栈迁移小总结

已于 2022-05-13 20:41:28 修改
阅读量406 收藏 1
点赞数
文章标签: pwn
于 2022-04-24 20:34:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61283545/article/details/123357599
版权

[Black Watch 入群题]PWN

ciscn_2019_es_2

特别注意,在第二次做题发现泄露ebp地址为什么与填充大小不同,经过gdb调试后发现,当填充到ebp是,ebp里面的值恰好是ebp的地址减0x10属于偶然情况,要注意使用gdb调试,还有一点在填写system的参数binsh是填入的是地址由于我们写入的binsh与s的初始举例为4的地址差,所以buf-0x38+0x4*3。

具体的过程网上都有太多了,仅在这里记录一下我自己的感想与想法,

1.栈迁移题目其实最重要的是理解esp.ebp栈顶栈底指针的变化,leave-ret指令的调用指针很重要,其次是调用两次leave之后,栈迁移的fake地址一定是要减去4,是因为有一次ebp指令没有用处。        

2.栈迁移题目中,分两个大类一种是栈迁移至bss段,还有一种便是迁移到可输入位置之前的地址,第一种迁移至bss段,有着固定格式,直接垃圾填充+ebp填入迁移地址+gadget-leave-ret,便可迁移至我们想要的bss段,第二种有printf语句但无bss段就可以先垃圾填充至ebp再输出ebp的地址,找偏移构造rop

