入门pwn-栈与栈溢出

最新推荐文章于 2024-05-16 21:11:40 发布
最新推荐文章于 2024-05-16 21:11:40 发布
阅读量574 收藏 5
点赞数 1
分类专栏: pwn ctf 二进制安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaosolll/article/details/108929033
版权
pwn 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
ctf
2 篇文章 0 订阅
订阅专栏
二进制安全
2 篇文章 0 订阅
订阅专栏

栈是计算机中一种先进后出的数据结构,先进入的数据进入(push)栈底,最后的数据在栈顶。当需要读取数据的时候从栈顶开始弹出(pop)数据。

进栈 Push
退栈 Pop

栈帧开辟详情

根据c语言常用调用协议 _cdecl协议。
函数从右向左传参。

32位程序用栈传参
64位是优先寄存器传参//6个以内RDI/RSI/RDX/RCX/R8/R9,六个使用完使用栈传参

#include<stdio.h>
void func(int n,int m)
{
        int  c=0;
        printf("%d%d",n,m);
}

int main()
{
     int a,b;
     a=2;
     b=1;
     func(a,b);
     printf("hello world!");
     return 0;
}

例如这个func()函数,有两个参数a和b。
则先push b,再push a。

传完参数,然后调用函数。在汇编语言中的指令是:call func

call func内部
1.先push ret(call func的下一条指令,知道怎么回来)
2.jmp函数执行

函数执行内部:

push rbp //保存栈[上一个栈帧的rbp],好恢复
mov rbp,rsp//抬高栈底
sub rsp,xxh//抬高栈顶给局部变量预留栈空间

执行完函数,要进行退栈,最后两行汇编代码
leave
ret

leave= mov esp,ebp pop ebp
ret =pop eip

                             栈的结构

栈的结构

栈溢出

栈溢出原理:程序向栈中某个变量中写入的字节数超过了这个变量所申请的字节数,导致与其相邻的栈中的变量的值被改变。

1.程序必须向栈上写入数据
2.写入的数据的大小没有被良好的控制

看下buuctf的warmup_csaw_2016

checksec 文件发现什么也没开
在这里插入图片描述
拖进ida分析看看,按tab/f5看反汇编代码。
在这里插入图片描述
发现有个漏洞函数gets()
看左边的函数表,几个没具体名字的函数点进去发现有个后门函数
在这里插入图片描述
确定思路,利用gets()函数覆盖返回地址为getshell的地址。
getshell的地址可以在函数表滑向右侧时的start列看见。
在这里插入图片描述

则payload=(0x40+0x8)*‘a’+p64(0x40060D)
在这里插入图片描述
payload=覆盖v5+覆盖rbp+目的地址
在这里插入图片描述
成功获取flag

假设题目没有给我们getshell()这种后门地址。
在程序可写可执行的时候–NX没开
可以在变量中写入shellcode,让rip指向变量的位置[ret的位置写入已经写入shellcode的变量的地址]。

