X86_64架构下的LINUX缓冲区溢出栈分析

最新推荐文章于 2024-01-13 11:27:47 发布
最新推荐文章于 2024-01-13 11:27:47 发布
阅读量1.8k 收藏
点赞数
分类专栏: GNU/Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/X_White/article/details/8192750
版权

缓冲区溢出基础:


#include <stdio.h>
#include <string.h>

int main(int argc, char *argv[]) {
	char str[10];
	strcpy(str, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA");
	return 0;
}

这里strcpy的时候,字符长度超出了str所允许的长度,发生了溢出。当我们运行这个代码的时候,程序报告Segmentation fault 错误。我们启动gdb查看它的寄存器以及内存数据。

启动后,info reg 查看。发现在x86_64架构下的CentOS寄存器名字用r替换了原来的e(例如,eax-->rax),并且多了8个通用寄存器(r8-->r15)。

(gdb) info reg
rax            0x0	0
rbx            0x0	0
rcx            0x41	65
rdx            0x0	0
rsi            0x40061a	4195866
rdi            0x7fffffffe0d2	140737488347346
rbp            0x4141414141414141	0x4141414141414141
rsp            0x7fffffffe0c8	0x7fffffffe0c8
r8             0x4141414141414141	4702111234474983745
r9             0x4141414141414141	4702111234474983745
r10            0x4141414141414141	4702111234474983745
r11            0x3173a89050	212393824336
r12            0x4003e0	4195296
r13            0x7fffffffe1a0	140737488347552
r14            0x0	0
r15            0x0	0
rip            0x4004f2	0x4004f2 <main+46>
eflags         0x10246	[ PF ZF IF RF ]
cs             0x33	51
ss             0x2b	43
ds             0x0	0
es             0x0	0
fs             0x0	0
gs             0x0	0

我们发现 rip 并没有发生改变,并且当我们增加程序 strcpy 中 A 的长度,并不会溢出到 rip ,他只在 r8 到 r10循环溢出。这样的架构起到了一个很好的保护作用。但是我们的缓冲区栈攻击,即简单的修改 rip 失败了。

如果是32位LINUX即可实现溢出 eip 的攻击,并且获得 root 权限。


高级栈攻击分析:

首先来看我们在熟悉不过的 printf 函数

#include <stdio.h>

int main(int argc, char *argv[]) {
	printf(argv[1]);
	return 0;
}

发现当我们传入以下参数时: 

./main Test%s
得到如下显示: 

Test愬$�[

这里%s预期是读取一个以'\0'结尾的字符数组,但是,在内存中,printf 的内部指针的后面并没有保存一个变量,因为我们并没有进行参数的传递,所以输出了未初始化的内存内容。

简单的示意图:

栈顶内存低区                        <--------- 栈增长方向                                  栈底内存高区

返回地址        格式串的地址(printf 内部指针)        第一个变量地址            第二个变量地址            。。。。。。。。。。

观察 rbp 和 rsp (分别为扩展基址指针,扩展栈指针)。来看下一个代码:

#include <stdio.h>
#include <string.h>

int main(int argc, char *argv[]) {
	int canary = 1;
	char temp[40];
	strcpy(temp, argv[1]);
	printf(temp);
	printf("\n");
	printf("Canary at 0x%08x = 0x%08x\n", &canary, canary);
	return 0;
}

输入:

这里有两个变量,gdb 查询栈的地址范围:

rbp            0x7fffffffe080	0x7fffffffe080
rsp            0x7fffffffe040	0x7fffffffe040

(无论运行多少次,这两个寄存器之间的差值均为64KB),并且这两个变量的地址为: 

(gdb) p &temp
$6 = (char (*)[40]) 0x7fffffffe050

(gdb) p &canary
$7 = (int *) 0x7fffffffe07c

在这两个之间,并且canary 高于 temp,说明的栈的特性。

现在gdb:

(gdb) run "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA %08x %08x %08x %08x %08x %08x %08x"

发现: 

(gdb) p canary
$5 =  0x41414141

说明temp溢出,并且把栈内的canary覆盖了


我们可以从一下代码中得到启示,从任意内存读取地址:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

int main(int argc, char *argv[]) {
	char *addr;
	char cmd[100];
	addr = getenv(argv[1]);
	sprintf(cmd, "%s is located at %p\n", argv[1], addr);
	printf(cmd);
	return 0;
}

运行: 

[X-White@localhost shell]$ ./test1 SHELL
SHELL is located at 0x7fff92d7055d

当然我们每次运行,这个地址都不一样。

gdb:

(gdb) p addr
$1 = 0x7fffffffe51c "/bin/bash"
发现 addr 正好就是 /bin/bash 文件。由于每次运行地址均不一样,所以我们可以做做一个重定向,从而获得该地址。


由于是X86_64架构,所以系统在寄存器,寻址等方式上都进行了相应的扩展。例如当用如下命令时:

