栈溢出之stack privot姿势学习

最新推荐文章于 2024-09-23 23:30:19 发布
最新推荐文章于 2024-09-23 23:30:19 发布
阅读量685 收藏 1
点赞数 1
分类专栏: CTF-PWN-栈溢出 ROP 总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40850881/article/details/80222275
版权
本文探讨了栈溢出中stack pivot的技术,主要适用于栈溢出字节数有限、PIE保护开启或者结合堆漏洞利用的情况。通过分析保护机制,提出了两种思路:一是利用jmp esp gadget,调整栈指针执行shellcode;二是直接在栈上布置gadget,通过ret指令执行。总结了计算payload大小的方法,并给出了实验思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

该技巧就是劫持栈指针到自己可以控制的内存,然后进行ROP,一般来说一下几种情形可以使用

  • 栈溢出字节数较少,无法构造足够长的ROP链
  • 程序开启了PIE保护,栈地址未知
  • 将栈劫持到堆,利用堆漏洞
boverflow

分析

检查保护

qts@qts-PC:~/奇幻世界/杂题/xctf2016-qual-boverflow$ ./checksec.sh --file boverflow 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      FILE
Partial RELRO   No canary found   NX disabled   Not an ELF file   No RPATH   No RUNPATH   boverflow
溢出空间 0x32-0x20-4 =14字节 
.text:0804851B s               = byte ptr -20h
.text:08048551                 mov     eax, ds:stdout@@GLIBC_2_0
.text:08048556                 mov     [esp], eax      ; stream
.text:08048559                 call    _fflush
.text:0804855E                 mov     eax, ds:stdin@@GLIBC_2_0
.text:08048563                 mov     [esp+8], eax    ; stream
.text:08048567                 mov     dword ptr [esp+4], 32h ; n
.t
最低0.47元/天 解锁文章
Excel PrivotTable
03-27
一本不错的关于EXCEL透视表的制作文档, 不过可能需要啃英文了
花式栈溢出技巧----stack pivoting/frame faking
qq_42192672的博客
10-14 1326
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   https://www.jianshu.com/p/c53627895330 1.stack pivoting 转移堆  以 X-CTF Quals 2016 - b0verfl0w 为例学习 #若可溢出...
stack pivot
weixin_33842328的博客
11-15 620
【转】http://www.2cto.com/article/201411/356646.html 当ROP链执行时,攻击者的最终目标是将shellcode重新放置在可执行的内存区域以绕过DEP保护。为了做到这一点,攻击者将调用一些类似VirtualAlloc的API函数。这些被攻击者用于绕过DEP的API是有限的。 由于原始程序的堆栈被切换为指向攻击...
stack pivoting
fa1c4的blog
04-17 350
概念 控制ESP, EBP控制栈的攻击技术, 将真实程序堆栈转移到伪造堆栈控制执行流. pivot32 通过一个例子学习栈转移的方法 ROPEmporium pivot32题目 依赖动态链接库libpivot32.so 反编译 int __cdecl main(int argc, const char **argv, const char **envp) { char *ptr; // [esp+Ch] [ebp-Ch] setvbuf(_bss_start, 0, 2, 0); put
X-CTF Quals 2016 - b0verfl0w [Stack Pivoting]
ACdream
02-13 1080
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/fancy-rop/#stack-pivoting 为什么要使用? (1)栈溢出时,覆盖后剩下的栈空间不够写exp、ROP等溢出利用 (2)开启了PIE,栈地址不固定,没法利用 要求:可以控制EIP或ESP的至少一个,利用gadgets: pop esp...
通过Stack Overflow线程栈溢出的问题实例,详解C++程序线程栈溢出的诸多细节
热门推荐
dvlinker的技术专栏
08-04 2万+
通过Stack Overflow线程栈溢出的问题实例,详解C++程序线程栈溢出的诸多细节
c++开发实战之栈溢出
最新发布
09-23 1859
栈溢出通常由递归过深、局部变量占用过多或无限递归引发。为避免栈溢出,可以优化递归算法、使用堆代替栈、减少局部变量的大小以及增加合理的终止条件。通过合理设计程序结构和优化算法,可以有效避免栈溢出的风险。
Javascript进阶之栈溢出
tangmeng1988的博客
08-08 929
