PWN-爆破Canary

最新推荐文章于 2024-09-16 17:44:57 发布
最新推荐文章于 2024-09-16 17:44:57 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: PWN 文章标签: c语言 python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_53394081/article/details/130315799
版权

爆破canary

原理
  • 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。
  • 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。
  • 我们可以利用这样的特点,彻底逐个字节将Canary爆破出来。
题目分析
检查保护

32位程序,开启了canary保护和NX保护,将文件放入ida中
在这里插入图片描述

ida

在这里插入图片描述

分析可知看出,main函数中存在fork函数,这是爆破canary的重点

fun()

进入fun()函数
在这里插入图片描述

  • 发现read(0, buf, 0x78u);通过对栈段的查看,我们可以输入0x78的内容

  • 但是buf的空间为:0x70-0xc=0x64

  • 在这里插入图片描述

  • 因此可以发生栈溢出覆盖其他变量,其中v2就是保存的Canary变量

解题思路
  • 一位一位的去爆破Canary,使用栈溢出填充垃圾字符,直到Canary ,然后再尝试填充Canary
  • 若Canary正确,则进行下一位的爆破
  • 若Canary错误,程序会执行fork重新运行

注意

  • Canary的形式填充到寄存器中的形式为:aaaax\00
爆破Canary的通用模板
#coding=utf8
from pwn import *
context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']
context(arch=
最低0.47元/天 解锁文章
爆破canary+pie
2302_79813730的博客
03-02 1553
canary,pie保护前面我都有说到,主要是利用格式化字符串漏洞去泄露canary或绕过pie,但如果没有格式化字符串漏洞,我们应该怎么去绕过canary和pie呢?通过以上内容我们可知,前边的数是相同的,我们又知道后三位是确定的,准确来说是只差半个字节4位,只要我们得到这半个字节,就可以利用IDA中的地址。read存在栈溢出,并且具有后门,这道题的思路就很明确了,爆破出来canary和后门地址,直接用栈溢出来做。博主也通过以上文章进行的学习,接下来详细讲一下canary,pie的爆破原理。
BugkuCTF-PWNcanary超详细讲解
am_03的博客
08-31 2738
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
pwn中 one-by-one 爆破 Canary
Jonas_brown的博客
10-28 529
对于 Canary,虽然每次进程重启后的 Canary 不同 (相比 GS,GS 重启后是相同的),但是同一个进程中的不同线程的 Canary 是相同的, 并且 通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 在著名的 offset2libc 绕过 linux64bit 的所有保护的文章中,作者就是利用这样的方式爆破得到的 Canary: 这是爆破Python 代码:
Canary学习(爆破Canary
至臻求学,胸怀云月
01-30 4491
one-by-one 爆破Canary原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的...
CANARY爆破
aptx4869_li的博客
12-24 3193
小白一枚最近开始上手搞pwn,不断认识到一些新的知识,感觉这个CANARY爆破挺有意思,估计以后也会常用,写一篇博客记录一下。 主要是向大佬学习,然后看了他们的博客,自己在一点点分析出来,可能比较啰嗦,但尽力讲的细致一点,也方便之后的小白理解。 本文是向这位大佬学习: http://0x48.pw/2017/03/14/0x2d/
PicoCTF_2018_buffer_overflow_3(本地固定canary爆破)
seaaseesa的博客
05-01 913
PicoCTF_2018_buffer_overflow_3 用IDA分析一下程序,程序从一个固定文件里读取数据,作为canary的值。 由于文件内容不变,所以,我们可以直接爆破。 #coding:utf8 from pwn import * shell = ssh(host='node3.buuoj.cn', user='CTFMan', port=27525, passwor...
Pwn题——canary
weixin_44319142的博客
04-03 1953
canary 嘤嘤,不仅NX打开了,栈里面还有canary,这是什么鬼。。。。。 Canary保护机制的原理,是在一个函数入口处从fs段内获取一个随机值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置。如果攻击者利用栈溢出修改到了这个值,导致该值与存入的值不一致,__stack_chk_fail函数将抛出异常并退出程序。Canary最高字节一般是\x00,防止由于其他...
