入门pwn-栈与栈溢出

最新推荐文章于 2024-05-16 21:11:40 发布
最新推荐文章于 2024-05-16 21:11:40 发布
阅读量574 收藏 5
点赞数 1
分类专栏: pwn ctf 二进制安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaosolll/article/details/108929033
版权
pwn 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
ctf
2 篇文章 0 订阅
订阅专栏
二进制安全
2 篇文章 0 订阅
订阅专栏

栈是计算机中一种先进后出的数据结构,先进入的数据进入(push)栈底,最后的数据在栈顶。当需要读取数据的时候从栈顶开始弹出(pop)数据。

进栈 Push
退栈 Pop

栈帧开辟详情

根据c语言常用调用协议 _cdecl协议。
函数从右向左传参。

32位程序用栈传参
64位是优先寄存器传参//6个以内RDI/RSI/RDX/RCX/R8/R9,六个使用完使用栈传参

#include<stdio.h>
void func(int n,int m)
{
        int  c=0;
        printf("%d%d",n,m);
}

int main()
{
     int a,b;
     a=2;
     b=1;
     func(a,b);
     printf("hello world!");
     return 0;
}

例如这个func()函数,有两个参数a和b。
则先push b,再push a。

传完参数,然后调用函数。在汇编语言中的指令是:call func

call func内部
1.先push ret(call func的下一条指令,知道怎么回来)
2.jmp函数执行

函数执行内部:

push rbp //保存栈[上一个栈帧的rbp],好恢复
mov rbp,rsp//抬高栈底
sub rsp,xxh//抬高栈顶给局部变量预留栈空间

执行完函数,要进行退栈,最后两行汇编代码
leave
ret

leave= mov esp,ebp pop ebp
ret =pop eip

                             栈的结构

栈的结构

栈溢出

栈溢出原理:程序向栈中某个变量中写入的字节数超过了这个变量所申请的字节数,导致与其相邻的栈中的变量的值被改变。

1.程序必须向栈上写入数据
2.写入的数据的大小没有被良好的控制

看下buuctf的warmup_csaw_2016

checksec 文件发现什么也没开
在这里插入图片描述
拖进ida分析看看,按tab/f5看反汇编代码。
在这里插入图片描述
发现有个漏洞函数gets()
看左边的函数表,几个没具体名字的函数点进去发现有个后门函数
在这里插入图片描述
确定思路,利用gets()函数覆盖返回地址为getshell的地址。
getshell的地址可以在函数表滑向右侧时的start列看见。
在这里插入图片描述

则payload=(0x40+0x8)*‘a’+p64(0x40060D)
在这里插入图片描述
payload=覆盖v5+覆盖rbp+目的地址
在这里插入图片描述
成功获取flag

假设题目没有给我们getshell()这种后门地址。
在程序可写可执行的时候–NX没开
可以在变量中写入shellcode,让rip指向变量的位置[ret的位置写入已经写入shellcode的变量的地址]。