栈帧(Stack Frame)是内存中用于存储函数调用信息的区域。每当一个函数被调用时,系统都会为其分配一块内存来存储函数的局部变量、参数、返回地址等信息。系统的栈空间是受限于资源的,如果函数调用层次过深,栈空间就会被占满,这就是栈溢出Stack Overflow)问题。本文讨论了最简单的避免栈溢出的策略:迭代替代递归。
linux 内核栈溢出,Linux 内核栈溢出分析
weixin_39714528的博客
04-30 1348
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?由于内核栈的大小是有限的,就会有发生溢出的可能,比如调用嵌套太多、参数太多都会导致内核栈的使用超出设定的大小。本文分析内核栈溢出。Linux 系统进程运行分为 用户态 和 内核态,进入内核态之后使用的是内核栈,作为基本的安全机制,用户程序不能直接访问内核栈,所以尽管内核栈属于进程的地址空间,但与用户栈是分开的。内核栈需要...
栈溢出攻击原理与防范
weixin_73512511的博客
07-25 1025
函数调用栈(Call Stack)是一种数据结构,用于管理程序中的函数调用。在调用函数时,计算机需要一种方式来跟踪函数的执行位置,以便函数执行完毕后能够返回到调用它的位置继续执行。函数调用栈就是用来实现这一目的的。返回地址:调用函数后的下一条指令的地址。局部变量:被调用函数中声明的局部变量。传递参数:从调用函数传递给被调用函数的参数。保存的寄存器值:某些寄存器的值,因为在函数执行过程中可能会被修改,所以在进入函数时需要先保存起来,以便在函数返回时能够恢复。每次函数调用都会在栈上创建一个。
【pwn学习stack_pivoting
Morphy_Amo的博客
03-07 627
rop、栈劫持
从BUUCTF之ciscn_2019_es_2简单复习栈迁移,即stack pivoting
Probeginner的博客
11-27 1349
简单栈迁移,栈迁移简单
栈迁移(Stack Pivoting)进阶
hackzkaq的博客
11-17 492
栈迁移(Stack Pivoting)是一种在漏洞利用中常见的技术,用于改变栈的正常行为,特别是在缓冲区溢出等安全漏洞的情况下。栈迁移的核心在于修改栈指针(如 x86 架构中 ESP 寄存器)的值,使其指向攻击者控制的数据区域。在实际应用中,我们常通过劫持ebp和esp将栈劫持到bss段。在栈迁移十分关键的就是对leave,ret;这段gadget的利用pop ebp;ret == pop eip #弹出栈顶数据给eip寄存器。
花式栈溢出技巧之stack pivoting
至臻求学,胸怀云月
02-18 1666
原理 正如它描述的,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后在相应位置进行ROP。一般来说,我们可能在下述情况使用劫持栈指针。 可以控制栈溢出的字节数较少,难以构造较长的ROP链。 开启了PIE保护,栈地址未知,我们可以将栈劫持到已知的区域。 其他漏洞难以利用,需要进行转换,比如将栈劫持到推空间,从而在堆上写rop及进行堆漏洞利用。 此外,栈指针劫持有以下几个要求: 可以控制程序...
关于“gyctf_2020_borrowstack”,涉及栈迁移(pivoting),通用gadge,one_gadget
Probeginner的博客
12-05 338
我们首先给出wp: from pwn import* context.log_level='debug' p=remote('node4.buuoj.cn',26985) elf=ELF('./barop') p_rdi=0x400993 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] read_got=elf.got['read'] lbic=ELF('./libc-2.23.so') p.recvuntil("u!") ```python p.sen
privot函数使用
weixin_34007020的博客
03-20 2104
语法: table_source PIVOT( 聚合函数(value_column) FOR pivot_column IN(<column_list>) ) 将列转化为行 写个小示例 :比如按人统计该月份的考勤小时数 USE [test] GO /****** Object: Table [dbo].[KaoQin] Scrip...
privot和unpivot
weixin_33753845的博客
12-12 198
SELECT * FROM gh_zd_scjx sj --ghdm_id 可以随意名称--scjxdm,scjxmc 表中需要字段--unpivot 关键字(把列的位置转换成行) -- ghdm_id(随意名称) for(关键字) ghid(随意名称)-- in(zgghdm,ghdm2,ghdm1)表中字段SELECT ghdm_id,scjxdm,scjxmc ...
CTF|rop emporium pivot32 writeup (栈迁移题型)
skyattractive的博客
06-13 753
CTF|rop emporium pivot32 writeup (栈迁移题型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在栈溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivoting。 stack
栈溢出攻击:Smashing the Stack的原理与利用
"Smashing the Stack - 函数调用与栈溢出安全漏洞利用解析" 在计算机编程中,栈(Stack)是程序执行过程中的关键数据结构,它用于存储函数调用时的局部变量和返回地址。当一个函数被调用时,系统会在栈上分配空间来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值