hacktricks/reversing-and-exploiting/linux-exploiting-basic-esp/common-binary-protections-and-bypasses/stack-canaries/print-stack-canary.md

# Print Stack Canary

{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>
{% endhint %}

## Aumentar a pilha impressa

Imagine uma situação onde um **programa vulnerável** a estouro de pilha pode executar uma função **puts** **apontando** para **parte** do **estouro de pilha**. O atacante sabe que o **primeiro byte do canário é um byte nulo** (`\x00`) e o restante do canário são **bytes aleatórios**. Então, o atacante pode criar um estouro que **sobrescreve a pilha até apenas o primeiro byte do canário**.

Em seguida, o atacante **chama a funcionalidade puts** no meio do payload que irá **imprimir todo o canário** (exceto o primeiro byte nulo).

Com essa informação, o atacante pode **elaborar e enviar um novo ataque** conhecendo o canário (na mesma sessão do programa).

Obviamente, essa tática é muito **restrita** pois o atacante precisa ser capaz de **imprimir** o **conteúdo** de seu **payload** para **exfiltrar** o **canário** e então ser capaz de criar um novo payload (na **mesma sessão do programa**) e **enviar** o **verdadeiro estouro de buffer**.

**Exemplos de CTF:**&#x20;

* [**https://guyinatuxedo.github.io/08-bof\_dynamic/csawquals17\_svc/index.html**](https://guyinatuxedo.github.io/08-bof\_dynamic/csawquals17\_svc/index.html)
* 64 bits, ASLR habilitado mas sem PIE, o primeiro passo é preencher um estouro até o byte 0x00 do canário para então chamar puts e vazar. Com o canário, um gadget ROP é criado para chamar puts para vazar o endereço de puts do GOT e um gadget ROP para chamar `system('/bin/sh')`

## Leitura Arbitrária

Com uma leitura arbitrária como a fornecida por **strings** de formato, pode ser possível vazar o canário. Confira este exemplo: [**https://ir0nstone.gitbook.io/notes/types/stack/canaries**](https://ir0nstone.gitbook.io/notes/types/stack/canaries) e você pode ler sobre abusar de strings de formato para ler endereços de memória arbitrários em:

{% content-ref url="../../format-strings/" %}
[format-strings](../../format-strings/)
{% endcontent-ref %}

{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.

</details>
{% endhint %}
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`# Print Stack Canary`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`{% hint style="success" %}`
			`Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`<details>`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`<summary>Support HackTricks</summary>`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`* Confira os [planos de assinatura](https://github.com/sponsors/carlospolop)!`
			`* Junte-se ao 💬 [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe truques de hacking enviando PRs para o [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
			`</details>`
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`{% endhint %}`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`## Aumentar a pilha impressa`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			Imagine uma situação onde um programa vulnerável a estouro de pilha pode executar uma função puts apontando para parte do estouro de pilha. O atacante sabe que o primeiro byte do canário é um byte nulo (`\x00`) e o restante do canário são bytes aleatórios. Então, o atacante pode criar um estouro que sobrescreve a pilha até apenas o primeiro byte do canário.
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`Em seguida, o atacante chama a funcionalidade puts no meio do payload que irá imprimir todo o canário (exceto o primeiro byte nulo).`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`Com essa informação, o atacante pode elaborar e enviar um novo ataque conhecendo o canário (na mesma sessão do programa).`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`Obviamente, essa tática é muito restrita pois o atacante precisa ser capaz de imprimir o conteúdo de seu payload para exfiltrar o canário e então ser capaz de criar um novo payload (na mesma sessão do programa) e enviar o verdadeiro estouro de buffer.`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'reversin 2024-04-02 19:46:14 +00:00			`Exemplos de CTF: `

			`* [https://guyinatuxedo.github.io/08-bof\_dynamic/csawquals17\_svc/index.html](https://guyinatuxedo.github.io/08-bof\_dynamic/csawquals17\_svc/index.html)`
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			* 64 bits, ASLR habilitado mas sem PIE, o primeiro passo é preencher um estouro até o byte 0x00 do canário para então chamar puts e vazar. Com o canário, um gadget ROP é criado para chamar puts para vazar o endereço de puts do GOT e um gadget ROP para chamar `system('/bin/sh')`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
			`## Leitura Arbitrária`

Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`Com uma leitura arbitrária como a fornecida por strings de formato, pode ser possível vazar o canário. Confira este exemplo: [https://ir0nstone.gitbook.io/notes/types/stack/canaries](https://ir0nstone.gitbook.io/notes/types/stack/canaries) e você pode ler sobre abusar de strings de formato para ler endereços de memória arbitrários em:`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
			`{% content-ref url="../../format-strings/" %}`
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`[format-strings](../../format-strings/)`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00			`{% endcontent-ref %}`

Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`{% hint style="success" %}`
			`Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`<details>`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`<summary>Support HackTricks</summary>`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`* Confira os [planos de assinatura](https://github.com/sponsors/carlospolop)!`
			`* Junte-se ao 💬 [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe truques de hacking enviando PRs para o [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.`
Translated ['reversing-and-exploiting/linux-exploiting-basic-esp/arbitra 2024-03-30 23:42:29 +00:00
			`</details>`
Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:06:26 +00:00			`{% endhint %}`