栈平衡和栈转移(Stack-Pivot)

栈平衡

为什么要堆栈平衡

因为要保持栈的大小，使ESP始终指向栈顶

概念

• 函数如果要返回父程序，则在堆栈中进行操作的时候，一定要在RET指令之前，将ESP指向函数压入栈中时的地址
• 如果通过堆栈传递参数了，那么在函数执行完毕后，要平衡参数导致的堆栈变化

代码示意

//ESP 为 NN  
push  p2               			//ESP=NN-4
push  p1               			//ESP=NN-8
call test              			//ESP=NN-0C   
{                    			//进入函数内
push  ebp              			//ESP=NN-10
mov  ebp, esp          			//EBP 指向 栈顶  EBP==当前ESP
mov  eax, dword ptr [ebp+0ch]    //eax = 参数2  
mov  ebx, dword ptr [ebp+08h]    //ebx = 参数1  
sub  esp, 8            			//ESP == NN-18
...                
add  esp, 8            			//ESP== NN-10
pop  ebp               			//ESP==NN - C
ret  8                 			//ESP==NN + 4 +8 
}
//ESP = NN

总结

也就是说当函数在栈中操作时，需要先把ESP 转交给EBP ，然后继续操作，当操作完后，在ret之前，要先将ESP恢复成进入栈前的状态（进入栈后每次压入参数都会使栈空间一点点变小，而因为ESP要始终指向栈顶的原因，所以要把它恢复成原来的大小。）最后再将EBP移除栈，这样就是一个简单的栈平衡。

栈转移

• 在栈空间不够存放paylaod的情况下，需要一个新的地址空间来存放payload。
• 开启了 PIE保护，栈地址未知，我们可以将栈劫持到已知的区域。

概念

劫持栈的rsp(esp)，使其指向其他位置，形成一个伪造的栈。这样栈也就被劫持到攻击者控制的内存上去，然后在该位置做ROP。

必要的Gadget

pop EBP;ret : 释放EBP，并链接伪造的栈

leave;ret : 更改ESP，指向后续的payload

• 等价于 mov ESP,EBP; pop EBP; ret;

原理

栈转移的原理就是以 pop ebp;ret + 伪造的栈 让程序直接跳转到伪造的栈里面，然后为了保持栈平衡，从而执行leave； ret，最后继续执行伪造的栈内的payload

过程

1. 使用输入函数（如read）将后续的Payload加载到bss段内，也就是伪造的栈
2. 通过pop ebp;ret来调整EBP寄存器
   • pop ebp；ret可以使用pop EBX;ret 来代替
3. 通过leave；ret来更改ESP，使其指向伪造的栈（bss）
4. 然后在伪造的栈中执行下一段ROP

注意

1. 使用bss作为stack发动ROP攻击可能会失败
2. 这是因为(后续ROP使用的GOT等)必要的变量被破坏，以及跳到stack等原因
   • 因为read/write时，系统内的dl_fixup函数对stack做了很好的保护
3. 使用的bss段建议在中间区域，如bss+0x800左右

参考链接：

https://darkwing.moe/2019/04/15/Pwn学习笔记14-stack-pivot与Off-by-one/