栈溢出计算偏移量

最新推荐文章于 2024-06-28 17:00:42 发布
最新推荐文章于 2024-06-28 17:00:42 发布
阅读量3.5k 收藏 38
点赞数 6
分类专栏: PWN工具的使用 文章标签: linux git github pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62675330/article/details/123344386
版权
本文介绍了四种计算栈溢出攻击中偏移量的方法:通过GDB调试、GDB-peda的patterncreate和patternoffset、PWNtools的cyclic以及IDA静态分析。强调了在实际操作中应以调试结果为准,并提供了每种方法的具体步骤和注意事项。
摘要由CSDN通过智能技术生成

栈溢出计算偏移量

一,GDB调试出偏移量

 0x8048677 <main+95>     lea    eax, [esp + 0x1c]
   0x804867b <main+99>     mov    dword ptr [esp], eax
 ► 0x804867e <main+102>    call   gets@plt

通过这一串汇编指令可以看出来,此时起始地址相对于esp的偏移为0x1c,只要查看这时候的esp和ebp的寄存器就可以知道偏移量为多少。

EBP  0xffffcfb8 ◂— 0x0
ESP  0xffffcf30 —▸ 0xffffcf4c ◂— 0x0

这里就可以算出来起始地址相对于返回地址的偏移为0xffffcfb8 - 0xffffcf30 - 0x1c + 4。为112。这里的加四为ebp的值,在返回地址前还有一个ebp的值也要覆盖。

二,GDB-peda计算偏移量

  • 使用gdb运行程序

    gdb ./pwn

  • 生成溢出字符串

    ($gdb-peda) pattern create 200

    长度需要保证可以溢出覆盖至RIP

  • 运行至输入点

    ($gdb-peda) c

    输入生成的溢出字符串,回车后报错

    复制栈顶前四个字节(64 bits为前8个字节)

  • 计算偏移量

    ($gdb-peda) pattern offset [xxxx]

偏移量显示出来后,重新运行程序至输入点,输入offset‘A’,然后回车至报错停下,查看是否为预期的ebp被覆盖、eip正常,根据结果调整offset的长度*。算出来的偏移不一定对,以调试的为准。

三,PWNtools—cyclic计算偏移量

# 生成132个字符
$ cyclic 132
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaab

# 报错
$ ./level0      
Hello, World
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaab
zsh: segmentation fault  ./level0

# 查看长度
$ cyclic -l haab 
128

cycli是pwntools的工具,但是算出来的偏移量不一定对,以gdb调试的为准。

四,利用ida计算偏移量

-00000064 s               db 100 dup(?)
+00000000  s              db 4 dup(?)
+00000004  r              db 4 dup(?)
+00000008 argc            dd ?
+0000000C argv            dd ?                    ; offset
+00000010 envp            dd ?                    ; offset