canary爆破、pie保护(格式化字符串漏洞)
2301_81031055的博客
01-29 580
canary两种解题方式:1.爆破canary2.如果存在字符串格式化漏洞可以输出泄露canary的地址并利用栈溢出覆盖canary的地址返回到system地址从而达到绕过。
通过fork进程爆破canary
weixin_30763455的博客
05-31 815
1.1.1 通过fork进程爆破canary ⑴.原理分析: 对fork而言,作用相当于自我复制,每一次复制出来的程序,内存布局都是一样的,当然canary值也一样。那我们就可以逐位爆破,如果程序GG了就说明这一位不对,如果程序正常就可以接着跑下一位,直到跑出正确的canary。 另外有一点就是canary的最低位是0x00,这么做为了防止canary的值泄漏。比如在canary上面是...
针对简单Pwn溢出题的爆破
Rog's Blog
04-19 1123
爆破大法好 例子:BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有,很好 然后拖到IDA64分析一波 发现漏洞函数,地址为 0x401186 ,很好 祭出脚本,开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact
dictionary:来自pwn硬糖师傅的爆破字典
05-20
dictionary 来自pwn硬糖师傅的爆破字典 ---非最终版
PWN-canary学习
苗_的博客
02-10 1678
先简单介绍一下canaryCanary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8...
PWN——canary问题
ysy___ysy的博客
09-16 1399
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode 能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。
PWN做题笔记11-Mary_Morton(格式化字符串暴露canary
qq_40923256的博客
05-15 473
Mary_Morton,知识点是格式化字符串漏洞暴露canary
CTF-pwn 技术总结,二进制漏洞挖掘---安全机制绕过
键盘的起始页
04-01 1474
学习linux pwn,linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们,那么在比赛时将你举步维艰,本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法,希望能帮助一些小萌新更快入门,帮助需要进阶的朋友打好根基。
Canary解决姿势
weixin_72981769的博客
06-28 484
被折磨的有点难受 找个时间来斩杀(bushi)又是被虐的一天~有问题请指正~❀获取例题请在评论区留言或私信我⭐标志提示就算fork函数吧 多线程开攻**(1)先运行一下 pei’d配套checksec根据题目提示’have fun’和’welcome’在爆破的exp中会用作于覆盖节点​ 发现Canary和PIE都开 准备好爆破(如果有可以利用的字符串canary也可以绕过)​ 对应随机化 后续在IDA中只能利用其地址计算偏移(2)进IDA。
wdb_2018_4th_pwn2(爆破随机数为0)
seaaseesa的博客
07-24 767
wdb_2018_4th_pwn2(爆破随机数为0) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,功能1栈溢出,但是有canary 功能3格式化字符串,当仅能泄露一个值。 功能2是一个递归调用,多次递归,可以在栈里多处位置留下canary的值 功能9011也是一个栈溢出,但是需要正确的key才能进行。 可以使用功能3泄露libc地址,然后功能2递归多次,再使用功能1将canary的值泄露,最后通过爆破随机数,用9011功能来进行栈溢出做ROP。 随机数可以直接
[pwn]ROP:三道题讲解花式绕过Canary栈保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
funcanary[CISCN2023初赛]-爆破canary+pie
qq_53928256的博客
05-29 1213
根据PIE的保护的特性我们可以知道(请先进行PIE保护的相关学习),地址的后3位是不变的,所以只需要的原先返回地址的基础之上将返回地址的后三位覆盖位system(“/bin/cat flag”)函数调用的地址即可,即为修改为“0x231”(该地址只需要在IDA看偏移地址即可),根据“字符”查找到特殊的字符串“/bin/cat flag”,所以可能存在直接的system(“/bin/cat flag”)函数,通过追踪定位,发现确实存在相应函数。先检查文件的保护以及文件的类型,保护全开,64位程序。
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值