pwn--栈迁移

最新推荐文章于 2025-07-07 17:31:24 发布
最新推荐文章于 2025-07-07 17:31:24 发布
阅读量1k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn_study
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44642009/article/details/89333699
本文介绍了如何利用栈溢出和Return Oriented Programming(ROP)技术进行栈迁移,以控制程序流程。实验中,通过填充栈并利用特定指令在不同栈帧间移动,泄露函数地址,并最终实现getshell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

栈迁移–ROP

本次实验我们使用lab4的可执行文件。

在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键:

  • 为什么使用栈迁移? #####
    #####
    由上图可知,程序开辟的堆栈大小是0x50字节,而read函数输入可以输入0x60字节,明显存在栈溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要栈迁移。

  • 使用栈迁移的关键是什么?
    使用栈迁移的关键在于leave指令,其相当于move rbp rsp , pop rbp两条指令,在每个函数运行完时最后一条指令通常为pop rbp,接着我们将ret指向的地址覆盖为leave,便可以根据我们的想法,控制$rbp的内容,从而控制程序流向。

  • sendsendline的区别
    在最开始我写的脚本中,所有的发送均用的sendline指令,由于sendline指令会在发送时自动添加 “/n”,即会在你的输入时多一个字节,这也导致了开始我每次填充时总会多一个"0a"的干扰,但是这也不是说sendline没有用,只用send便可以,有的输入函数是需要"/n"作为输入结束符的,所以发送时具体用哪种指令得视情况而定。

接下来我们讲讲getshell的实际过程:

1.终端输入 checkcsc lab4,查看栈保护.
#############checksec
已知,开启了栈保护,存在地址随机化,所以我们的第一步应该是填充堆栈,找到当前$rbp中的值,计算得到此时该值与read函数输入地址的差,即求得地址偏移量,因为地址存在随机化时,偏移量是保持不变的。

最低0.47元/天 解锁文章

200万优质内容无限畅学
pwn --迁移
zszcr的博客
04-07 7209
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
[CTF]PWN--沙盒中的迁移构造read利用
2301_79880752的博客
02-26 1334
我们需要在调试中寻找read函数的返回地址,将其作为读入的位置,因为我们后面要在这个构造的read函数中读入orw,我们将orw写入到read函数返回地址上,这样读入之后就可以直接执行orw获取权限,为了使程序运行成功我们可以先随便写一个bss地址作为读入位置。还记得我们一开始将读入位置迁到bss段上了吗,连接远程时程序运行时的生成地址可能会改变,但是,内存(bss)是不会变的,因此本题我们可以直接通过调试得到返回地址,而这个返回地址必然是bss段地址,也就是说在连接远程的时候是不会改变的。
巧借东风:32位迁移破解ciscn_2019_es_2的空间困局
最新发布
2301_76794844的博客
07-07 1006
巧借东风:32位迁移破解ciscn_2019_es_2的空间困局
PWN——迁移
L2329794714的博客
08-29 1764
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
ctf pwn 题目
m0_64195960的博客
04-11 1728
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
PWN入门之迁移
weixin_44681716的博客
04-24 3199
实验目的 在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell?使用迁移的方法便能解决这个问题。在这里用lab4的文件来举例。 实验文件 链接:https://pan.baidu.com/s/1CW0eZM-yFNZfOfqlLnxqCw 提取码:tmo3 实验步骤 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进...
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
[Black Watch 入群题]PWN迁移
wuyvle的博客
02-22 248
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后.
Linux PWN技巧之迁移
小小鱼的博客
02-16 2000
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
pwn-迁移-ROP
leeham的博客
08-23 4326
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 785
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 2768
更适合pwn入门新手体质的迁移教程
PWN · 迁移】[BUUCTF][Black Watch 入群题]PWN
Mr_Fmnwon的博客
08-01 604
进能够覆盖ebp和ret,很难不往迁移上想。 修改ebp和ret后我们可以将指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
[PWN]——迁移及部分基础
ysy___ysy的博客
04-18 1717
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
[迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 475
前置知识: 迁移概念:当存在溢出且可溢出长度不足以容纳 payload 时,可采用迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的空间不足,所以要构建一个新的空间放下 payload ,因此称为迁移迁移原理:执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
从一道简单的pwn题 认识 转移
qq_41071646的博客
04-27 568
这个题 好像是 bugku的 但是好像这个题 给换了 这个是 64位的程序 这个题 难搞点就是 空间不够 可以看的出来 我们s的地方是 rbp-0x10的地方 那么 返回地址 应该就是 rbp-0x18的地址 如果我们想把这个搞定 那么 要考虑一下 转移 转移 有很多高级的用法 这里 就浅显的说一些简单的 转移 转移 其实就是利用的是这两个...
cisn_2019_es_3——ROP迁移
weixin_44164182的博客
07-17 271
ROP迁移 通过leave和ret指令,将帧劫持到指定地址。一般用于存在溢出,但可溢出的字节数不足以写入完成ROP chain的情况。通过帧劫持,在可供写入的缓冲区内完成ROP chain构造,然后将帧劫持到指定地址,完成控制流劫持。 leave = mov esp,ebp pop ebp ret= pop eip 通过帧劫持,存在溢出的位置最少只需溢出两个dword(qword in x64)就可以完全控制程序执行流 如上程序,char s处存在两个dword的溢出,可以覆盖last_
pwn】 关于迁移
wintersun的地带
05-19 3430
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值