary canary.c -m32 32位程序 -no-pie 中间没有空格 -fn
canary保护(金丝雀保护)(计算机系统安全作业六)
最新发布
2402_83115004的博客
03-22 307
攻击者可绕过返回地址,直接覆盖函数指针或结构化异常处理(SEH) 结构,例如通过SEH Overwrite攻击。在函数调用时,编译器会在栈帧的返回地址前插入一个随机生成的Canary值(例如:$0x1a2b3c4d)。缓解溢出攻击:显著提高了覆盖返回地址的攻击难度,例如防御传统的栈溢出漏洞(如strcpy类漏洞)。若程序存在漏洞(如格式化字符串漏洞),攻击者可读取Cookie值,并在溢出时构造合法Cookie。若被修改,则判定为堆栈溢出攻击,触发异常(如__stack_chk_fail)并终止程序。
PWN基础4:Canary保护
prettyX的博客
07-07 1094
Canary保护概述 在函数调用发生时,向栈帧内压入一个额外的随机DWORD,这个随机数被称为“Canary” 如果使用IDA反汇编的话,您可能会看到IDA会将这个随机数标注为“Security Cookie”,在部分书籍的叙述中会用Security Cookie来引用这种随机数 Canary位于EBP之前,系统还将在内存区域中存放一个Canary的副本 当栈中发生溢出时,Canary将被首先淹没,之后才是EBP和返回地址 在函数返回之前,系统将执行一个额外的安全验证操作,被称作“Security
Windows缓冲区溢出保护机制绕过技术解析
"这篇论文详细探讨了Windows操作系统下的缓冲区溢出保护机制及其绕过技术,旨在提升漏洞分析和利用的效率,同时增强系统的安全性。文章着重关注了堆栈溢出和数据执行保护(DEP)机制的突破策略,并通过实验验证了DEP...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值