pwn --栈迁移

最新推荐文章于 2024-07-25 08:36:21 发布
最新推荐文章于 2024-07-25 08:36:21 发布
阅读量7k 收藏 19
点赞数 6
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79841848
版权
本文详细介绍了栈迁移技术,以解决栈溢出空间不足的问题。通过实例分析了HITCON-Training-master的lab6,展示了如何一步步劫持栈到不同位置,包括从main函数栈到bss段,利用puts泄露libc信息,最终通过read获取shell。栈迁移的关键步骤包括构造特定payload,改变栈布局,并利用特定gadget进行esp劫持。
摘要由CSDN通过智能技术生成

栈迁移主要是为了解决栈溢出可以溢出空间大小不足的问题

栈迁移的实现:

通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上

leave_ret相当于:

mov %ebp,%esp
pop %ebp
pop %eip

接下来拿HITCON-Training-master 的 lab6做例子

题目链接:https://github.com/scwuaptx/HITCON-Training

题目的防护机制:


开启了NX 

题目的hint是:stack migration 栈迁移

然后我们简单运行了下,程序输出了一句话,然后等待我们输入


查看了下ida反编译的代码



程序逻辑很清楚,先判断count的值是否等于1337,不等的话就执行exit()函数

然后count+&

最低0.47元/天 解锁文章
zs0zrc
关注
专栏目录
pwn--迁移
weixin_44642009的博客
04-17 995
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在栈溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
PWN——迁移
L2329794714的博客
08-29 1569
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-25 3243
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1875
更适合pwn入门新手体质的迁移教程
pwn入门之迁移
wangxunyu6的博客
03-08 1398
迁移可以用于处理栈溢出的情况。当栈溢出且可溢出长度不足以容纳 payload 时,可以通过迁移来构建一个新的空间以放下 payload。
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 685
BUUCTF-PWN-ciscn_2019_es_2 首查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
ctf pwn 题目
m0_64195960的博客
04-11 1428
2022年3月21迁移 这道题是迁移 1)checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
[PolarCTF]PWN-8字节能干什么
2301_79932273的博客
10-12 226
泄漏出ebp的值后,还需要计算一下相对的偏移。继续在ida里查看题目,还可以看到shell函数,但只提供了。,这里存在溢出,但是只能溢出8个字节,刚好覆盖。知道了偏移和ebp,就可以算出输入的起始地址。程序为32为elf文件,并开启了NX保护。,我们就可以根据相应的偏移来定位的位置。前的4个字节无所谓,可以随便填,此时。是需要根据输入长度进行计算的。的函数,溢出长度只有8字节无法构造。的值也打印出来,这就泄漏了。,计算便宜确定的位置;的地址已经无所谓了,所以。通过第一次输入输出泄露。
pwn-迁移-ROP
leeham的博客
08-23 4095
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的栈溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
[迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 405
前置知识: 迁移概念:当存在栈溢出且可溢出长度不足以容纳 payload 时,可采用迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的空间不足,所以要构建一个新的空间放下 payload ,因此称为迁移迁移原理:执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
迁移
weixin_44932880的博客
10-13 636
leave ret 原理 一次leave 将 rsp指向 原rbp+8 , rbp指向原rbp 的内容, move rsp rbp (rbp的地址赋值给rsp的地址,即rsp指向rbp) pop rbp (rbp指向rsp的内容(rbp的内容),rsp+=8) 一次ret rip指向原rsp的内容,rsp+=8 pop rip 一次leave ret 使rbp指向原rbp的内容,rsp指向 原rbp+16,rip指向原rbp+8 两次leave ret
[Black Watch 入群题]PWN迁移
wuyvle的博客
02-22 213
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后.
迁移浅析
qq_43409582的博客
11-23 4056
0x00 线下有道迁移的题目,因为当时没有好好学,对于迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首迁移就是因为可写空间太小不够rop,就把迁移到别的地方去构造payload。 而迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 从32位来理解迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持指针
Linux PWN技巧之迁移
小小鱼的博客
02-16 1833
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在栈溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首要理解leave和ret汇编指令的作用: lea
pwn】 关于迁移
wintersun的地带
05-19 3174
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值