栈迁移原理深入理解及实战应用<\/h1>

前言<\/h2>
栈迁移技术主要用于解决栈溢出空间受限的情况。当题目只允许覆盖ebp和ret_addr等少量字节时，传统ROP链无法完整布置，此时需要通过栈迁移将栈转移到其他可控制区域（如bss段）来执行攻击。<\/p>

栈迁移核心原理<\/h2>

关键指令分析<\/h3>

栈迁移依赖于leave; ret<\/code>指令组合，这两个指令的功能如下：<\/p>



leave指令<\/strong>：<\/p>

等价于mov esp, ebp; pop ebp<\/code><\/li>
先将ebp值赋给esp，使esp和ebp指向同一地址<\/li>
然后弹出栈顶内容到ebp寄存器<\/li>
<\/ul>
<\/li>

ret指令<\/strong>：<\/p>

等价于pop eip<\/code><\/li>
将栈顶内容弹出到eip寄存器，作为下一条执行指令<\/li>
<\/ul>
<\/li>
<\/ol>
栈迁移执行流程<\/h3>


第一次leave;ret<\/strong>：<\/p>

mov esp, ebp<\/code>：esp和ebp指向同一地址<\/li>
pop ebp<\/code>：将栈顶内容（攻击者控制的迁移目标地址）存入ebp<\/li>
ret<\/code>：执行第二次leave;ret<\/li>
<\/ul>
<\/li>

第二次leave;ret<\/strong>：<\/p>

mov esp, ebp<\/code>：esp迁移到目标地址<\/li>
pop ebp<\/code>：弹出无用内容<\/li>
ret<\/code>：执行目标地址处的ROP链<\/li>
<\/ul>
<\/li>
<\/ol>
栈迁移实战案例<\/h2>
案例1：ciscn_2019_es_2（32位）<\/h3>
题目特点<\/h4>

32位程序，开启NX保护<\/li>
存在printf格式化字符串漏洞<\/li>
输入缓冲区仅40字节，但允许读入48字节<\/li>
<\/ul>
利用思路<\/h4>


泄露ebp地址<\/strong>：<\/p>

利用printf不自动补\0的特性，填满缓冲区泄露ebp<\/li>
<\/ul>
<\/li>

构造ROP链<\/strong>：<\/p>

在bss段布置system地址和"\/bin\/sh"字符串<\/li>
计算s参数地址与ebp的偏移（0x38）<\/li>
<\/ul>
<\/li>

栈迁移执行<\/strong>：<\/p>
pl2 =<\/span> 'aaaa'<\/span> +<\/span> p32(system) +<\/span> p32(1<\/span>) +<\/span> p32(binsh) +<\/span> "\/bin\/sh<\/span>\00<\/span>"<\/span>
<\/span><\/span>pl2 =<\/span> pl2.<\/span>ljust(0x28<\/span>,'p'<\/span>)
<\/span><\/span>pl2 +=<\/span> p32(s) +<\/span> p32(leave_ret)
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
关键点<\/h4>

使用send而非sendline避免添加\0截断<\/li>
精确计算binsh字符串位置（ebp-0x28）<\/li>
<\/ul>
案例2：gyctf_2020_borrowstack（64位）<\/h3>
题目特点<\/h4>

64位程序<\/li>
第一个read可溢出16字节（覆盖rbp和ret_addr）<\/li>
第二个read允许在bss段写入大量数据<\/li>
<\/ul>
利用思路<\/h4>


迁移到bss段<\/strong>：<\/p>

将栈迁移到bank+0xd0位置，避开关键区域<\/li>
<\/ul>
<\/li>

泄露libc地址<\/strong>：<\/p>
pl2 =<\/span> 'a'<\/span>*<\/span>0xd0<\/span> +<\/span> p64(0<\/span>) +<\/span> p64(rdi_addr) +<\/span> p64(puts_got) +<\/span> p64(puts_plt) +<\/span> p64(main)
<\/span><\/span><\/code><\/pre><\/li>

二次迁移执行onegadget<\/strong>：<\/p>
pl4 =<\/span> p64(0<\/span>) +<\/span> p64(one_gadget) +<\/span> p64(0<\/span>)*<\/span>10<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
关键点<\/h4>

bss段布局需避开got表等关键区域<\/li>
需要保持栈结构完整性（填充无用数据）<\/li>
<\/ul>
案例3：[Black Watch入群题]PWN<\/h3>
题目特点<\/h4>

第一个read无溢出，第二个read存在溢出<\/li>
需在bss段构造完整ROP链<\/li>
<\/ul>
利用思路<\/h4>


首次输入布置ROP<\/strong>：<\/p>
pl =<\/span> p32(0<\/span>) +<\/span> p32(puts_plt) +<\/span> p32(main) +<\/span> p32(puts_got)
<\/span><\/span><\/code><\/pre><\/li>

栈迁移泄露libc<\/strong>：<\/p>
pl2 =<\/span> 'a'<\/span>*<\/span>0x18<\/span> +<\/span> p32(s_addr) +<\/span> p32(leave_ret)
<\/span><\/span><\/code><\/pre><\/li>

二次迁移getshell<\/strong>：<\/p>
pl3 =<\/span> p32(0<\/span>) +<\/span> p32(system) +<\/span> p32(0<\/span>) +<\/span> p32(binsh)
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
通用利用技巧<\/h2>


地址计算<\/strong>：<\/p>

32位：参数地址通常为ebp-0x28<\/li>
64位：注意bss段与got表的距离<\/li>
<\/ul>
<\/li>

指令查找<\/strong>：<\/p>

leave; ret<\/code>指令可通过ROPgadget工具查找<\/li>
32位常见地址：0x080485FD<\/li>
64位常见地址：0x0000000000400699<\/li>
<\/ul>
<\/li>

输入方式选择<\/strong>：<\/p>

read函数：优先使用send<\/li>
gets\/scanf函数：必须使用sendline<\/li>
<\/ul>
<\/li>

栈结构维护<\/strong>：<\/p>

迁移后需保持栈平衡<\/li>
必要时填充无用数据（如p64(0)*10）<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
栈迁移技术通过精心控制ebp和esp寄存器，将执行环境转移到攻击者可控区域。关键在于：<\/p>

精确计算目标地址偏移<\/li>
合理布置两次leave;ret的执行流程<\/li>
根据题目特点选择适当的输入方式和栈结构维护方法<\/li>
<\/ol>
掌握栈迁移技术可有效解决栈溢出空间受限的难题，是现代pwn题中的重要攻击手段。<\/p>

栈迁移原理深入理解及实战应用<\/h1>

前言<\/h2> 栈迁移技术主要用于解决栈溢出空间受限的情况。当题目只允许覆盖ebp和ret_addr等少量字节时，传统ROP链无法完整布置，此时需要通过栈迁移将栈转移到其他可控制区域（如bss段）来执行攻击。<\/p>

栈迁移核心原理<\/h2>

栈迁移实战案例<\/h2>

案例1：ciscn_2019_es_2（32位）<\/h3>

案例2：gyctf_2020_borrowstack（64位）<\/h3>

案例3：[Black Watch入群题]PWN<\/h3>

前言<\/h2>
栈迁移技术主要用于解决栈溢出空间受限的情况。当题目只允许覆盖ebp和ret_addr等少量字节时，传统ROP链无法完整布置，此时需要通过栈迁移将栈转移到其他可控制区域（如bss段）来执行攻击。<\/p>