【pwn学习】stack_pivoting

已于 2022-03-30 23:29:18 修改
阅读量544 收藏
点赞数
分类专栏: pwn学习 文章标签: pwn 学习 安全
于 2022-03-07 22:50:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/123339445
版权
本文以ciscn_2019_es_2为例,深入探讨栈劫持(stack pivoting)技术。文章分析了溢出点、栈地址,指出可以利用溢出泄露栈空间地址。接着,解释了栈劫持的必要性,如栈溢出字节数有限、PIE保护等,并详细阐述了如何通过控制ESP实现栈指针的劫持,最后展示了利用gdb调试的过程和实际的exploit编写思路。
摘要由CSDN通过智能技术生成

我们以ciscn_2019_es_2为例来学习一下栈劫持

安全策略

[*] '/root/ctf/buuctf/pwn/ciscn_2019_es_2'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8046000)

分析

溢出点

sym.vul函数存在两个溢出点,read函数向0x28大小的栈中读入0x30个字节。但问题在于可以操作的空间只有4个字节,无法传入一个完整的ROP链。

注意到题目提供了两个溢出,这个很值得玩味,猜测应该是第一个用来泄露,第二个用来劫持。

栈地址

如下图栈结构所示,注意到ebp的值0xfffd898距离输入的aaaa字符串的地址偏移是0x38。

00:0000│ esp 0xffffd850 ◂— 0x0
01:0004│     0xffffd854 —▸ 0xffffd860 ◂— 'aaaa\n'
02:0008│     0xffffd858 ◂— 0x30 /* '0' */
03:000c│     0xffffd85c —▸ 0xf7fcfd60 (_IO_2_1_stdout_) ◂— 0xfbad2887
04:0010│ ecx 0xffffd860 ◂— 'aaaa\n'
05:0014│     0xffffd864 ◂— 0xa /* '\n' */
06:0018│     0xffffd868 ◂— 0x0
... ↓        5 skipped
0c:0030│     0xffffd880 —▸ 0x80486d8 ◂— push   edi /* "Welcome, my friend. What's your name?" */
0d:0034│     0xffffd884 —▸ 0xffffd944 —▸ 0xffffdac9 ◂— '/root/ctf/buuctf/pwn/ciscn_2019_es_2'
0e:0038│ ebp 0xffffd888 —▸ 0xffffd898 ◂— 0x0

因此可以利用第一组read-print泄露ebp的值,从而获得栈空间的地址。

payload1 = b'a' * 0x28

当然这里也可以利用其他的方式泄露栈空间地址,下面完整exp就是用的另一种方式,但是在输出的时候,有可能因为中间出现\x00而失败。

栈劫持

首先直接粘贴了CTFwiki中关于栈劫持的

stack pivoting,正如它所描述的,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后再在相应的位置进行 ROP。一般来说,我们可能在以下情况需要使用 stack pivoting

  • 可以控制的栈溢出的字节数较少,难以构造较长的 ROP 链
  • 开启了 PIE 保护,栈地址未知,我们可以将栈劫持到已知的区域。
  • 其它漏洞难以利用,我们需要进行转换,比如说将栈劫持到堆空间,从而在堆上写 rop 及进行堆漏洞利用

