栈迁移（详解）

原创

已于 2024-09-22 21:00:54 修改 · 831 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

于 2024-09-09 21:21:44 首次发布

栈迁移

原理

栈迁移主要利用了leave_ret这个指令

leave	返回上级函数时，恢复原本的栈空间	leave	mov esp,ebp pop ebp
ret	返回上级函数后，执行上级函数的命令	ret	等同于 pop eip (不存在这样的指令

esp
'''
ebp
ret

在函数的先执行到leave指令时，会将ebp处填充的地址pop到ebp中去，这样栈基地址发生了变化，在下次的栈位置就会发生变化

请添加图片描述

有个图对这些指令变化阐述的比较清楚

来自栈迁移的原理&&实战运用 - ZikH26 - 博客园 (cnblogs.com)

请添加图片描述

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

-yfy-

关注关注

10
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Spring Cloud 2025.0.0 Gateway迁移全过程详解

在技术的广袤天地里，本博客如精准罗盘。剖析前沿科技，深掘代码奥秘，以精炼笔触，带您穿越复杂技术迷宫，速达知识彼岸。

06-06

4702

Spring Cloud 2025.0.0 Gateway迁移指南本文介绍了Spring Cloud 2025.0.0版本中网关模块的重大变更及迁移要点。新版本进行了深度重构，带来了显著性能提升和云原生优化。主要变化包括：依赖项重命名，新增webflux/webmvc区分配置前缀统一调整，采用模块化命名规范核心类优化： ReactiveLoadBalancerClientFilter实现负载均衡 PathRoutePredicateFactory处理路由规则

PWN 栈迁移入门解说 [Black Watch 入群题]PWN

weixin_45441024的博客

11-30

816

PWN之栈迁移解说适用情况： 1.栈溢出的长度不足以让我们把ROP写进去 2.程序开启了栈的不可执行保护基础知识：我们栈迁移的目的就是将我们在栈上不可执行的链子转移到data段或者bss段上面，这里就需要用到leave;ret了，在这一类的题型中我们是构造并使用两次leave,来将ebp转移到我们构造的后门的起始位置。寻找leave;ret需要用到ROPgadget这个工具 $ ROPgadget --binary '/home/pwn/Desktop/bbys_tu_2016' --only

参与评论您还未登录，请先登录后发表或查看评论

菜鸡的栈迁移学习

weixin_50852871的博客

07-12

1893

在b站上和小猿的日常生活师傅学的栈迁移，学完后又跟着做了一篇笔记，师傅的所有课讲的真的都很好（小弟膜拜膜拜）

PWN——栈迁移

L2329794714的博客

08-29

1826

简单一句话就是控制esp指针的指向。实现指令：eave;ret 指令Leave等价于：其实就是在做栈恢复上一次栈空间的操作。但这过程中能恢复到上次的栈的关键数据为当前ebp指向地址上值（oldebp）,当我们通过溢出覆盖原本的oldebp值时，然后将leave;ret 程序段地址放在返回地址上，那么就可以实现将esp迁移至我们想要的地方（取决于oldebp上的覆盖的地址，注意这里会抬高4字节，64位抬8字节）。第一次leave第一次ret:因为esp还是指向leave;.........

栈迁移原理介绍与应用

weixin_39529207的博客

02-20

6219

本文将对CTF Pwn中「栈迁移」（又称「栈转移」）这一技术进行介绍与分析，希望读完本文后以下问题将不再困扰你：什么是栈迁移？栈迁移解决了什么问题？怎么使用栈迁移这个技巧？开始之前，有如下预备知识会极大提升你的阅读体验： CTF Pwn是在做什么？提权（Getshell）是什么意思？在操作系统内存布局中，栈是一种怎样的结构，具有怎样的特点？ x86中常用寄存器的名称与作用？函数调用栈的原理与过程是怎样的？栈溢出攻击的核心技巧是什么？栈溢出是怎么回事？在预备知识的4个问