用返回地址减去起始地址求得偏移量,这里s相对于返回地址得偏移量为0x68,但是这里面计算出来得偏移量可能是不对的。最好还是以调试出来的偏移量为准。

coke_pwn
关注
专栏目录
2019.7.26 攻防世界Stack2 以及gdb 和IDA算偏移
DSR446的博客
08-19 2510
我们很明显这里有一个数组越界的漏洞我们可以利用。 [这个博客写的很详细]https://blog.csdn.net/qq_41071646/article/details/86600053 下面我就只介绍一下怎么算的偏移。 ...
gdb 显示结构体中成员的偏移量
邓永坚的blog
08-08 9777
在分析死机问题时,经常要阅读汇编代码,局部变量,或者形参经常是结构体指针变量 static inline void __rb_change_child(struct rb_node *old, struct rb_node *new, struct rb_node *parent, struct rb_root *root) { if (parent) {
PWN栈溢出----偏移的计算
m0_53932372的博客
08-03 2069
就目前遇到的栈溢出题目而言,使用ida就可以完成便宜的计算。 这些栈溢出题目,基本上不需要调试,ida本身提供的栈空间数据就可以实现偏移的计算。 BUUCTF:bjdctf_2020_babystack2 这道题目,我们看ida: 具体做法不细说,主要看偏移: buf和nbyte 看栈空间: 下方没有s只有r,而r就是返回地址 给了后门函数,那就利用read函数,达到缓冲区溢出的目的。 +0x8-(-0x10)=0x18=24 偏移就是二十四。 以上只是本人拙见,栈溢出偏移困扰了我很久,希望这次不会
PWN入门学习之简单的栈溢出
最新发布
2301_80718478的博客
06-28 699
栈溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
【Tips】使用gdb-peda进行RIP覆盖点偏移量计算
BAKUMANSEC - Just Do It
08-15 2487
【Tips】使用gdb-peda进行RIP覆盖点偏移量计算 首先运行程序 ./pwn1 查看进程PID ps -aux || grep pwn1 使用gdb开始调试 sudo gdb attach进程 ($gdb-peda) attach [PID] 生成溢出字符串 ($gdb-peda) pattern create 200 长度需要保证可以溢出覆盖至RIP 运行至...
[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量
Dem1的博客
04-09 819
正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78
PWN栈溢出
u012173720的博客
11-21 556
Return2libc --修改返回地址,让其指向内存中已有的某个函数 根据上面副标题的说明,要完成的任务包括:在内存中确定某个函数的地址,并用其覆盖掉返回地址。由于 libc 动态链接库中的函数被广泛使用,所以有很大概率可以在内存中找到该动态库。同时由于该库包含了一些系统级的函数(例如 system() 等),所以通常使用这些系统级函数来获得当前进程的控制权。鉴于要执行的函数可能需要参数,比...
初识栈溢出及利用栈溢出的四种攻击方法
Kni9hT's Blog
07-22 5848
栈溢出 本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址 覆盖栈上的变量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode 以python语言举例, 运行报错。 据我理解,在python中,函数调用一次,栈(stack)多加一层栈帧,由于栈帧的增加有上限,函数调用次数过多会导致栈溢出。(在c语...
gdb 查看是否 栈溢出_入坑 CTF-PWN栈溢出入门
weixin_36064196的博客
01-17 762
好久没看过pwn题目了,写一个入门的教程顺便复习了:1. 安装gdb-pedagit clone https://github.com/longld/peda.git ~/pedaecho "source ~/peda/peda.py" >> ~/.gdbinitecho "DONE! debug your program with gdb and enjoy"2. 一些比较有用的技巧...
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1915
一个小白的慢慢理会过程
PWN基础知识及基础栈溢出手法
山高路远
04-12 4045
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
pwn栈溢出10道练习题有writeup
01-04
6. **编写exploit**:掌握如何编写exploit(攻击脚本)是关键,这通常涉及到计算偏移量、构造payload(payload是用于利用漏洞的恶意数据)以及处理各种安全机制。 7. **writeup的价值**:提供的writeup将详细解释每...
快速计算栈溢出长度
kelxLZ的博客
11-27 1359
Author:ZERO-A-ONE Date:2021-11-27 之前看到网上很多在编写栈溢出的时候计算栈溢出长度的文章,很多工具或者方法放到现在以及没有办法使用了,我经常使用的工具是pwndbg里面调用pwntools的cyclic工具 我们以CTF Wiki里面的示例程序stack-example为例子 首先用IDA找到溢出函数gets的下一个地址为0x804849f,打断点 b *0x804849f 然后使用cyclic工具生成测试字符串 pwndbg> cyclic 200 aaaab.
gdb插件peda
热门推荐
SsMing的博客
05-20 1万+
1.gdb-peda这是一个调试时必不可少的神器,github地址在:https://github.com/longld/peda ,它的安装两条简单命令即可完成:1.git clone https://github.com/longld/peda.git ~/peda2.echo "source ~/peda/peda.py" &gt;&gt; ~/.gdbinitpeda的一个实用命令chec...
GDB调试
wang_chen00的专栏
03-11 1102
文章出处http://www.cppblog.com/baby-fly/archive/2010/07/27/121395.html  GDB的使用方法——5 2008/07/22 12:47   [gcc/g++/gdb等开发调试诊断工具 ] 查看源程序 ----- 一、显示源代码 GDB 可以打印出所调试程序的源代码,当然,在程序编译时一定要加上-g的参数
pwngdb的基本使用
weixin_43723991的博客
03-08 5287
pwngdb 文件名 : 调式文件 r 运行 disass 函数名 :查看函数的反汇编代码 b 函数名/*地址:下断点(地址前面要加**号) i (空格)b :查看断点 d(空格) 断点编号 :删除断点 ...
【逆向基础】四、IDA使用技巧随记
幸福之家的博客
03-21 1185
计算PE文件偏移地址
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4942
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
c++ 检测栈的剩余空间
05-28
C++标准库没有提供直接检测栈剩余空间的方法。但是,可以通过计算当前栈顶指针与栈底指针之间的偏移量来估算栈的剩余空间。为了避免栈溢出,我们应该谨慎处理栈空间的使用。 下面是一个简单的示例代码,可以用来估算栈的剩余空间: ```c++ #include <iostream> #include <cstdlib> using namespace std; int main() { int stack_top; int stack_bottom; int stack_size; // 获取栈顶指针位置 stack_top = reinterpret_cast<int>(&stack_top); // 获取栈底指针位置 stack_bottom = reinterpret_cast<int>(&stack_bottom); // 计算栈的大小 stack_size = stack_bottom - stack_top; cout << "Stack size: " << stack_size << " bytes" << endl; return 0; } ``` 需要注意的是,这种方法只是粗略估算栈的剩余空间,实际剩余空间可能会因为一些难以预测的因素而发生变化。因此,我们还是应该避免过度依赖栈空间,以免出现栈溢出等问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值