栈迁移

最新推荐文章于 2024-04-18 21:01:09 发布
最新推荐文章于 2024-04-18 21:01:09 发布
阅读量543 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/113934191
版权

栈迁移

1.为什么需要栈转移?
  • 在栈空间不够存放payload的情况下,需要一个新的地址空间存放payload
  • 开启PIE保护,栈地址未知,我们可以将栈劫持到已知的区域
2.概念
  • 劫持栈的rsp(ESP),使其指向其他位置,形成一个伪造的栈,在此栈中做ROP
3.必要的gadget
  • pop ebp;ret 释放EBP,并连接伪造的栈
  • leave;ret 更改ESP,指向后续的payload
4.原理
  • 通过 pop ebp;ret + 伪造的栈让程序直接跳转到伪造的栈里面,然后为了保持栈平衡,从而执行 leave ;ret,最后继续执行伪造栈内的payload
5.图示
1. 函数调用以及恢复的汇编代码
  • 程序在调用函数时,会通过栈进行现场保护的工作,在调用函数时,会将当前的基址压入栈,再将基址ebp 改为 当前esp的地址,而程序在返回的时候,需要通过leave retn指令恢复现场,也就是恢复调用者的esp以及ebp

在这里插入图片描述

2. 利用方法

在这里插入图片描述

  • 利用leave ret 指令,将栈转移到fake stack
  • paylaod = padding (溢出到ebp之前)+ fake ebp(覆盖原本的ebp) + leave retn(执行栈的迁移)
5.过程
  • 使用输入函数(如read),将后续的payload加载到bss段内,也就是伪造的栈
  • 通过 pop ebp;ret | pop ebx;ret 来调整EBP寄存器
  • 通过 leave ret; 来更改 ESP,使其指向伪造的栈
  • 然后在伪造的栈中执行下一段ROP
huzai9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
从汇编层面看函数调用的过程
qq_43313035
05-15 1891
帧 C语言中,每个帧对应着一个未运行完的函数。帧中保存了该函数的返回地址和局部变量。 我们知道每⼀一次函数调用都是⼀一个过程。 这个过程我们通⻓长称之为:函数的调⽤用过程。 这个过程要为函数开辟空间,⽤用于本次函数的调⽤用中临时变量量的保存、现场保护。这块空间 我们称之为函数帧。 ebp存放了指向函数底的地址 esp存放了指向函数顶的地址 函数调用的参数显然存储在函数调...
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
迁移原理介绍与应用
weixin_39529207的博客
02-20 4851
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
[PWN]——迁移及部分基础
最新发布
ysy___ysy的博客
04-18 1121
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
迁移学习
weixin_73481933的博客
02-20 192
参考资料https://blog.csdn.net/qq_38154820/article/details/106330238。
python中的
m0_54146002的博客
09-11 3526
是一个特殊的有序列表,其插入和删除操作都在一端(顶)进行。
Python实现及其简单应用
weixin_45859741的博客
08-03 828
1、Stack 一种有次序的数据项集合,在中,数据项的加入和移除都仅发生在一端,这一端叫顶top,另一端叫底base。 出入规则:Last in First out 具有以下功能 Stack():创建一个空 push(item):将item加入顶,无返回值 pop():将顶数据移除,并且返回,被修改 peek():查看顶数据,并且返回,不会被修改 isEmpty():返回是否为空 size():返回中有多少个数据项 # List末端作为顶实现 push
论文研究-基于超级基站的协议迁移机制设计与实现 .pdf
08-15
基于超级基站的协议迁移机制设计与实现,杨俊,王园园,传统无线接入网络基站间不共享处理资源、网络负载多变和潮汐效应的存在导致基站资源利用率低与负载均衡的问题。在中科院计算所的
Linux 下tcp 连接迁移技术
11-03
它不需要连接另一端主机的网络协议做任何改变,不需要任何非标准函数库的支持,不需要中间层的支持,所以,对于连接的另一端来说,TCP 连接迁移的过程将是完全透明的。 TCP 连接迁移技术的核心技术共分为两个部分...
nordic的蓝牙协议