【pwn】关于栈的迁移

wintersun的地带

05-19

3531

[pwn] 关于栈的迁移在我们仅仅只能够控制ebp的情况下，我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例，在使用call这个命令，进入一个函数的时候,程序会进行一系列栈操作: push eip+4;push ebp;mov ebp,esp;来保护现场，避免执行完函数后堆栈不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这

栈迁移图解

qq_40410406的博客

11-11

1772

栈迁移场景 1 如果程序的保护措施canary开启，会在prev ebp栈空间的下一个低地址存放一个随机值，当我们溢出时会将这个随机值覆盖，程序检测到这个随机值发生变化以后会自动退出（崩溃），此时就无法进行栈溢出攻击，所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断，且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护，就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge

栈迁移总结

2302_79899078的博客

03-13

2435

栈迁移，orw

【BUUCTFPWN】ciscn_2019_es_2 栈迁移栈劫持

m0_55368674的博客

01-16

1083

【BUUCTFPWN】ciscn_2019_es_2题解

51单片机RTX-Tiny2栈详解

最新发布

10-31

在嵌入式系统开发中，对51单片机编程是一个常见的基础任务。由于51单片机的资源有限，开发人员在进行多任务...通过文档中的图形化讲解和对栈迁移的深入分析，开发者能够更加直观地掌握RTOS下多任务管理和调度的机制。

栈迁移小总结

weixin_61283545的博客

04-24

508

[BUUCTF]PWN14——not_the_same_3dsctf_2016_mcmuyanga的博客-优快云博客

栈迁移

weixin_44932880的博客

10-13

763

leave ret 原理一次leave 将 rsp指向原rbp+8 , rbp指向原rbp 的内容, move rsp rbp （rbp的地址赋值给rsp的地址,即rsp指向rbp） pop rbp (rbp指向rsp的内容(rbp的内容)，rsp+=8) 一次ret rip指向原rsp的内容，rsp+=8 pop rip 一次leave ret 使rbp指向原rbp的内容,rsp指向原rbp+16，rip指向原rbp+8 两次leave ret

pwn --栈迁移

zszcr的博客

04-07

7268

栈迁移主要是为了解决栈溢出可以溢出空间大小不足的问题栈迁移的实现：通过将ebp覆盖成我们构造的fake_ebp ，然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于：mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接：https://github.com...

栈迁移（leave ret）（更适合pwn宝宝体质的栈迁移~）

Kata_Jhin的博客

05-15

3010

更适合pwn入门新手体质的栈迁移教程

栈迁移浅析

qq_43409582的博客

11-23

4310

0x00 线下有道栈迁移的题目，因为当时没有好好学，对于栈迁移这一块儿一知半解的，就没出，痛定思痛，在此就好好研究一下。 0x01 前置知识首先栈迁移就是因为可写空间太小不够rop，就把栈迁移到别的地方去构造payload。而栈迁移最重要的是两个汇编命令 leave； ret; leave相对于是mov esp，ebp；pop ebp； ret是pop eip; 0x02 stack pivoting 先从32位来理解栈迁移的利用原理。 stack pivoting，正如它所描述的，该技巧就是劫持栈指针

栈迁移学习

cyy001128的博客

03-31

1441

当存在栈溢出且可溢出长度不足以容纳 payload 时（在完成一般的栈溢出攻击时，有一个条件是“栈上有足够的地方让攻击者进行布局”），可采用栈迁移。一般这种情况下，溢出仅能覆盖 ebp 、 eip。因为原来的栈空间不足，所以要构建一个新的栈空间放下 payload ，因此称为栈迁移栈迁移往往在发生栈溢出的函数能够溢出的只有rbp与返回地址时进行，由于不能输入更多数据来构造rop链，一般会把栈迁往两个位置，一是原来的栈，二是.bss段。

关于栈迁移的那些事儿

蚁景网安学院

07-27

704

现在的CTF比赛中很难在大型比赛中看到栈溢出类型的赛题，而即使遇到了也是多种利用方式组合出现，尤其以栈迁移配合其他利用方式来达到组合拳的效果，本篇文章意旨通过原理+例题的形式带领读者一步步理解栈迁移的原理以及在ctf中的应用。......