栈溢出学习(上)

最新推荐文章于 2024-07-08 12:28:19 发布
最新推荐文章于 2024-07-08 12:28:19 发布
阅读量187 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44223141/article/details/112093222
版权
本文介绍了栈溢出的基本原理,包括Shellcode和Return2libc两种常见技术。通过理解如何构造溢出数据,确定填充长度和目标地址,以及在动态库中寻找函数和字符串地址,读者可以掌握栈溢出攻击的基础知识。同时,文章通过一个简单的level2例题,展示了如何分析保护机制和构造exploit。
摘要由CSDN通过智能技术生成

栈溢出学习(上)

基础理论

Shellcode

修改返回地址,让其指向溢出数据中的一段指令

要完成的任务包括:在溢出数据内包含一段攻击指令,用攻击指令的起始地址覆盖掉返回地址。攻击指令一般都是用来打开 shell,从而可以获得当前进程的控制权,所以这类指令片段也被成为“shellcode”。shellcode 可以用汇编语言来写再转成对应的机器码,也可以上网搜索直接复制粘贴,这里就不再赘述。下面我们先写出溢出数据的组成,再确定对应的各部分填充进去。

payload : padding1 + address of shellcode + padding2 + shellcode

在这里插入图片描述

padding1 处的数据可以随意填充(注意如果利用字符串程序输入溢出数据不要包含 “\x00” ,否则向程序传入溢出数据时会造成截断),长度应该刚好覆盖函数的基地址。address of shellcode 是后面 shellcode 起始处的地址,用来覆盖返回地址。padding2 处的数据也可以随意填充,长度可以任意。shellcode 应该为十六进制的机器码格式。

根据上面的构造,我们要解决两个问题。

  1. 返回地址之前的填充数据(padding1)应该多长?

我们可以用调试工具(例如 gdb)查看汇编代码来确定这个距离,也可以在运行程序时用不断增加输入长度的方法来试探(如果返回地址被无效地址例如“AAAA”覆盖,程序会终止并报错)。

  1. shellcode起始地址应该是多少?

我们可以在调试工具里查看返回地址的位置(可以查看 ebp 的内容然后再加4(32位机)),可是在调试工具里的这个地址和正常运行时并不一致,这是运行时环境变量等因素有所不同造成的。所以这种情况下我们只能得到大致但不确切的 shellcode 起始地址,解决办法是在 padding2 里填充若干长度的 “\x90”。这个机器码对应的指令是 NOP (No Operation),也就是告诉 CPU 什么也不做,然后跳到下一条指令。有了这一段 NOP 的填充,只要返回地址能够命中这一段中的任意位置,都可以无副作用地跳转到 shellcode 的起始处,所以这种方法被称为 NOP Sled(中文含义是“滑雪橇”)。这样我们就可以通过增加 NOP 填充来配合试验 shellcode 起始地址。

