菜鸟PWN手进阶之栈溢出基础

最新推荐文章于 2024-05-16 21:11:40 发布
最新推荐文章于 2024-05-16 21:11:40 发布
阅读量6.8k 收藏 7
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45055269/article/details/109767142
版权

目录

一、基础知识

栈的结构概述

编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量
栈的特点:后进先出的数据结构,栈的结构是从进程高地址向进程低地址生长

调用约定:

x32:函数的参数在函数返回地址上方,压栈的方式传参
x64:
.
rdi,rsi,rdx,rcx,r8,r9,(push to stack)
rdi,rsi,rdx,r10,r8,r9,(push to stack)for system call
内存地址小于0x00007FFFFFFFFFFF。6个字节长度

return values is stored in rax
x64函数调用

Stack Frame

function prologue

call 4004e7  //将下一行地址压入栈中

push rbp
mov  rbp,rsp
sub  rsp,0x10

栈结构
function epilogue

leave == mov rsp,rbp
         pop rbp
ret   == pop rip

function epilogue

整个流程执行完,栈的结构不变

Protection
Stack Guard(canary)

做完function prologue的时候会将随机生成的乱数塞入栈中,fuction return前会检查乱数是否有被动过,若发现动过立即结束程序

DEP(NX)

Data execution prevention
可执行的地方不能写,可写的地方不能执行

ASLR

Address Space Layout Randomization
每次程序执行时stack,heap,library的位置不一样

PIE

code和data一起跳来跳去

一句生成无保护程序的gcc
gcc ret2sc.c -m32 -fno-stack-protector -no-pie -z execstack -o ret2sc
ASLR关闭 改kernel文件

二、栈溢出类型

核心:通过控制返回地址控制程序的执行流程

(一)基础缓冲区溢出
条件:

程序必需向栈上写入数据
写入的数据大小没有被控制

栈溢出重要步骤
1.寻找危险函数
  • 输入
    gets,直接读取一行,忽略’\x00’
    scanf
    vscanf
  • 输出
    sprintf
  • 字符串
    strcpy,字符串复制,遇到’\x00’停止
    strcat,字符串拼接,遇到’\x00’停止
    bcopy
2.计算填充

打开IDA,看变量距EBP的值
我们的覆盖需求:

  • 覆盖函数返回地址
  • 覆盖栈上某变量的值
  • 覆盖bss段某变量的内容
  • 根据现实情况,覆盖特定的变量或地址的内容
(二)Basic Rop

ROP攻击的条件
-程序存在栈溢出,并且可以控制返回地址
-可以找到满足条件的gadgets以及相对的gadgets地址
(如果gadgets每次的地址是不固定的,我们就需要想办法获取对应的地址)

1.ret2text

有现成的system(’/bin/sh’),直接覆盖返回地址。

2.ret2shellcode

自己在某段可读可写的地方写shellcode,覆盖返回地址到此处

#自己构造开shell的syscall
sc=asm(
'''
mov  rbx,0x68732f6e69622f
push rbx
mov  rdi,rsp
xor  rsi,rsi
xor  rdx,rdx
mov  rax.0x3b
syscall
''')

#利用pwntools的shellcode
sc=asm(shellcraft.sh())
3.GOT Hijacking

绕过canary

Lazy Binding

因为不一定每个library function都会被执行到,所以采用lazy binding机制,当第一次执行到library function才会去寻找真正的address 并运行 binding

Global Offset Table

GOT为library function的指标阵列,因为lazy binding机制因此一开始不会知道真实位置,取而代之的是plt段的code

Lazy Binding Procedure

第一次加载
1
以后加载
在这里插入图片描述

GOT Hijacking

劫持got地址的值,程序执行常规的库函数时其实执行的是我们的shellcode。

RELRO(Relocation Read-Only)
  • Partial RELRO
    GOT 可写
  • Full RELRO
    load time时会将所有function resolve完毕
    GOT 不可写
    ROP系列
    ret2syscall
    ret2libc
4.ret2syscall

对抗NX
Return Oriented Programming
通过不断去执行包含ret的代码片段来达到想要的操作
这些包含ret的代码片段被称为gadget
execve
利用ROPgadget找到相应gadget按下面排列
叠法

5.ret2plt

程序中有system()函数
22

6.ret2libc

程序里没有execve(),system(),或者后门
开着NX
开着ASLR
把libc当gadget来用,通过实际地址减偏移找到libc_base
在libc里找gadget,这里的gadget都是偏移地址,所以实际地址是偏移地址+libc_base,叠gadget
或者用 one_gadget libc-2.27.so

