栈迁移到bss段

原创

已于 2024-12-30 12:30:35 修改 · 633 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#安全

于 2024-12-30 12:29:51 首次发布

以此博客强化对栈迁移的理解

题目:[NSSRound#14 Basic]rbp

观察IDA反汇编,只发现了一处溢出函数,且只溢出了16字节,明显的栈迁移.

再使用seccomp-tools检查沙箱保护,发现对execve调用进行了过滤,所以考虑进行orw.

在gdb中调试,寻找可读可写的bss段,因为我们要在bss段上布置rop链

发现自0x404000到0x405000段位于data,且可读可写,故将bss选在0x404800

开始payload的书写,本次的payload分为三段,分别起到:劫持rbp到bss,泄露got地址,进行orw

Payload1:

payload=b'a'*0x210+p64(bss)+p64(0x40127F)
io.sendafter(b"try it\n",payload)
io.recvline()

b'a'*0x210进行填充,bs

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

khighl

关注关注

7
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

pwn栈迁移总结

weixin_66751120的博客

01-28

3204

栈迁移往往在发生栈溢出的函数能够溢出的只有rbp与返回地址时进行，由于不能输入更多数据来构造rop链，一般会把栈迁往两个位置，一是原来的栈，二是bss段。在了解栈迁移之前需要先了解两个汇编指令，这是进行栈迁移的关键，leave，ret，这两个一般在函数的最后都会出现，可以清空栈中内容。leave可以理解为mov rsp,rbp；pop rbp这两个汇编指令的效果综合，但只是效果几乎一样，但并不是真的由它俩组成，第一步就是把rbp的值赋给rsp，也就是在同一位置了；

栈迁移（以ciscn_2019_es_2为例,详细分析）

fzucaicai的博客

03-12

575

这里的stdin_addr其实指向的是我们刚刚写入的''/bin/sh” 的首地址，给system()函数提供参数，但是也许有人要问的是，那为什么不把’/bin/sh‘直接写在system函数的参数位？

参与评论您还未登录，请先登录后发表或查看评论

[Black Watch 入群题]PWN（栈迁移到bss）

qq_33590156的博客

08-04

925

from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote('node3.buuoj.cn',25353) #ms = process("./spwn") elf = ELF('./spwn') bss_addr = 0x0804A300 lea_ret = 0x08048408 write_plt = elf.plt['write'] write_

pwn --栈迁移

zszcr的博客

04-07

7277

栈迁移主要是为了解决栈溢出可以溢出空间大小不足的问题栈迁移的实现：通过将ebp覆盖成我们构造的fake_ebp ，然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于：mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接：https://github.com...

栈迁移总结

2302_79899078的博客

03-13

2474

栈迁移，orw

栈迁移小总结

weixin_61283545的博客

04-24

514

[BUUCTF]PWN14——not_the_same_3dsctf_2016_mcmuyanga的博客-优快云博客

为什么栈迁移不建议迁移到bss段的首地址

02-28

嗯，用户问为什么栈迁移不建议迁移到bss段的首地址。我需要先回顾一下栈迁移的基本概念和目的。栈迁移通常是为了应对缓冲区溢出攻击中空间不足的情况，通过修改栈指针（如RBP、RSP）将栈转移到其他可控制的内存区域...

Linux PWN技巧之栈迁移

小小鱼的博客

02-16

2079

简介栈迁移简单将就是控制EBP/RBP、ESP/RSP寄存器，让栈帧指向一段我们可以控制的内存，从而实现控制栈上执行内容、控制程序执行流程的目的。栈迁移一般会将栈帧指向bss段（其他可读写内存段也可以），这种技巧是为了解决栈上空间太小，不够写入完整payload的情况。比如有个程序存在栈溢出的漏洞，但溢出的长度不够，只够覆盖到返回地址，不能读入完整的rop链，这种情况就可能要用到栈迁移的技巧了利用介绍以32位程序为例，描述一下栈迁移的核心思想。首先要理解leave和ret汇编指令的作用： lea

[Black Watch 入群题]PWN-栈迁移

个人笔记

04-20

975

细节详情参考：https://blog.youkuaiyun.com/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop，所以需要利用栈迁移技术，迁移到bss上构造rop。bss栈布局：(左边是第一泄露Libc构造栈帧，右边是第二次重写获取shell的栈帧)改变思路：由于此程序没有可直接ret利用的函数同时溢出空间很小，所以需要。栈迁移操作：构造好栈中ebp新位置。思路：ret2shellcode。栈迁移关键指令：leave。

