栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧
涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp
esp:指向当前栈帧的顶部。
ebp:指向当前栈帧的底部。
eip:指向当前栈帧中执行的指令(可以理解为读取esp地址中所对应的信息)
要理解栈的运行过程,最核心是理解ebp/eip/esp的执行过程:
当父函数调用子函数前,栈状态:
ebp指向栈底,esp指向栈顶,函数开始压栈,esp不停减少,进行往低地址值的扩充(由于是高地址往低地址,所以不停的esp-2),压栈注意esp是不停递减,当遇见子函数时,首先扩充return addr,即父函数的栈顶的地址,放在子函数的return地址上,这一步是为了后续子函数执行完后,esp通过ret进行父函数的栈顶获取,eip就可以从父函数的栈顶位置执行。
当将return地址赋值后,继续压栈,此时ebp所指向的地址存于下一步栈中,并将下一步的栈的地址弹入ebp,ebp由此指向子函数的栈底位置,当指向后会将ebp寄存器的值赋予esp,如下图:
然后继续将变量参数等压入栈顶,esp继续-1进行低地址扩充
开始进行出栈读写操作:eip=esp,eip将esp的地址中指向的命令进行读取,逐步出栈,此时esp开始往低地址位靠近,当esp=ebp时,ebp读取现位置中存储的地址数据发生跳转,跳到父函数ebp处:
此时esp继续出栈,获取return addr,eip跳转至父函数栈顶位置,跳跃后eip继续从esp所含数据开始执行命令,就可以完成eip的函数执行步骤即:(此处要注意ret:即pop eip)
如此往复,压栈出栈就能构成函数之间的跳转执行,重点理解三个寄存器在函数调用中的具体步骤。
栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address的值返回rip/eip,以达到返回父函数的操作层面,所以我们只要设法将Return Address的值改变至危险函数的地址,我们就可以通过这个危险函数获得系统的控制权。
核心目标:将Return Address的值改变。
栈溢出方式:冲破漏洞处地址,再根据栈往高地址反写数据,覆盖掉callee的数据,最后一个数据包写入Return Address,即将我们需要运行的函数的地址写入Return Address。
正常情况如图所示,对某变量VAR进行数据写入,正常数据写入后EIP将指向pre ebp、return addr,当我们将VAR覆盖完毕后,如果程序中对VAR没有控制可输入量大小,如VAR空间分配为0X80,此时输入数据超过0X80后,剩余数据会往高地址覆盖,当继续输入4个字节,可覆盖掉pre ebp栈空间,继续输入4个地址,进一步会覆盖return addr。即:
payload = p32(0x80 + 4) + p32(后门函数地址)
return addr 是eip读取后会跳转执行的函数地址,即当我们将所想要的地址给与到return addr处时,会使程序执行我们所想要的后门函数。
buuctf rip 1题目通过IDA逆向:
可以知道gets函数漏洞,此时读取s地址空间
可知有15个字节,再对函数进行整体查找可以发现有后门函数fun(),地址为0x401186:
推测:构造payload=b'A'*(15+8) +p64(0x401186+1)进行攻击,开始攻击:
(64位系统下payload有时候不能直接生效,需要进行栈对齐,详见在一些64位的glibc的payload调用system函数失败问题 – Ex个人博客)
寻找ret地址:
得如下exp:
至此完成exp
534
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