最低0.47元/天 解锁文章
I'm five.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1477
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈某个变量写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
PWN栈溢出
u012173720的博客
11-21 553
Return2libc --修改返回地址,让其指向内存已有的某个函数 根据上面副标题的说明,要完成的任务包括:在内存确定某个函数的地址,并用其覆盖掉返回地址。由于 libc 动态链接库的函数被广泛使用,所以有很大概率可以在内存找到该动态库。同时由于该库包含了一些系统级的函数(例如 system() 等),所以通常使用这些系统级函数来获得当前进程的控制权。鉴于要执行的函数可能需要参数,比...
PWN入门之栈溢出
weixin_44681716的博客
03-12 1216
PWN入门 先利用IDA对pwn文件进行静态调试 对pwn文件进行反编译 因为CFT是夺旗赛,所以我们首先要找到get flag的函数 利用gdb进行动态调试 我们就可以利用栈溢出获取系统权限 利用通过输入大量的字符来使其达到溢出,判断溢出的位置,从而获得栈长。 我们利用cyclic length函数产生若干个有序字符。 利用cyclic 300产生300个有序字符。 用gdb来运...
PWN入门--栈溢出
yjh_fnu_ltn的博客
05-07 1099
将原main函数的ebp值栈低入栈保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的栈帧:通常使用与生成栈帧相反的指令。最后,在main函数删除栈(在调用者还是在被调用者清除栈,取决于函数的调用规定)。这次从栈的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用栈完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞,我们经常要用我们。
9.pwn 栈溢出(基本ROP)
最新发布
2301_80361487的博客
07-08 862
函数的存储在栈的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈同时存在着与函数调用参数的相关信息,栈溢出可以导致控制流劫持。
栈溢出学习(下)
I'm five的博客
01-09 205
栈溢出学习(下)基础理论ROP ( Return Oriented Programming )Hijack GOT 基础理论 ROP ( Return Oriented Programming ) 修改返回地址,让其指向内存已有的一段指令 要完成的任务包括:在内存确定某段指令的地址,并用其覆盖返回地址。 payload : padding + address of gadget 如果想连续执行若干段指令,就需要每个 gadget 执行完毕可以将控制权交给下一个 gadget。所以 gadget 的最后
栈溢出crash小合集
11-15
本资源“栈溢出crash小合集”包含了作者通过自动化模糊测试工具AFL(American Fuzzy Lop)发现的一系列栈溢出导致的程序崩溃案例,非常适合用于学习和实践漏洞分析。 栈溢出通常发生在程序当一个函数调用分配的栈...
缓冲区溢出(栈溢出
qq_20254219的博客
04-15 6505
栈溢出(缓冲区溢出) 在了解栈溢出之前,我们需要了解几个概念:堆栈是什么以及汇编语言的call指令的特点。 堆栈: ​ 堆栈是一个特定的存储器或寄存器,其本质就是存储数据的内存。在实际应用,堆栈会用于存储临时变、函数调用、断切换时保存和恢复现场数据。 ​ 如图所示,堆栈就是内存的某一片区域,每一个堆栈的内存单元都有唯一一个物理地址,且内存单元的大小都统一是4个字节大小。 并不是esp和ebp之间的范围才是堆栈,整个区域都是堆栈,而esp(栈顶)和esp(栈底)的作用只是定位数据的位置。
从零开始学习软件漏洞挖掘系列教程第二篇:栈溢出覆盖返回地址实践.pdf
01-31
当程序在栈上分配的局部变量空间不足以存储过多的数据时,就会发生栈溢出。由于栈是用于存储函数的返回地址、参数和局部变量的内存区域,因此攻击者可以利用栈溢出来覆盖返回地址,从而改变程序的执行流程,使得程序...
【C语言的栈溢出问题以及部分解决】
热门推荐
qq_64318258的博客
08-10 2万+
本文也提到尾递归优化,怎么扩大栈空间大小,VS优化选项修改的方法,以及解决“/O1”和“/RTC1”命令行选项不兼容问题。缓冲区溢出(Buffer overflow);内存溢出(memory overflow);数据溢出(data overflow)。本文只谈及缓冲区溢出的——栈溢出,即五种原因的介绍:①函数递归层次太深。②局部变量体积太大。③动态申请空间使用之后没有释放。④数组访问越界。⑤指针非法访问。...
linux 主进程栈溢出,[pwn] Linux栈溢出入门
weixin_39683858的博客
05-01 132
做题入门=。=菜呀,学习level-0aris教我checksec一下看是啥文件-w59232位的打开32位的ida主程序-w657ebp是栈底指针 esp是栈顶指针好奇为啥栈底指针在最高的地方aris说是为了最大化利用空间(懵逼)学习一下栈的知识只要覆盖0x44个字节把 v5覆盖了就行# coding=utf8from pwn import *context.log_level = 'debug...
Pwn基础学习1-[栈溢出]/篇1
m0_52343643的博客
03-14 7022
是缓冲区溢出的一种,当缓冲区数据大于缓冲区大小时,缓冲区之外的有用数据就会被多出去的缓冲区数据覆盖改写,从而可能导致程序崩溃。
PWN基础之函数调用栈和栈溢出
weixin_46132162的博客
12-28 1447
在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态函数调用栈在内存从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用栈是什么样的。
pwn(基础的栈溢出-上)
2302_80935968的博客
05-16 833
编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量栈的特点:后进先出的数据结构,栈的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。最初的8086寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
PWN入门(2)栈溢出基础
农夫果园好好喝的博客
06-29 828
PWN栈溢出基础。
攻防世界(Pwn) forgot---栈溢出;(方法一)
半岛铁盒的博客
03-02 689
介绍 这道题表面看起来有点复杂,其实很简单,有两种方法可以来做这一道题; 方法一 文件运行流程是: 1.先输入名字 2. 输入一串字符串 3.for循环验证字符串v5的值改变;4.返回v3[–5]函数; 1.溢出点 scanf函数 2.漏洞利用 最终返回的是 v3[--v5] 的一个函数, v5的值是在for循环之改变的;v5的初始值是1; 把函数返回的目的地改为   0x80486CC就可以了; 只要修改 v3[0]-v3[9] 其一个就可以了,这里选择修改v3[0] v3[--
【七日打卡】CTF是什么?一文带你读懂网络安全大赛
程序员阿飘 的博客
01-06 349
🖥栈是汇编语言的一种数据结构,遵循LIFO(Last in Fist Out)原则,即后进先出。🚍栈的主要操作:压栈(Push)、出栈(Pop)。📌注意:栈从高地址向低地址存储。
菜鸟PWN手进阶之栈溢出基础
re1wn
01-03 7219
菜鸟PWN手进阶之栈溢出基础
C++栈溢出原理与利用历史探讨
历史上,栈溢出的原理和利用方法最早由AlephOne在其1996年的文章《Smashing the Stack for Fun and Profit》系统阐述,该文章对于理解此类漏洞具有里程碑意义。 在C++栈溢出通常发生在未正确管理的动态内存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值