详情看后文

rbp—64位程序
ebp—32位程序
p32()打包成32位
p64()打包成64位

jwj_tangerine
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn学习笔记(1)函数调用相关知识及常用攻击手段(更新中)
独沐晨霖
08-22 1039
注: 少部分图片是自己绘制,大部分图片来自学习资料或网络和其他大师傅,且含有个人修改批注,仅用于个人记录和学习使用 主体以x86架构进行记录,AMD64的不同之处特殊说明 如有谬误烦请师傅指正,感激之至 文章目录函数调用是怎样一种结构函数调用结构的具体细节虚拟内存中所处位置帧(Stack Frame)程序运行时函数调用的变化相关寄存器运行过程及变化1. 调用子函数时的步骤2. 返回父函数时的步骤一些注意事项 函数调用是怎样一种结构 函数调用是指程序运行时内存一段连续的区域,用来保存函数
以传值方式传参数引发的栈溢出
weixin_30551963的博客
07-02 268
考虑到性能问题,如果是自定义的class对象,一般都会以传引用/地址的方式传递参数。如果按照这样的信条写程序,就不会遇到下面遇到的问题了。最近在帮一个朋友查看一个bug,现象是这样的:执行一个函数的时候,抛出一个stack overflow的异常。在函数体的第一行设置端点,执行的时候,程序停止响应。在函数外部设置断点,step in根本就进不去。细一看,这个函数以传值的方式传入了一个自定义的对...
pwn(基础的栈溢出-上)
最新发布
2302_80935968的博客
05-16 785
编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量的特点:后进先出的数据结构,的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
PWN——迁移
L2329794714的博客
08-29 1515
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
闭关学pwn第一天——了解数据结构中的(文末彩蛋)
mid2dog
11-21 956
pwn的writeup ,发现都看不懂= = 那些大佬的wp看起来跟参考答案是略没什么区别啊(雾)!! 然后决定从最基本的学起来,每天补一点知识,一边闭关一边刷题。 听说栈溢出挺简单的(当我没说----by三小时以后的我),那就先从学开始吧。 ——————————————————————————————————— 了解 上百度 注:按顺序食用效果更佳 1.生动形象说明了 超生动,超级形象 ...
64位汇编第二讲——64位汇编中局部变量使用及抬方法29171230
weixin_30673715的博客
12-30 612
一.纯写64位汇编时局部变量处理和参数寄存器保存位置 纯写64位汇编和用VS2013写64位C代码生成的汇编会有一些格式上的区别,VS2013写64位C代码生成的汇编中是没用到基址寄存器rbp的,但是纯写汇编时只要申明了参数和使用了@LOCAL定义的局部变量,就会用到rbp。且看如下例子:1)用C写64位程序空函数生成的汇编代码, ;C代码 void FunTest2() ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWN入门迁移-附件资源
03-02
PWN入门迁移-附件资源
一个简单的例子入门pwn-附件资源
03-05
一个简单的例子入门pwn-附件资源
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn刷题num24----ret2libc + 平衡
tbsqigongzi的博客
04-26 1165
BUUCTF-PWN-ciscn_2019_c_1 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,有三个选择, 欢迎来到这台加密机 1.加密 2.解密 3.退出 选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。 ida看一
PWN 栈溢出
u012173720的博客
11-21 976
Beginning 如果想用栈溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令 0x01 函数调用是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“”是因为发生函数调用时,调用函数(caller)的状态被保存在内,被调用函数(ca...
菜鸟PWN手进阶之栈溢出基础
re1wn
01-03 6837
菜鸟PWN手进阶之栈溢出基础
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆是少不了的。要知道函数调用的时候,中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1428
PWN入门系列(2) 栈溢出 栈溢出指的是程序向中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
汇编指令push,mov,call,pop,leave,ret建立与释放的过程
liu_if_else的博客
05-28 2万+
感觉这东西有点烧脑,花了一下午时间终于整个捋顺了整个流程。 想理解好此过程,理解每个指令的作用,必须结合指令行地址,地址和寄存器一起来分析,否则很容易被绕晕。 大图图片说明:内存地址,汇编指令都为简写,用的十进制,空间1个格子大小是4*8=32位(对应32位操作系统),指令行长度应为1-6字节,都简化为1字节。为了简化汇编指令行,函数都没有参数。实际执行顺序一列中,左边为寄存器或空间地址,
PWN学习总结
windy_ll的博客
12-26 1796
一、栈溢出原理     什么是栈溢出栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖上不是程序希望写
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
NJUPT PWN入门:理解栈溢出原理与利用方法
栈溢出是计算机安全领域中一个重要的概念,尤其是在逆向工程(Pwn)中扮演着关键角色...同时,对于学习Pwn或逆向工程的人来说,掌握栈溢出的利用方法是入门阶段的重要挑战,也是进一步深入研究其他漏洞利用技术的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值