03-27
2. **s132_nrf52_6.0.0_migration-document.pdf**:迁移文档,详细介绍了如何从旧版本的S132或其它软设备迁移到6.0.0版本,对于升级维护非常有帮助。 3. **s132_nrf52_6.0.0_release-notes.pdf**:发布说明,列出了...
python-的相关操作
qq_45271878的博客
07-23 347
python 的相关操作
Python——
XQC_KKK的博客
05-01 1543
首先用一张图来表示只有一个开口,在这个开口完成入和出。并且入是按照顺序堆叠,先入的被“叠”在最下面,后入的在上面。想要最下面的出来,必须它的上面没有东西。即先进后出,后进先出。 下面通过Python实现 # 用Python实现 class Stack: def __init__(self): self.items = [] def isEmpty(self): return self.items == [] def push
leave, ret, enter指令的等效
fa1c4的blog
02-07 1237
leave, ret, enter指令可以看做复合指令 ; push eip 进入前会压返回地址 Sub PROC enter 8,0 . . . leave ret Sub ENDP 等效 ; push eip 进入前会压返回地址 Sub PROC push ebp mov ebp, esp sub esp, 8 ; enter . . . mov esp, ebp pop ebp
执行retn、call、leave指令的时候,esp和eip的变化情况
zhuhuizhan
04-12 1771
<br /><br /> <br />windows 32位汇编的环境下<br />0A10FF61 call      0A11FFAA<br />0A10FF66 MOV EAX,DWORD PTR SS:[EBP+3C]<br />call<br /> <br />esp = esp - 4<br /> <br /> <br /> <br />[esp] = 0A10FF66   //将返回地址压入中<br /> <br />  eip = 0A11FFAA    //跳转到函数地址<br /> <
汇编的Enter, leave, return 指令
cay22的专栏
03-21 7967
enter的用法: enter   8, 3                   ;就是申请8个存储单元(在堆中),特权为3 http://www.cnblogs.com/keepfocus/archive/2011/09/15/2176925.html 1. enter等价于: push ebp mov ebp,  esp 在函数的入口时常用。 ENTER   n   申请局
反汇编的call和retn
nailgo的专栏
04-14 2403
CALL指令   CALL指令可不是如唤指令,而是子程序调用指令。那么汇编语言中的子程序是什么呢?子程序能被其它程序调用,在实现某种功能后能自动返回到调用程序去的程序。其最后一条指令一定是返回指令,故能保证得新返回到调用它的程序中去。也可调用其它子程序,甚至可自身调用。   我们可以暂时把子程序理解为一个代码段,是一个模块化的代码面。这个代码段可以完成某一特定功能,当程序在执行过程中需要用到这
CTF PWN基础知识(寄存器、、汇编指令、标志位)详解
weixin_43780092的博客
09-04 5331
本文详解PWN中基础知识,文中寄存器缩写都有标注上中文含义,方便初学者理解记忆。
[Black Watch 入群题]PWN
、moddemod
06-20 358
利用bss进行迁移 exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './spwn' p = process(proc_name) # p = remote('node3.buuoj.cn', 29482) elf = ELF(proc_name) write_plt = elf.plt['wri.
关于迁移的那些事儿
蚁景网安学院
07-27 427
现在的CTF比赛中很难在大型比赛中看到溢出类型的赛题,而即使遇到了也是多种利用方式组合出现,尤其以迁移配合其他利用方式来达到组合拳的效果,本篇文章意旨通过原理+例题的形式带领读者一步步理解迁移的原理以及在ctf中的应用。......
软硬件技术整体迁移策略
06-10
软硬件技术整体迁移是一项复杂的任务,需要考虑多方面的因素。以下是一些可能的迁移策略: 1. 逐步迁移:将整体迁移分为多个阶段,逐步完成各个技术迁移。这种策略适用于迁移规模较大的情况,可以逐步适应新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值