要劫持栈的话,需要控制栈指针esp的值

jmp esp ; ret

这个比较好理解,直接跳转到e

最低0.47元/天 解锁文章
Morphy_Amo
关注
专栏目录
花式栈溢出技巧----stack pivoting/frame faking
qq_42192672的博客
10-14 1287
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   https://www.jianshu.com/p/c53627895330 1.stack pivoting 转移堆  以 X-CTF Quals 2016 - b0verfl0w 为例学习 #若可溢出...
pwn调整栈帧的技巧
sea_time的博客
12-05 1147
调整栈帧的技巧 我们在存在栈溢出程序中,经常会碰到一些关于栈的问题,比如开启ASLR导致栈地址不可预测,所能溢出的字节数太少等等。对于这些问题,我们有时候可以通过gadgets来调整栈帧以完成攻击。比如我们所用到的常见手段,包括esp值的加减,利用部分溢出字节来修改ebp的值来进行stack pivoting等。 0x00 扩大栈空间 正常来说,当栈空间不够用时我们是写入bss段中的,那有什么办...
stack pivoting
fa1c4的blog
04-17 327
概念 控制ESP, EBP控制栈的攻击技术, 将真实程序堆栈转移到伪造堆栈控制执行流. pivot32 通过一个例子学习栈转移的方法 ROPEmporium pivot32题目 依赖动态链接库libpivot32.so 反编译 int __cdecl main(int argc, const char **argv, const char **envp) { char *ptr; // [esp+Ch] [ebp-Ch] setvbuf(_bss_start, 0, 2, 0); put
栈迁移及ciscn_2019_es_2解题
最新发布
2301_81504456的博客
07-23 456
栈迁移理解及做题
stack pivot
weixin_33842328的博客
11-15 601
【转】http://www.2cto.com/article/201411/356646.html 当ROP链执行时,攻击者的最终目标是将shellcode重新放置在可执行的内存区域以绕过DEP保护。为了做到这一点,攻击者将调用一些类似VirtualAlloc的API函数。这些被攻击者用于绕过DEP的API是有限的。 由于原始程序的堆栈被切换为指向攻击...
X-CTF Quals 2016 - b0verfl0w [Stack Pivoting]
ACdream
02-13 917
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/fancy-rop/#stack-pivoting 为什么要使用? (1)栈溢出时,覆盖后剩下的栈空间不够写exp、ROP等溢出利用 (2)开启了PIE,栈地址不固定,没法利用 要求:可以控制EIP或ESP的至少一个,利用gadgets: pop esp...
从BUUCTF之ciscn_2019_es_2简单复习栈迁移,即stack pivoting
Probeginner的博客
11-27 1325
简单栈迁移,栈迁移简单
带exp的pwn测试文件
09-12
本主题的“带exp的pwn测试文件”是指一系列用于测试和学习漏洞利用技术的文件,其中“exp”代表exploit,即漏洞利用程序。这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc...
HGAME 2017 or 2018 PWN levels
qq_42192672的博客
11-12 945
这个算是做之前的复现吧,感谢Veritas501 WEEK1 1.flag server 拖进IDA看一下 流程倒着看,要有flag-----v8=1-----v5=v6-----s1=admin,我们可以把s1覆盖掉-----username长度不能大于63,不能等于0-----之后还要猜出随机数v6,看一下怎么覆盖 这些变量都在一起,美滋滋 exp from pwn...
栈迁移(Stack Pivoting)进阶
hackzkaq的博客
11-17 365
栈迁移(Stack Pivoting)是一种在漏洞利用中常见的技术,用于改变栈的正常行为,特别是在缓冲区溢出等安全漏洞的情况下。栈迁移的核心在于修改栈指针(如 x86 架构中 ESP 寄存器)的值,使其指向攻击者控制的数据区域。在实际应用中,我们常通过劫持ebp和esp将栈劫持到bss段。在栈迁移十分关键的就是对leave,ret;这段gadget的利用pop ebp;ret == pop eip #弹出栈顶数据给eip寄存器。
花式栈溢出技巧之stack pivoting
至臻求学,胸怀云月
02-18 1550
原理 正如它描述的,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后在相应位置进行ROP。一般来说,我们可能在下述情况使用劫持栈指针。 可以控制栈溢出的字节数较少,难以构造较长的ROP链。 开启了PIE保护,栈地址未知,我们可以将栈劫持到已知的区域。 其他漏洞难以利用,需要进行转换,比如将栈劫持到推空间,从而在堆上写rop及进行堆漏洞利用。 此外,栈指针劫持有以下几个要求: 可以控制程序...
栈溢出之stack privot姿势学习
极目楚天舒的博客
05-07 661
该技巧就是劫持栈指针到自己可以控制的内存,然后进行ROP,一般来说一下几种情形可以使用栈溢出字节数较少,无法构造足够长的ROP链程序开启了PIE保护,栈地址未知将栈劫持到堆,利用堆漏洞例 boverflow分析检查保护qts@qts-PC:~/奇幻世界/杂题/xctf2016-qual-boverflow$ ./checksec.sh --file boverflow RELRO ...
关于“gyctf_2020_borrowstack”,涉及栈迁移(pivoting),通用gadge,one_gadget
Probeginner的博客
12-05 310
我们首先给出wp: from pwn import* context.log_level='debug' p=remote('node4.buuoj.cn',26985) elf=ELF('./barop') p_rdi=0x400993 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] read_got=elf.got['read'] lbic=ELF('./libc-2.23.so') p.recvuntil("u!") ```python p.sen
pwnstack-攻防世界
32bin的博客
04-01 600
【代码】pwnstack-攻防世界。
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1233
攻防世界 做题练习
PWN练习---Stack_1
qq_74259765的博客
06-25 1410
ctf--PWN方向一些做题经历wp
pwnstack2
醉等佳人归
09-07 395
1.题目 1.保护机制 开了canary和nx 2.题目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
CTF|rop emporium pivot32 writeup (栈迁移题型)
skyattractive的博客
06-13 700
CTF|rop emporium pivot32 writeup (栈迁移题型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在栈溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivotingstack
PWN入门&Protostar靶场Stack系列
永远都没有了
01-24 1185
pwn入门靶场笔记
学习pwn需要学习哪些数学知识
05-18
学习 pwn 通常需要掌握以下数学知识: 1. 二进制和十六进制:pwn 题目通常会给出二进制或十六进制的数据,因此需要熟悉这两种进制的转换和计算。 2. 离散数学:离散数学是计算机科学中的一门重要课程,它涉及到许多 pwn 中用到的算法和数据结构,例如哈希表、图论、组合数学等。 3. 模运算:在 pwn 中,模运算经常被用来处理加密算法或者防止整数溢出等问题。 4. 基础数论:pwn 题目中经常涉及到素数、欧拉函数、费马小定理等基础数论概念,因此需要对这些内容有一定的了解。 5. 线性代数:在 pwn 中,矩阵运算和向量运算经常被用来解决密码学和加密算法相关的问题,因此需要对线性代数有一定的了解。 当然,不同的 pwn 题目可能需要的数学知识也会有所不同,但以上几个方面是比较基础和常见的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值