PWN基础知识及基础栈溢出手法

最新推荐文章于 2025-10-26 13:51:15 发布
原创 最新推荐文章于 2025-10-26 13:51:15 发布 · 4.4k 阅读 · 65 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #系统安全

本文详细介绍了栈溢出的概念、原理及其在x86和x64架构下的实现方法,包括return to libc技术、ROP(返回导向编程)以及GOT劫持。栈溢出涉及的主要寄存器、函数调用约定和危险函数也在文中进行了讲解,为理解安全漏洞和逆向工程提供了基础。

一、pwntools常用函数

函数 用途
send(data) 发送数据(字符串形式发送)
sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送)
recv(numb=1096,timeout=default) 接收指定字节数的数据
buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n
recvrepeat(timeout=default) 接收数据直到 EOF 或 timeout
recvall() 接收数据直到 EOF
recvline(keepends=True) 接收一行,可选择是否保留行尾的 \n
listen(端口) 开启一个本地的监听端口
remote(‘IP地址’, 端口) 与目标IP建立一个套接字管道与之远程交互(在线的)
interactive() 可同时读写管道,相当于回到 shell 模式进行交互,在取得 shell 之后调用
p8() p16() p32() p64() 把括号内数据打包成8位/16位/32位/64位的二进制数
u8() u16() u32() u64() 把括号内字符串解包成二进制数
process(‘文件路径’),p = process(argv=[‘./vuln’, payload]) 与本地文件建立一个交互通道,可传递参数
sendlineafter(“string”,payload) 接收到string后发送payload
close() 关闭交互的通道
ELF(‘文件路径’) 获取文件对象或者libc库对象
plt[‘函数名’] 获取函数在PLT表中的地址
got[‘函数名’] 获取函数在GOT表中的地址
symbols[‘函数名’]
或sym[‘函数名’]		 获取函数plt地址,用在libc里面就是获取libc里的偏移地址
asm(“汇编指令”) 把汇编指令转换成对应的机器码,机器码是以字符串形式返回
bss(offset) 返回 .bss 段加上 offset 后的地址
asm(shellcraft.amd64.linux.sh(),arch=‘amd64’)(这里是指明x64环境,如果已经有context设置环境就直接写为asm(shellcraft.sh())) 生成shellcode,一般与asm进行联用,转为对应机器码
context(arch='amd64’或‘i386’,os=‘linux’,log_level=‘debug’) 设置环境
gdb.attach(p,‘b* main’) 调动gdb进行脚本调式

栈溢出

一、x86架构下的栈溢出

栈区:简单来说就是c语言中创建的局部变量(例如函数花括号里的变量)的存储位置。内存中的栈区指的是系统栈,由系统自动维护。

栈在程序加载进内存后就会出现

入栈:每个函数都有一个属于自己的栈帧空间,最先压入栈内的是函数的返回地址(用来返回到下一条指令),之后是函数的基地址、参数入栈。例如主调函数在调用函数a时,主调函数先存入自身栈帧的为返回地址、自身基地址、传入函数a的实参(如果有的话),然后替函数a创建一个新栈帧,在新栈帧中先压入函数a的返回地址(为了函数调用结束时,可以返回到下一条指令继续程序),再压入主调函数的基地址(函数调用结束时,返回到主调函数的基地址)以及函数a中的局部变量。此时是高地址往低地址生长(主调函数在的位置为高地址)

退栈:而函数调用结束,则与调用时相反,先从被调函数的局部变量开始直接弹出栈,栈顶指向存储着被调函数基地址(存储主调函数基地址),被调函数基地址被弹出后,释放出主调函数的基地址给ebp,然后将返回地址弹出交给eip去执行,之后便返回到下一条指令的地址(这里举例为主调函数直接调用一个函数,如果层层嵌套,则先会返回到上一个主调函数的栈帧),继续程序的运行,ebp指向此刻的主调函数的基地址

系统中当前正在运行的函数总是在栈顶

与函数状态相关的主要寄存器:esp,ebp,eip:

(1)esp:栈指针寄存器,存放一个指针,该指针永远指向系统栈正在运行的栈帧的栈顶(存储函数调用栈的栈顶地址),在压栈和退栈时发生变化

(2)ebp:基地址指针寄存器,该指针永远指向系统栈正在运行的栈帧的底部,在函数运行时不变,可以用来索引确定函数参数或局部变量的位置

(3)在esp和ebp之间的内存空间为当前栈帧

(4)eip:用来存储即将执行的程序指令的地址,cpu 依照 eip 的存储内容读取指令并执行,eip 随之指向相邻的下一条指令

因此,所谓的栈溢出漏洞,就是利用一些危险函数进行读取远超一个变量所需的数值,覆盖到相邻栈中的数值,从而修改相邻栈中的变量的值,往这些修改的值中注入我们所需要的跳转的例如shellcode,函数地址等,使程序崩坏或是让程序执行一些我们想要执行的程序,达到破坏的目的

x86下的CPU包含的8个四字节的通用寄存器:

在这里插入图片描述

最低0.47元/天 解锁文章
网络安全基于XGCTF的PWN挑战:64位IDA逆向与漏洞利用技术解析及EXP编写示例
04-05
内容概要:本文档详细介绍了四个CTF挑战题目的解题思路与...阅读建议:本文档涉及大量底层技术和具体实现细节,建议读者在阅读时结合二进制安全基础知识进行深入理解,并尝试自己动手复现题目,从而提高实际操作能力。
Kernel pwn 基础教程之 ret2usr 与 bypass_smep
蚁景网安学院
03-17 484
在我们的pwn学习过程中,能够很明显的感觉到开发人员们为了阻止某些利用手段而增加的保护机制,往往这些保护机制又会引发出新的bypass技巧,像是我们非常熟悉的Shellcode与NX,NX与ROP。
Pwn基础学习1-[栈溢出]/篇1
m0_52343643的博客
03-14 7677
是缓冲区溢出的一种,当缓冲区数据大于缓冲区大小时,缓冲区之外的有用数据就会被多出去的缓冲区数据覆盖改写,从而可能导致程序崩溃。
PWN的知识之栈溢出
2301_80217770的博客
01-04 839
PWN的必备知识之栈溢出,一文带你读懂栈溢出
“无PWN不欢”网络安全沙龙演讲完整PPT资源
最新发布
weixin_32324637的博客
10-26 353
PWN作为二进制安全领域的核心技术,代表了对软件漏洞的深入挖掘与利用能力。它源自黑客文化中“own”的谐音,意指完全掌控目标系统。本章将系统阐述PWN的基本定义、发展历程及其在现代网络安全攻防对抗中的战略地位。通过剖析典型PWN攻击事件(如Heartbleed、Dirty COW),揭示其对操作系统、应用服务和关键基础设施构成的真实威胁。从红蓝对抗视角出发,PWN技术不仅支撑渗透测试与漏洞评估,更推动主动防御体系演进。
PWN入门--栈溢出
yjh_fnu_ltn的博客
05-07 1892
将原main函数的ebp值栈低入栈保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的栈帧:通常使用与生成栈帧相反的指令。最后,在main函数中删除栈(在调用者还是在被调用者中清除栈,取决于函数的调用规定)。这次从栈的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用栈完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 1582
栈溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
PWN入门之栈溢出
cyy001128的博客
12-13 1358
看了很多博客,自己总结下来就是以下几点:1.栈是用来存放局部变量的,例如函数的参数,返回地址,局部变量等,然后由系统自动分配释放2.在C语言中,将数据压入栈中用的是push,将数据弹出用的是pop3.先入栈的数据是在底部的,后入栈的数据在顶部,而去数据的时候又是从顶部开始的,总的来说 就是先进的后出,后进的先出4.递归调用用的是栈作为缓冲区。
PWN】03.Linux-User Mode-栈溢出-x86-基本ROP
weixin_52553215的博客
11-23 4441
检查保护:checksec 文件名 编译并关闭栈保护:gcc -no-pie -fno-stack-protector -z execstack -m32 -o read read.c 查看程序使用了哪些函数:objdump -t -j .test.read(推荐使用ida)
Linux pwn基础入门教程:环境配置到实战攻击
教程特别关注i386和amd64架构下的常见pwn手法,包括但不限于栈溢出、堆溢出、整数溢出、格式化字符串攻击和条件竞争。 教程特色在于提供了一个完整的学习路径,所有的环境都被封装在Docker镜像中,便于学生在不同...
PWN 栈溢出
u012173720的博客
11-21 1114
Beginning 如果想用栈溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令 0x01 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(ca...
PWN入门(2)栈溢出基础
农夫果园好好喝的博客
06-29 973
PWN栈溢出基础
Pwn基础知识
2301_80798825的博客
07-18 848