详情看后文

rbp—64位程序
ebp—32位程序
p32()打包成32位
p64()打包成64位

jwj_tangerine
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
64位汇编入门
小喇叭儿滴滴的吹
06-20 6254
忽然间想记录一下64位的汇编...这里的话主要就是记录一下和32位汇编的一些比较大的差别,主要就是寄存器和函数调用这两方面,指令什么的话我觉得就遇到查就可以了,有时间的话整理吧。 首先先来看寄存器,如下图 对于上图而言,白色背景部分表示兼容x86的寄存器,支持所有的模式,而对于灰色部分而言,表示扩展的寄存器,只支持64位模式。 先来看通用寄存器,可以发现扩展了8个通用的寄存器,也就是R8-R15,并且由原先的32字节扩展为64个字节,总共16个寄存器 EAX -> RAX EBX -&g
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
linux 函数溢出,64位Linux下的溢出
weixin_30175731的博客
05-03 486
今天在看《捉虫日记》,其中讲解的Linux下的缓冲区溢出是32位机器的,和我的64位机器有些不同之处。下面是我在64位Linux (Ubuntu14) 下的缓冲区溢出实验的记录。首先是有溢出漏洞的程序,这个程序来自于《捉虫日记》。#includevoid overflow(char *arg){char buf[12];strcpy(buf, arg);}int main(int argc, ...
PWN unlink [pwnable.kr]CTF writeup题解系列14(包含本地解决方法)
重新启程
01-06 707
先看看题目内容: 这个题目是比较经典的unlink题目,网上已经有很多wp介绍了做法,我这里就不多阐述,只是把我对在不同操作系统版本下的理解和大家说一下。 我先把服务器的操作系统相关组件的版本和我自己本机用的docker的操作系统相关组件的版本信息列举一下: pwnable.kr # Linux prowl 4.4.179-0404179-generic #20190427043...
pwn(基础的溢出-上)
最新发布
2302_80935968的博客
05-16 785
编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量的特点:后进先出的数据结构,的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
PWN——迁移
L2329794714的博客
08-29 1515
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
Push, Pop, call, leave 和 Ret 指令图解
C++实习生
07-10 3834
指令图解:最近在研究如何在程序crash定位出错函数,补充的计算机系统基础知识。此篇主要是介绍IA32中重要的几个汇编指令(以AT&amp;T为例),详情请参考《深入计算机系统2》第三章第三节。PUSH 和 POP指令的汇编格式:PUSH SRC ;POP DST指令的基本功能:PUSH指令在程序中常用来暂存某些数据,而POP指令又可将这些数据恢复。PUSH 等价于:subl $4, %espmo......
PWN入门迁移-附件资源
03-02
PWN入门迁移-附件资源
一个简单的例子入门pwn-附件资源
03-05
一个简单的例子入门pwn-附件资源
Linux pwn入门教程(1)——溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——溢出基础
C++ 用户层下的用Push+Ret API HOOK
clubthree的专栏
03-19 1112
说道API HOOK ,这已经是老掉牙的技术了,但是它的实用性却是不能忽视的。虽然在网上这类的文章很多,但大多数的实现方法是将一个函数的前5字节直接改为 jmp XXXX 。这种方法虽然简单可行,但是不通用,因为一些特殊函数的前5字节不是完整的,如果直接修改,就会截断指令,导致出错。以前在一个论坛上看到过一个用反汇编引擎实现的通用例子,感觉想法很好,于是自己也写了一个。其中用到了一个头文件LDas
逆向知识第十四讲,(C语言完结)结构体在汇编中的表现形式
weixin_30394633的博客
12-01 337
              逆向知识第十四讲,(C语言完结)结构体在汇编中的表现形式 一丶了解什么是结构体,以及计算结构体成员的对其值以及总大小(类也是这样算) 结构体的特性   1.结构体(struct)是由一系列具有相同类型或不同类型的数据构成的数据集合   2.在C语言中,结构体(struct)指的是一种数据结构,是C语言中聚合数据类型(aggregate data type)...
【干活!反汇编逆向】关于JMP跳转的最高境界,无跳胜有跳 PUSH ret
追逐光芒,追随内心
04-02 507
68C028BB - FF 35 C4D8C368 - push [68C3D8C4] 68C028C1 - 83 04 24 1D - add dword ptr [esp],1D 68C028C5 - C3 - ret //返回到 [0x68C3D8C4]+0x1D
关于IA-32过程调用和其中的push、leave、ret指令
sakuraqwqqqqq的博客
12-29 1508
最近在复(yu)习(xi)《计算机系统基础》这门课程,发现了寄叽还是有很多问题。当时在学的时候没注意到的小细节,现在在这里展开说说,就当是一个记录寄叽学习的过程。我这个人理解能力不太行,我能理解的话,应该大噶看了都能明白。 过程调用的执行步骤 假定过程P调用过程Q,则P是调用者(caller),Q是被调用者。过程调用的执行步骤如下: ①P将入口参数(实参)放到Q能访问到的位置。 ②P将返回地址存到特定的地方,然后将控制转移到Q。(返回地址就是CALL指令的下一条指令的地址) ③Q保存P的现场,并为自己的
64位汇编第二讲——64位汇编中局部变量使用及抬方法29171230
weixin_30673715的博客
12-30 612
一.纯写64位汇编时局部变量处理和参数寄存器保存位置 纯写64位汇编和用VS2013写64位C代码生成的汇编会有一些格式上的区别,VS2013写64位C代码生成的汇编中是没用到基址寄存器rbp的,但是纯写汇编时只要申明了参数和使用了@LOCAL定义的局部变量,就会用到rbp。且看如下例子:1)用C写64位程序空函数生成的汇编代码, ;C代码 void FunTest2() ...
pwn入门溢出练习
dfdhxb995397的博客
09-10 914
本文原创作者:W1ngs,本文属i春秋原创奖励计划,未经许可禁止转载!前言:最近在入门pwn的溢出,做了一下jarvisoj里的一些ctf pwn题,感觉质量都很不错,难度循序渐进,把自己做题的思路和心得记录了一下,希望能给入门pwn的朋友带来点帮助和启发,大牛轻喷题目链接:https://www.jarvisoj.com/challenges1、level0(64位)代码<ig...
pwn--迁移
苗_的博客
08-26 518
七夕快乐~咕呱~ 前言 迁移主要是为了解决溢出溢出空间大小不足的问题,当我们的rop链过长时很可能空间不够,并且ebp之前的空间其实只是填充一些没什么用的数据 原理 与传统的pop_ret类似,迁移是利用level_ret这样的gadgets实现的迁移,都是寻找很小短的零碎代码,进行拼接。 关于gadget的定义: gadget在英文中意为小配件,在构造ROP链时,主要是指一对pop|ret指令,其功能在于可以配置一个寄存器的值,并返回至指定地址。常常用来在64位pwn的寄存器
【汇编】堆平衡、外平与内平
qq_52572621的博客
09-07 3068
如果要返父程序,则当我们在堆中进行堆操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入堆中的地址。也就是说我们的call指令调用函数之后,他的下一个地址会push到堆中,我们在函数中无论怎么操作堆,ret返回前堆必须指向的是call指令压入的地址。(这里我们假设函数参数不会操作堆,只是函数内容操作堆) 如果通过堆传递参数,那么函数执行完毕之后,要平衡参数导致的堆变化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值