3.还有一点非常重要的当迁移以后地址的第一位为函数调用时,会执行pop eip所以迁移地址要减0x4。

相关文章感谢

两题看栈迁移_沫忆末忆的博客-CSDN博客

栈迁移进阶

HITCON-Training-lab6

先放上解析和地址

https://github.com/scwuaptx/HITCON-Training

[栈迁移]stackoverflow:HITCON-Training LAB6_漫小牛的博客-CSDN博客

解决这类栈迁移最最重要的便是理解bp和sp是如何由leave_ret利用来进行变化的,

记录几个重点,read函数的参数输入(标准输入,地址,大小),之后跳一个地址进行read的输入

context的应用来找到recv的put_addr接受多少。最最最重要的还是感谢学长的指点。实践调程序才是基础重中之重。

osahha
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
迁移图解
qq_40410406的博客
11-11 1446
迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行溢出攻击,所以需要另寻出路。 2 溢出长度不足以使用直接 ROP 3 溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了不可执行保护,就需要迁移到bss段或者data段或者其他位置执行我们的gadge
深入ORACLE迁移到MYSQL的总结分析
09-10
《深入ORACLE迁移到MYSQL的总结分析》 在IT领域,数据库迁移是一项常见的任务,尤其在面临成本控制、性能优化或者技术转型时,从ORACLE迁移到MYSQL往往成为首选方案。然而,实际操作过程中,迁移并非易事,本文将...
迁移(Stack Pivoting)进阶
hackzkaq的博客
11-17 280
迁移(Stack Pivoting)是一种在漏洞利用中常见的技术,用于改变的正常行为,特别是在缓冲区溢出等安全漏洞的情况下。迁移的核心在于修改指针(如 x86 架构中 ESP 寄存器)的值,使其指向攻击者控制的数据区域。在实际应用中,我们常通过劫持ebp和esp将劫持到bss段。在迁移十分关键的就是对leave,ret;这段gadget的利用pop ebp;ret == pop eip #弹出顶数据给eip寄存器。
ciscn_2019_s_4-迁移
个人笔记
06-07 669
思路:由于无直接getshell的利用函数,溢出空间只有8字节(ebp+ret占用无法继续填充ROP了),所以需要迁移更大的空间来构造ROP。迁移位置:执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此迁移到s[40]数组的位置,先通过第一次打印泄露s[40]的起始地址。迁移核心(通过ROPGadget寻找。ebp位置:迁移位置-4(32位)ret位置:leave_ret。题目类型猜测:溢出,迁移。作用:赋值执行函数调用。
迁移原理介绍与应用
weixin_39529207的博客
02-20 4893
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
迁移浅析
qq_43409582的博客
11-23 3993
0x00 线下有道迁移的题目,因为当时没有好好学,对于迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先迁移就是因为可写空间太小不够rop,就把迁移到别的地方去构造payload。 而迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持指针
pbootcms小程序源码
05-25
总结起来,"pbootcms小程序源码"是一个利用ThinkPHP5和Vant构建的文章资讯类小程序框架,它的开源特性使得开发者可以轻松进行二次开发,快速搭建符合需求的小程序应用,尤其适合对时间效率有高要求的项目。...
微信红包封面小程序.zip
最新发布
06-15
总结来说,微信红包封面小程序的开发涉及前端和后端技术,包括UI设计、数据库管理、网络请求、版本控制等多个方面。开发者需要具备扎实的编程基础,对微信小程序平台有深入理解,并能灵活运用各种工具和框架来实现...
应用系统迁移方案.doc
09-12
以下是应用系统迁移方案的知识点总结: 一、迁移前的准备工作 * 需要对现有的应用系统进行分析和评估,以确定系统的当前状态和迁移的必要性。 * 需要确定迁移的目标平台或环境,并评估其对系统的影响。 * 需要制定...
代码迁移工具:gpt-migrate
02-05
总结来说,gpt-migrate是一个强大的代码迁移助手,它极大地提高了开发效率,减少了手动迁移可能带来的问题。通过深入理解和熟练使用gpt-migrate,开发者可以更加从容地应对技术更新,为项目的发展注入更多活力。在...
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1615
更适合pwn入门新手体质的迁移教程
迁移总结
2302_79899078的博客
03-13 1177
迁移,orw
迁移(以ciscn_2019_es_2为例,详细分析)
fzucaicai的博客
03-12 377
这里的stdin_addr其实指向的是我们刚刚写入的''/bin/sh” 的首地址,给system()函数提供参数,但是也许有人要问的是,那为什么不把’/bin/sh‘直接写在system函数的参数位?
[Black Watch 入群题]PWN-迁移
个人笔记
04-20 367
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
PWN——迁移
L2329794714的博客
08-29 1516
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
PWN入门之迁移
weixin_44681716的博客
04-24 2888
实验目的 在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell?使用迁移的方法便能解决这个问题。在这里用lab4的文件来举例。 实验文件 链接:https://pan.baidu.com/s/1CW0eZM-yFNZfOfqlLnxqCw 提取码:tmo3 实验步骤 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进...
迁移(ciscn_2019_es_2)
菊花的老窝
05-03 403
迁移顾名思义就是将原来的程序迁移到另一个地方,使得我们可以将构造的 ROP 链完整的填入。那么想要修改的位置,那么就需要修改寄存器 esp 和 ebp 的值。想要修改 esp 和 ebp 的值,我们需要用到leave和ret两个 gadget。
迁移:三种利用方法
2302_79813730的博客
02-03 1049
迁移一般用于溢出字节不够,但至少溢出0x10个字节,也就是用来覆盖rbp及返回地址,一般有两种方向:迁向原来的的迁移到bss段。在学习迁移之前,需要了解一下一个汇编指令:leave ret,他的作用可以拆分成两部分:mov rsp rbp pop rbp。leave ret的作用是用来清空的,在主函数最后都会有,但如果用两次会有怎样的效果呢借用了这篇。
Linux PWN技巧之迁移
小小鱼的博客
02-16 1780
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
springboot+vue项目迁移uniapp
07-27
总结起来,迁移 Spring Boot + Vue 项目到 Uniapp 可以通过创建一个新的 Uniapp 项目,并将原始的 Vue.js 代码复制到其中来实现。在 Uniapp 项目中,你可以使用微信小程序+uniapp+Vue 的前端技术进行开发。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值