cisn_2019_es_3——ROP栈迁移

最新推荐文章于 2024-03-13 21:25:44 发布
最新推荐文章于 2024-03-13 21:25:44 发布
阅读量185 收藏
点赞数
分类专栏: ctf pwn 网络安全 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44164182/article/details/118856276
版权

ROP栈迁移

通过leave和ret指令,将栈帧劫持到指定地址。一般用于存在溢出,但可溢出的字节数不足以写入完成ROP chain的情况。通过栈帧劫持,在可供写入的缓冲区内完成ROP chain构造,然后将栈帧劫持到指定地址,完成控制流劫持。

leave =
mov esp,ebp
pop ebp


ret=
pop eip

通过栈帧劫持,存在栈溢出的位置最少只需溢出两个dword(qword in x64)就可以完全控制程序执行流

在这里插入图片描述

如上程序,char s处存在两个dword的溢出,可以覆盖last_ebp和ret_addr,不足以布置完整ROP chain。但char s共可以写入0x30个字节,可以将栈帧劫持到char s,并布置ROP chain。

程序中存在两个read+printf操作,可以泄露当前ebp地址,从而计算所需偏移。

最低0.47元/天 解锁文章
weixin_44164182
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn--迁移
weixin_44642009的博客
04-17 948
迁移ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
攻防世界-whoami-迁移-ROP
aptx4869_li的博客
12-25 965
攻防世界-whoami-迁移-ROP
pwn-迁移-ROP
leeham的博客
08-23 4015
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
ciscn_2019_s_3
qq_45691294的博客
12-29 2150
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在溢出 这里的
HCNP-Security_V2.0_CISN_实验手册.pdf
07-18
HCNP-Security_V2.0_CISN_实验手册.pdf
HCNP-Security_V2.0_CISN_实验手册
11-17
HCNP-Security_V2.0_CISN_实验手册.pdf
HCNP-Security V2.0 CISN 实验手册
03-09
HCNP-Security V2.0 CISN 实验手册
3HCNP题库(H12-222)_20180517(乱序).exe
04-26
HCIP-Security-CISN H12-721 160 HCIP-Security-CSSN H12-722 160 HCIP-Security-CTSS H12-723 160 HCIE-Security 笔试 H12-731 300 HCIE-Security 实验 H12-732 8000CNY HCIE-Security 面试 H12-733 SDN HCIA-SDN ...
HCNP-Security_CSSN_V2.0中文教材 
11-17
HCNP-Security_CSSN_V2.0中文教材.pdf
关于迁移的那些事儿
蚁景网安学院
07-27 427
现在的CTF比赛中很难在大型比赛中看到溢出类型的赛题,而即使遇到了也是多种利用方式组合出现,尤其以迁移配合其他利用方式来达到组合拳的效果,本篇文章意旨通过原理+例题的形式带领读者一步步理解迁移的原理以及在ctf中的应用。......
[Black Watch 入群题]PWN之迁移
wuyvle的博客
02-22 201
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后.
Linux PWN技巧之迁移
小小鱼的博客
02-16 1779
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
ciscn_2019_es_1 writeup
SkYe's Blog
10-24 700
基本情况 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 简单堆管理程序,有增删查功能。chunk 上限为 12 个,有 0x18 的结构体,又通过链表管理结构体。结构体如下: struct { void **chunk_ptr;//8bit size_t size;//4bit int number;//(12
迁移总结
最新发布
2302_79899078的博客
03-13 1158
迁移,orw
CTF|rop emporium pivot32 writeup (迁移题型)
skyattractive的博客
06-13 664
CTF|rop emporium pivot32 writeup (迁移题型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivoting。 stack
迁移
weixin_44932880的博客
10-13 603
leave ret 原理 一次leave 将 rsp指向 原rbp+8 , rbp指向原rbp 的内容, move rsp rbp (rbp的地址赋值给rsp的地址,即rsp指向rbp) pop rbp (rbp指向rsp的内容(rbp的内容),rsp+=8) 一次ret rip指向原rsp的内容,rsp+=8 pop rip 一次leave ret 使rbp指向原rbp的内容,rsp指向 原rbp+16,rip指向原rbp+8 两次leave ret
迁移浅析
qq_43409582的博客
11-23 3989
0x00 线下有道迁移的题目,因为当时没有好好学,对于迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先迁移就是因为可写空间太小不够rop,就把迁移到别的地方去构造payload。 而迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持指针
use after free 漏洞的利用方法(堆转堆然后rop
thesum的专栏
12-20 1118
http://drops.wooyun.org/papers/4077
hcip-security书籍
09-03
推荐一本关于HCIP-Security考试的书籍是《HCIP-Security-CISN(Huawei Certified ICT Professional-Security-Constructing Infrastructure of Security Network)》。这本书是华为官方推荐的教材,涵盖了HCIP-Security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值