CTF-PWN栈迁移

已于 2022-04-06 12:52:53 修改
阅读量877 收藏 1
点赞数
分类专栏: 栈基础 文章标签: c语言
于 2022-04-05 16:28:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53921051/article/details/123969983
版权
本文介绍了栈帧的概念,特别是在C语言函数调用中的作用。栈迁移是一种利用栈溢出漏洞进行攻击的技术,当常规栈空间不足时,通过控制ebp和ret来拓展栈空间。文章详细解析了栈迁移的条件、原理和攻击过程,并提供了一个实例来说明如何在main函数调用漏洞函数时实施栈迁移攻击。同时,文中还提及了攻击过程中需要的连续两次leave_ret操作和栈帧结构的关键作用。
摘要由CSDN通过智能技术生成

栈帧介绍

C语言函数调用栈帧_大佬菜菜带带的博客-CSDN博客

栈迁移背景

在栈溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用栈迁移的方法拓展栈空间。

栈迁移条件

能够控制rbp及ret的值。

拥有一块可执行的内存,并且可以连续两次控制该内存。

栈迁移原理

在函数调用完返回时,会执行leave,ret两条汇编指令。

leave: mov esp ebp; pop ebp
ret : pop eip

根据栈帧的结构,pop ebp后栈顶位置就是要pop到eip中的值,即此时ret返回的地址为栈顶esp指向的内存中的地址,而esp指向的位置又可以由mov esp ebp控制。所以只要我们控制了ebp的地址,就可以间接控制函数的返回地址,从而达到攻击的目的。在攻击时我们需要连续两次执行leave_ret,从而控制函数返回地址。而一般函数在返回时会自动执行一次leave_ret。我们在攻击时,先将ebp地址改为我们所需要的地址,再将ret地址改为leave_ret的地址,便可达到连续两次执行leave_ret的目的。

攻击过程

我们以main函数调用漏洞函数fun()为例演示攻击过程

 

例题

链接:https://pan.baidu.com/s/1Lam6HamM0BWZgXh2RHCPrg?pwd=yk2j 
提取码:yk2j

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

更正了一张图片,最上面的彩色区域为bss段,即shellcode所在的区域。

大佬菜菜带带
关注
专栏目录
pwn】 关于迁移
wintersun的地带
05-19 3187
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
0ctf-2017-pwn-char 题解
lifanxin的博客
02-05 467
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该题目来自2017年0ctf的一道pwn题–char。 查看文件信息:   只开启了NX保护,32位小端程序 另外该题目还给了libc.so文件,部署时需要将该库文件放到/home/char/目录下,部署的目录位置可以从程序的伪C代码中看出。 漏洞定位 程序的main函数如上图所示,首先程序可以接受2400字符的输入,但注意这里的scanf的读取限制,比如:空格、回车、换行符等等都是无法读入的,这里的限制体现在后面构造ROP链时地址中不能含有以
PWN题型之迁移
swedsn
07-30 1770
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
PWN——迁移
L2329794714的博客
08-29 1576
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
ctf pwn 题目
m0_64195960的博客
04-11 1451
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
Linux PWN技巧之迁移
小小鱼的博客
02-16 1840
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
CTF PWN简单溢出
2301_81031055的博客
01-25 484
(mov esp,ebp)意思是先将ebp赋给esp,此时esp与ebp位于同一个地址,可以把它们现在指向的那个地址,既可以当成顶又可以当成是底。因为填充的数据后面跟的就是,所以它会将地址顺带打印出来,接下来我们继续编写脚本。到这里,我们的第一次输入就算完成了,在第二次输入的时候就能去构造payload。(此时顶的内容也就是ebp的内容,也就是说现在把ebp的内容赋给了esp)在这里我们发现有system函数,我们可以利用system函数的plt表。我们会发现溢出字节较少,考虑用溢出解题。
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1639
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 916
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1349
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 690
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
pwn入门之迁移
wangxunyu6的博客
03-08 1421
迁移可以用于处理溢出的情况。当溢出且可溢出长度不足以容纳 payload 时,可以通过迁移来构建一个新的空间以放下 payload。
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1902
更适合pwn入门新手体质的迁移教程
CTF|rop emporium pivot32 writeup (迁移题型)
skyattractive的博客
06-13 684
CTF|rop emporium pivot32 writeup (迁移题型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivoting。 stack
pwn-迁移-ROP
leeham的博客
08-23 4111
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
Pwn-转移(stack immigration)
CharlesGodX的博客
04-08 1594
0x00:前言 转移(stack immigration)主要是为了解决溢出可以溢出空间大小不足的问题,HITCON-Training-master 的 lab6 就是用的这个原理,我们来实践一下这道题目。 0x01:实例 题目链接: https://github.com/scwuaptx/HITCON-Training/blob/master/LAB/lab6/migration 运行一下程...
迁移练习
Civit_的博客
03-27 198
迁移基础——>
pwn迁移总结
weixin_66751120的博客
01-28 2554
迁移往往在发生溢出的函数能够溢出的只有rbp与返回地址时进行,由于不能输入更多数据来构造rop链,一般会把迁往两个位置,一是原来的,二是bss段。在了解迁移之前需要先了解两个汇编指令,这是进行迁移的关键,leave,ret,这两个一般在函数的最后都会出现,可以清空中内容。leave可以理解为mov rsp,rbp;pop rbp这两个汇编指令的效果综合,但只是效果几乎一样,但并不是真的由它俩组成,第一步就是把rbp的值赋给rsp,也就是在同一位置了;
[PWN]——迁移及部分基础
最新发布
ysy___ysy的博客
04-18 1356
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值