北风~
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PWN基础知识及基础栈溢出
山高路远
04-12 3923
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
【七日打卡】Pwn栈溢出利用详解
阿道夫的博客
12-22 940
🖥是汇编语言中的一种数据结构,遵循LIFO(Last in Fist Out)原则,即后进先出。压(Push)、出(Pop)。📌注意:从高地址向低地址存储。
PWN入门--栈溢出
yjh_fnu_ltn的博客
05-07 982
将原main函数的ebp值低入保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的帧:通常使用与生成帧相反的指令。最后,在main函数中删除(在调用者还是在被调用者中清除,取决于函数的调用规定)。这次从的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
PWN 栈溢出
u012173720的博客
11-21 976
Beginning 如果想用栈溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令 0x01 函数调用是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“”是因为发生函数调用时,调用函数(caller)的状态被保存在内,被调用函数(ca...
PWN基础之函数调用栈溢出
weixin_46132162的博客
12-28 1398
在函数调用结束时,顶的函数(callee)状态被弹出,顶恢复到调用函数(caller)的状态函数调用在内存中从高地址向低地址生长,所以顶对应的内存地址在压时变小,退时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用是什么样的。
PWN 栈溢出基础【持续更新】
Luminous_song的博客
08-04 2283
栈溢出 基本 是一种先进后出的数据结构,主要有PUSH和POP两种操作,都是对顶元素进行操作 内存中从高地址向低地址生长,高地址为父函数的帧 当一个函数执行完毕时,程序要回到调用指令的下一条指令(紧接call指令)处继续执行。函数调用过程通常使用堆实现,每个用户态进程对应一个调用结构(call stack)。编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量 C语言函数调用 基础知识 以下知识点基于x86架构 EBP:帧基址指针寄
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出基础知识,并通过一个名为...
pwn栈溢出10道练习题有writeup
01-04
5. **堆溢出**:虽然题目主要关注栈溢出,但了解堆溢出也很重要,因为它与栈溢出有许多相似之处。堆是另一种动态内存分配区域,其溢出可能导致内存破坏,也可能影响到其他堆块。 6. **编写exploit**:掌握如何编写...
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
栈溢出 (1).pdf
09-30
栈溢出pwn的根本也是萌新入坑最好的方式,里面有栈溢出的根本原理等希望喜欢
简单的练栈溢出pwn100-附件资源
03-02
简单的练栈溢出pwn100-附件资源
pwn的一些基础.pdf
04-02
pwn入门的一些基础
PWN入门之数组越界-附件资源
03-02
PWN入门之数组越界-附件资源
browser_pwn:浏览器pwn,现在主要工作
03-22
这些漏洞可能涉及内存管理错误(如堆溢出、栈溢出或类型混淆),或者是引擎解析和执行JavaScript代码时的逻辑错误。一旦找到这些漏洞,攻击者可以构造特定的JavaScript代码来触发漏洞,从而获取更高的权限,甚至实现...
pwn基础栈溢出-上)
最新发布
2302_80935968的博客
05-16 786
编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量的特点:后进先出的数据结构,的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
浅谈PWN基础-栈溢出
qq_45751349的博客
04-04 692
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在,堆溢出发生在堆,其实都是一样的。 二、简介 是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入底,最后的数据在顶,需要读数据的时...
pwn栈溢出学习 基本ROP——ret2text
MrTreebook的博客
10-31 344
CTFWiki 栈溢出 ret2text 目录CTFWiki 栈溢出 ret2text1.checksec跑一下2.IDA pro看一下2.1 计算s相对ebp的偏移量2.2 看一下system函数3.gdb动态调试获取覆盖数据大小4.编写exp 1.checksec跑一下 NX enable :不可执行 对于这个题目来说执不执行都无所谓 2.IDA pro看一下 2.1 计算s相对ebp的偏移量 看到一个危险函数 gets() 看到[esp + 1ch] [ebp - 64h] 这个时候我们要
NJUPT PWN入门:理解栈溢出原理与利用方法
理解栈溢出原理和如何利用它们是黑客进行漏洞利用和Pwn技术的基础。掌握这些技巧对于网络安全研究人员、安全工程师以及漏洞评估者至关重要,因为他们需要识别和修复这类漏洞,以保护系统免受攻击。同时,对于学习Pwn...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值