32位架构中有4GB的物理内存,当执行文件时,会出现一个或多个4GB的虚拟内存,但是实际上程序所占有的空间通常很小,所以执行的程序的总空间不超过4GB的时候可以出现多个虚拟内存。是自己的(不同的)剩余的1GB是内核空间,是共享的。shellcode :调用攻击目标的shell的代码,shell是一个提供用户与操作系统交互的命令行接口,有zsh,sh,bash。Stack : 动态存储区,程序栈,用来管理函数调用的状态。64位架构中128TB是内核空间,128TB是用户空间,剩下的是未被定义的空间。
pwn的一些基础知识
v_3483608762的博客
07-14 238
大佬总结的基础知识
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1708
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
pwn基础栈溢出-上)
2302_80935968的博客
05-16 1412
编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量栈的特点:后进先出的数据结构,栈的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
PWN基础知识总结
丰年留客的专栏
03-29 1762
0x00 Intro 这里记录一些在CTF PWN类题目经常要考虑的技术点,是一些与C/ASM相关,比较底层的东西。总结来说有: C和汇编之间的参数传递 栈的细节 64位程序参数传递 只有对这些细节都清楚了,那么利用时,如何构造Payload就没有想象中那么困难了。这里目前还是只限于x86-64架构。 0x01 C和汇编之间的参数传递 有编译器基础的都知道,GCC将C语言编译为机器语言中间有几个过程。 预处理(将宏展开) 汇编(将C代码转为汇编代码) 编译(将汇编转为机器码) 链接(将静态库,多个源文
【二进制安全PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
热门推荐
leah126的博客
07-25 1万+
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
PWN栈溢出
u012173720的博客
11-21 631
Return2libc --修改返回地址,让其指向内存中已有的某个函数 根据上面副标题的说明,要完成的任务包括:在内存中确定某个函数的地址,并用其覆盖掉返回地址。由于 libc 动态链接库中的函数被广泛使用,所以有很大概率可以在内存中找到该动态库。同时由于该库包含了一些系统级的函数(例如 system() 等),所以通常使用这些系统级函数来获得当前进程的控制权。鉴于要执行的函数可能需要参数,比...
win pwn基础知识
09-24
在网络安全领域,PWN 技术涵盖多方面内容,在 Windows 平台上,其基础知识包含以下要点: ### 内存管理 Windows 采用虚拟内存管理机制,每个进程都有独立的虚拟地址空间。理解虚拟地址和物理地址的映射关系,以及内存分页、堆和栈的布局是基础。例如,栈通常用于存储函数调用信息和局部变量,而堆则用于动态内存分配。掌握 Windows 的内存保护机制,如数据执行保护(DEP)、地址空间布局随机化(ASLR)等,这些机制会增加 PWN 攻击的难度。例如,ASLR 会随机化程序加载的基地址,使得攻击者难以预测关键函数和变量的地址 [^1]。 ### 漏洞类型 常见的 Windows 平台漏洞包括缓冲区溢出、格式化字符串漏洞、整数溢出等。缓冲区溢出是指当程序向缓冲区写入的数据超过其容量时,会覆盖相邻的内存区域,可能导致程序崩溃或执行恶意代码。格式化字符串漏洞则是由于程序错误地处理格式化字符串参数,攻击者可以利用该漏洞读取或修改内存中的数据 [^1]。 ### 调试工具 熟练使用 Windows 平台的调试工具,如 WinDbg、OllyDbg 等。WinDbg 是微软官方的强大调试器,可用于分析系统级问题和调试恶意软件。OllyDbg 则更适合用于调试用户模式下的程序,它提供了直观的界面和丰富的调试功能,如反汇编、内存查看、断点设置等 [^1]。 ### 利用技术 ROP(Return Oriented Programming)是 Windows 平台上常用的利用技术之一。它通过在程序的现有代码中寻找一系列的指令片段(gadgets),并将这些片段拼接起来,形成一段新的代码逻辑,从而绕过内存保护机制。例如,攻击者可以利用 ROP 链调用系统函数,实现执行任意代码的目的 [^1]。 ### 示例代码 以下是一个简单的 Windows 平台 PWN 示例代码(仅作概念演示,实际环境可能需要更多调整): ```python from pwn import * # 假设这是一个本地程序 io = process("vulnerable_program.exe") # 找到缓冲区溢出的偏移量 # 这里省略了具体的查找过程 offset = 100 # 找到目标函数的地址 target_addr = 0x12345678 # 构造 payload payload = b'A' * offset + p32(target_addr) # 发送 payload io.sendline(payload) # 打开交互页面 io.interactive() ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ShouCheng3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值