BF Forked & Threaded Stack Canaries
如果您面对一个由canary和PIE(位置无关可执行文件)保护的二进制文件,您可能需要找到一种绕过它们的方法。
请注意,**checksec
**可能无法发现一个二进制文件受到canary保护,如果它是静态编译的,并且无法识别该函数。
但是,您可以手动注意到这一点,如果您发现在函数调用开始时将一个值保存在堆栈中,并且在退出之前检查了这个值。
Brute force Canary
绕过简单canary的最佳方法是,如果二进制文件是一个程序,每次您与其建立新连接时都会fork子进程(网络服务),因为每次连接到它时将使用相同的canary。
因此,绕过canary的最佳方法就是逐个字符地暴力破解它,您可以通过检查程序是否崩溃或继续其正常流程来判断猜测的canary字节是否正确。在这个示例中,函数暴力破解一个8字节的canary(x64),并区分正确猜测的字节和错误的字节,只需检查服务器是否发送了响应(在其他情况下,另一种方法可能是使用try/except):
示例1
此示例是为64位实现的,但也可以轻松实现为32位。
示例 2
这是为32位系统实现的,但很容易改为64位。 还要注意,对于这个示例,程序首先期望一个字节来指示输入的大小和有效载荷。
线程
同一进程的线程也会共享相同的canary token,因此如果二进制文件在每次攻击发生时生成一个新线程,就有可能暴力破解canary。
此外,如果一个受canary保护的线程函数发生缓冲区溢出,就可以用来修改存储在TLS中的主canary。这是因为可能可以通过线程的堆栈中的bof达到存储TLS(因此也是canary)的内存位置。 因此,这种缓解措施是无效的,因为检查是使用两个相同的canary(尽管被修改)。 这种攻击在以下解说中执行:http://7rocky.github.io/en/ctf/htb-challenges/pwn/robot-factory/#canaries-and-threads
还请查看https://www.slideshare.net/codeblue_jp/master-canary-forging-by-yuki-koike-code-blue-2015的演示,其中提到通常TLS由**mmap
存储,当创建线程的堆栈**时,也是由mmap
生成的,根据这一点,可能允许如前述解说中所示的溢出。
其他示例和参考资料
64位,无PIE,nx,BF canary,在某些内存中写入ROP以调用
execve
并跳转到那里。
最后更新于