pwn--栈迁移

本文介绍了如何利用栈溢出和Return Oriented Programming(ROP)技术进行栈迁移,以控制程序流程。实验中,通过填充栈并利用特定指令在不同栈帧间移动,泄露函数地址,并最终实现getshell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

栈迁移–ROP

本次实验我们使用lab4的可执行文件。

在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键:

  • 为什么使用栈迁移? #####
    #####
    由上图可知,程序开辟的堆栈大小是0x50字节,而read函数输入可以输入0x60字节,明显存在栈溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要栈迁移。

  • 使用栈迁移的关键是什么?
    使用栈迁移的关键在于leave指令,其相当于move rbp rsp , pop rbp两条指令,在每个函数运行完时最后一条指令通常为pop rbp,接着我们将ret指向的地址覆盖为leave,便可以根据我们的想法,控制$rbp的内容,从而控制程序流向。

  • sendsendline的区别
    在最开始我写的脚本中,所有的发送均用的sendline指令,由于sendline指令会在发送时自动添加 “/n”,即会在你的输入时多一个字节,这也导致了开始我每次填充时总会多一个"0a"的干扰,但是这也不是说sendline没有用,只用send便可以,有的输入函数是需要"/n"作为输入结束符的,所以发送时具体用哪种指令得视情况而定。

接下来我们讲讲getshell的实际过程:

1.终端输入 checkcsc lab4,查看栈保护.
#############checksec
已知,开启了栈保护,存在地址随机化,所以我们的第一步应该是填充堆栈,找到当前$rbp中的值,计算得到此时该值与read函数输入地址的差,即求得地址偏移量,因为地址存在随机化时,偏移量是保持不变的。

### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值