pwn --栈迁移

最新推荐文章于 2025-06-27 17:44:08 发布
原创 最新推荐文章于 2025-06-27 17:44:08 发布 · 7.2k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了栈迁移技术,以解决栈溢出空间不足的问题。通过实例分析了HITCON-Training-master的lab6,展示了如何一步步劫持栈到不同位置,包括从main函数栈到bss段,利用puts泄露libc信息,最终通过read获取shell。栈迁移的关键步骤包括构造特定payload,改变栈布局,并利用特定gadget进行esp劫持。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

栈迁移主要是为了解决栈溢出可以溢出空间大小不足的问题

栈迁移的实现:

通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上

leave_ret相当于:

mov %ebp,%esp
pop %ebp
pop %eip

接下来拿HITCON-Training-master 的 lab6做例子

题目链接:https://github.com/scwuaptx/HITCON-Training

题目的防护机制:


开启了NX 

题目的hint是:stack migration 栈迁移

然后我们简单运行了下,程序输出了一句话,然后等待我们输入


查看了下ida反编译的代码



程序逻辑很清楚,先判断count的值是否等于1337,不等的话就执行exit()函数

然后count++,这说明我们不能重复利用main函数,即不能将返回地址设为main

然后输出一句话 ,再读入数据

很明显,再read()函数中存在栈溢

最低0.47元/天 解锁文章

200万优质内容无限畅学
pwn--迁移
weixin_44642009的博客
04-17 1089
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
[CTF]PWN--沙盒中的迁移构造read利用
2301_79880752的博客
02-26 1336
我们需要在调试中寻找read函数的返回地址,将其作为读入的位置,因为我们后面要在这个构造的read函数中读入orw,我们将orw写入到read函数返回地址上,这样读入之后就可以直接执行orw获取权限,为了使程序运行成功我们可以先随便写一个bss地址作为读入位置。还记得我们一开始将读入位置迁到bss段上了吗,连接远程时程序运行时的生成地址可能会改变,但是,内存(bss)是不会变的,因此本题我们可以直接通过调试得到返回地址,而这个返回地址必然是bss段地址,也就是说在连接远程的时候是不会改变的。
pwn迁移总结
weixin_66751120的博客
01-28 3006
迁移往往在发生溢出的函数能够溢出的只有rbp与返回地址时进行,由于不能输入更多数据来构造rop链,一般会把迁往两个位置,一是原来的,二是bss段。在了解迁移之前需要先了解两个汇编指令,这是进行迁移的关键,leave,ret,这两个一般在函数的最后都会出现,可以清空中内容。leave可以理解为mov rsp,rbp;pop rbp这两个汇编指令的效果综合,但只是效果几乎一样,但并不是真的由它俩组成,第一步就是把rbp的值赋给rsp,也就是在同一位置了;
【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
06-27 862
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
PWN——迁移
L2329794714的博客
08-29 1764
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
pwn-迁移-ROP
leeham的博客
08-23 4326
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 2770
更适合pwn入门新手体质的迁移教程
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 786
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
ctf pwn 题目
m0_64195960的博客
04-11 1729
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
[PWN]——迁移及部分基础
ysy___ysy的博客
04-18 1721
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
[迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 475
前置知识: 迁移概念:当存在溢出且可溢出长度不足以容纳 payload 时,可采用迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的空间不足,所以要构建一个新的空间放下 payload ,因此称为迁移迁移原理:执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
迁移
huzai9527的博客
02-22 625
迁移 1.为什么需要转移? 在空间不够存放payload的情况下,需要一个新的地址空间存放payload 开启PIE保护,地址未知,我们可以将劫持到已知的区域 2.概念 劫持的rsp(ESP),使其指向其他位置,形成一个伪造的,在此中做ROP 3.必要的gadget pop ebp;ret 释放EBP,并连接伪造的 leave;ret 更改ESP,指向后续的payload 4.原理 通过 pop ebp;ret + 伪造的程序直接跳转到伪造的里面,然后为了保持平衡
[Black Watch 入群题]PWN迁移
wuyvle的博客
02-22 248
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后.
迁移总结
2302_79899078的博客
03-13 2186
迁移,orw
迁移浅析
qq_43409582的博客
11-23 4245
0x00 线下有道迁移的题目,因为当时没有好好学,对于迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先迁移就是因为可写空间太小不够rop,就把迁移到别的地方去构造payload。 而迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持指针
Linux PWN技巧之迁移
小小鱼的博客
02-16 2001
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值