canary_pie
canary_pie
Stack Canaries (取名自地下煤矿的金丝雀,因为它能比矿工更早地发现煤气泄漏,有预警的作
用)是一种用于对抗栈溢出攻击的技术。
其原理是在的入口处,从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致。
Canary bypass的姿势
格式化字符串绕过canany
通过格式化字符串读取canary的值
Canary爆破(针对有fork函数的程序)
fork作用相当于自我复制,每一次复制出来的程序,内存布局都是一样的,当然canary值也一样。那我们就可以逐位爆破,如果程序崩溃了就说明这一位不对,如果程序正常就可以接着跑下一位,直到跑出正确的canary
Stack smashing(故意触发canary_ssp leak)
劫持_stack_chk_fail
修改got表中 stack chk fail函数的地址,在栈溢出后执行该函数,但由于该函数的地址被修改,所以程序会跳转到我们想要执行的地址
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Randolfluo's blog!
相关推荐
2024-01-20
get_started_3dsctf_2016
#栈溢出,查看漏洞函数。 我们可以直接将程序控制流转移到打开文件来绕过if语句 exp123456789from pwn import *#sh= remote("node5.buuoj.cn",26045)sh = process('./get_started_3dsctf_2016')addr=0x080489b8offset = 56payload =...
2024-01-21
jarvisoj_level2
# 这题其实蛮简单的但是涉及到了gdb的多线程调试,故记录一下。 尝试gdb调试,提示gdb开始调试子进程,然后子进程退出,打开ida查看一下,可以看到在vulnerable_function()中,在system("echo Input:");才进入漏洞函数,那么我们就需要又 由于system函数会打开一个shell执行命令,会folk一个子进程,因此我们需要使gdb一只调试主进程, gdb多线程调试常用操作 GDB调试多进程的命令介绍和演示 - 刘跑跑 - 博客园 (cnblogs.com) info inferiors 查看所有进程 inferiors 2 切换到编号为2的进程 detach inferiors 2 detach掉编号为2的进程 kill inferiors 2 kill掉编号为2的进程 set follow-fork-mode parent 只调试父进程(GDB默认) set follow-fork-mode child 只调试子进程 show...
2024-05-24
栈溢出攻击原理与防范
栈溢出攻击原理与防范栈溢出(又名stack overflow),指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞,类似的还有堆溢出,bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。 [toc] 为什么栈溢出如此知名 莫里斯蠕虫 莫里斯蠕虫病毒利用了栈溢出漏洞 莫里斯蠕虫(Morris Worm)是在1988年11月2日由罗伯特·泰潘·莫里斯(Robert Tappan Morris)编写的一个计算机蠕虫。导致数千台计算机瘫痪,造成了大量的时间和金钱损失。他也是第一个因计算机犯罪而被判有罪的人。 stack overflow 论坛logo:全球知名的程序员论坛 漏洞发现至今已有35年,缓冲区溢出漏洞仍占比最多: demo什么是栈溢出,请看如下demo: 12345678910#include<stdio.h>int main(){ char s[10]; gets(s); ...
2023-12-23
基础rop
ROPROP的全称为Return-oriented programming(返回导向编程) 栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 checksec Arch程序架构信息,判断是64位还是32位,exp编写的时候是p64还是p32,是大端序还是小端序 RELRORELRO 是 “Relocation Read-Only” 的缩写,用于保护程序的全局偏移表 (GOT) 免受攻击。 StackStack-canary(金丝雀保护),用于检测栈溢出攻击。它是一个随机的值,被插入到栈帧中,并在函数返回时被检查。 NXNX enabled如果这个保护开启就是意味着栈中数据没有执行权限,如此一来,当攻击者在堆栈上部署自己的shellcode并触发时,智慧直接造成程序的崩溃,但是可以利用rop这种方法绕过 PIEPIE 是 “Position Independent Executable”...
2024-01-23
格式化字符串
C语言变参函数1man 3 printf //查看C语言格式化字符串 格式化字符串 $第n个参数%s变量所对应地址的内容%p获取对应栈的内存%n不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。hn(half int) hhn(half half int) 1.找到偏移值 通过fmtarg 来判断某个参数的偏移。 2.任意地址写入 3. ->RELRO->got表项->一般改printf函数 栈 one_gadget malloc_hook:printf参数超过 %43$p —>调用 malloc iofile jarvisoj_fm1关闭PIE,我们可以直接将x的地址写入后用%n修改所指的变量。buf为栈上第11个参数 1234567891011121314#!/usr/bin/env pythonfrom pwn import...
2023-12-28
wp2
[WUSTCTF2020]level3 base64换表,给出了加密后的字符串,那么我们只需要找到换表函数即可,通过交叉引用查看到关键函数 12345678910base='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'base=list(base)for i in range (0,10): x=base[i] base[i]=base[19-i] tmp= 19-i base[tmp]=x print("".join(base)) base64解密即可 特殊的 BASE64 猜测是base64换表