关于栈溢出的栈迁移到bss段执行rop报错的问题

JackBoy的博客

11-14

765

把栈迁移到bss段后执行pop rdi jmp system 报 stopped with exit code -11 (SIGSEGV) 有个很猥琐的细节问题，读入的数据最好在栈的下方，不然即使执行到了最后一步也会报错

记一次栈迁移执行system函数时，栈空间不足的题

cainiao78777的博客

02-26

293

将读入的内容写到0x601f00-0x70的地方去，再利用下面的leave ret栈迁移到前面的地方去，我们在前面的地方写入我们的rop链。按照普通栈迁移的思路应该就是，第一次read读入rop链子，第二次读入使程序迁移到rop链子上去。这里我用的是onegadget，但是满足条件的没找到，那就构造满足条件的。这个就是通过pop rbx把rbx修改成0x601f00，再去进入到。那么既然只能执行一次，那就用onegadget，试过之后，会发现。执行到了不能访问的空间，所以这个应该就是行不通的了。

UNCTF 原神栈迁移

qq_36995313的博客

05-03

643

栈转移原生先回忆一下学长上次的解题要点讲解：数据在内存中，是没有指定格式的一些整型数据，刚好可以对应字符串利用已映射的字符串，作为system的参数如果找不出到题目真正的考点，或者写不出自动抽卡脚本，就只有用栈转移的暴力方法来做了程序分析拿到程序，首先checksec检查一下 No PIE,NO canary，意味着可以少写一点exp IDA ，F5直接定位到可导致栈溢出的函数：read() 因为只有NX保护，所以按理说是比较好getshell的，但是此处的read函数，只接受0x

pwn日记：栈迁移原理

2301_80140310的博客

01-12

1167

我们在做pwn题目的时候，常常会使用很多类似于rop之类的技巧，这些技巧往往对溢出长度有着很高的要求。但是有的时候，我们所能溢出的部分可能只有一个ebp和一个ret的地址，甚至有的时候只能溢出ebp，这个时候使用rop等技巧往往不能够getshell，这里所介绍的栈迁移，其实就是利用比较小的溢出条件，通过两次leave和ret去成功完成栈溢出利用。

Android逆向（六）找flag实例

shuwangyong的专栏

08-12

1512

典型的 Crake me 应用，废话不多说，开整。

栈迁移图解

qq_40410406的博客

11-11

1783

栈迁移场景 1 如果程序的保护措施canary开启，会在prev ebp栈空间的下一个低地址存放一个随机值，当我们溢出时会将这个随机值覆盖，程序检测到这个随机值发生变化以后会自动退出（崩溃），此时就无法进行栈溢出攻击，所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断，且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护，就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge

栈迁移过程记录，栈指针rsp、rbp、rip、leave变化过程

qq_39153421的博客

03-11

7430

栈迁移通过ROP leave_ret 改变ebp的值伪造栈，到达栈迁移的目的。下面就一个题目的一个payload进行调试，逐指令理解栈迁移的过程。这里只是通过ROP来实现，还有一种是通过ROP，向bss段伪造栈，这个以后再说。 stack=rbp-0x70 #指向当前栈顶 # ROPgadget --binary easy_ad --only "pop|ret" | grep rdi pop_rdi_ret=0x400953 fun_addr=0x400756 leave_ret=0x4007B5 pu

栈迁移浅析

qq_43409582的博客

11-23

4319

0x00 线下有道栈迁移的题目，因为当时没有好好学，对于栈迁移这一块儿一知半解的，就没出，痛定思痛，在此就好好研究一下。 0x01 前置知识首先栈迁移就是因为可写空间太小不够rop，就把栈迁移到别的地方去构造payload。而栈迁移最重要的是两个汇编命令 leave； ret; leave相对于是mov esp，ebp；pop ebp； ret是pop eip; 0x02 stack pivoting 先从32位来理解栈迁移的利用原理。 stack pivoting，正如它所描述的，该技巧就是劫持栈指针

栈迁移/栈劫持

chennbnbnb的博客

01-30

1083

例子 https://github.com/scwuaptx/HITCON-Training/tree/master/LAB/lab6 #include <stdio.h> #include <stdlib.h> #include <unistd.h> int count = 1337 ; int main(){ if(count != 13...

高压线防外破警示灯：电力安全与智能预警的守护者