[X-White@localhost shell]$ nm ./test
00000000006007c0 d _DYNAMIC
0000000000600958 d _GLOBAL_OFFSET_TABLE_
00000000004006c8 R _IO_stdin_used
                 w _Jv_RegisterClasses
00000000006007a0 d __CTOR_END__
0000000000600798 d __CTOR_LIST__
00000000006007b0 D __DTOR_END__
00000000006007a8 d __DTOR_LIST__
0000000000400790 r __FRAME_END__
00000000006007b8 d __JCR_END__
00000000006007b8 d __JCR_LIST__
0000000000600994 A __bss_start
0000000000600990 D __data_start
0000000000400680 t __do_global_ctors_aux
00000000004004c0 t __do_global_dtors_aux
00000000004006d0 R __dso_handle
                 w __gmon_start__
0000000000600794 d __init_array_end
0000000000600794 d __init_array_start
00000000004005e0 T __libc_csu_fini
00000000004005f0 T __libc_csu_init
                 U __libc_start_main@@GLIBC_2.2.5
0000000000600994 A _edata
00000000006009a8 A _end
00000000004006b8 T _fini
0000000000400408 T _init
0000000000400470 T _start
000000000040049c t call_gmon_start
0000000000600998 b completed.6347
0000000000600990 W data_start
00000000006009a0 b dtor_idx.6349
0000000000400530 t frame_dummy
0000000000400554 T main
                 U printf@@GLIBC_2.2.5
                 U putchar@@GLIBC_2.2.5
                 U strcpy@@GLIBC_2.2.5

发现前方的地址是16位,而非8位。

因此,无法利用在32位平台下的攻击方式,攻击失败。

本文只是分析利一下X86_64架构下的地址内部结构,至于攻击方式就是后话了。






X-Wyatt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
缓冲区溢出攻击实验【一】(32位)
Xindolia_Ring的博客
06-02 7802
 实验项目名称: 缓冲区溢出攻击实验     一、实验目标:1.      理解程序函数调用中参数传递机制;2.      掌握缓冲区溢出攻击方法;3.      进一步熟练掌握GDB调试工具和objdump反汇编工具。二、实验环境:1.        计算机(Intel CPU)2.        Linux 64位操作系统3.        GDB调试工具4.        objdump反汇...
X64 缓冲区溢出
weixin_41487541的博客
09-07 429
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 本篇旨在通过简单的例子来学习32位利用,随手记。 一、函数帧 每一个函数独占自己的帧空间。当前正在运行的函数帧总是在顶。Win32 系统提供两个特殊的寄存器用于表示位于系统顶端的帧:ESP(指针寄存器)和EBP(基址指针寄存器)。 在函数帧中,一般包括以下几...
64位系统的缓冲区溢出攻击实例
weixin_42582241的博客
12-10 1348
实验准备 Ubuntu 64位 实验:homework.exe homework12linux64bit.exe 在在64Linux系统的运行结果: 可观察出其存在缓冲区溢出利用dbg对其进行调试: 用gdb装入可执行文件之后,立即反汇编main和foo函数: 此时的代码地址为静态地址(可执行文件中的代码地址)。 进程启动之后,反汇编main和foo函数: 在3个关键地址设置断点: 函数foo入口点的64寄存器rsp保存了返回地址的指针(0x7fffffffde98),的内容为0x00005
linux 64位溢出
ruins44的博客
05-29 762
/*gcc -fno-stack-protetor -z execstack stack.c -o stack*/ /*echo 0 > /proc/sys/kernel/randomize_va_space*/ #include <stdio.h> #include <unisted.h> int vuln(){ char buf[80]; int r; r = read(
linux64 溢出,64Linux下的栈溢出
weixin_36383252的博客
05-12 456
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
Linux中的基本x86-64bit缓冲区溢出
04-03
本文将深入探讨Linux环境下的x86-64bit基本缓冲区溢出原理、原因及防范措施。 一、缓冲区溢出概念 缓冲区溢出(Buffer Overflow)是指程序在向内存缓冲区写入数据时,超过了缓冲区本身的大小限制,导致相邻的内存...
NDK工具android-ndk-r10e-linux-x86_64
09-26
2. **安全问题:**本地代码的安全性至关重要,要确保正确处理异常和避免缓冲区溢出等常见安全问题。 3. **调试:**使用GDB或其他调试工具,如NDK自带的`ndk-gdb`,进行本地代码的调试。 4. **ABI兼容性:**为不同...
glibc-2.14.1-x86_64.zip
08-06
7. **安全特性**:随着安全问题日益重要,glibc 2.14.1版本可能会引入更多的安全防护机制,例如缓冲区溢出检查、堆保护等。 在glibc-2.14.1-x86_64这个压缩包中,通常会包含针对x86_64架构的编译好的库文件,以及...
Python库 | frida-15.0.5-py3.8-macosx-10.9-x86_64.egg
02-21
1. **安全分析**:Frida可以帮助安全研究人员检测潜在的安全漏洞,比如检查应用是否使用了不安全的API或有潜在的缓冲区溢出。 2. **逆向工程**:在逆向工程中,Frida可以用来动态分析代码流程,跟踪敏感函数调用,...
linux缓冲区溢出漏洞攻击文件
10-29
linux 缓冲区溢出 漏洞攻击 获取root权限 shell
缓冲区溢出攻击
weixin_34342207的博客
10-27 96
图片来源:http://blog.csdn.net/u010651541/article/details/49849557 主要根据此图给出一些程序变量的分配情况,以及缓冲区溢出攻击的简单原理。 上述图主要描述进程虚拟地址空间,即用户空间内容,进程内核地址空间为所有进程共用(Linux内核中) 区:理解为函数帧的存储位置,在应用层可以通过回溯区得到函数调用地址,即回溯; 堆区:...
linux64 溢出,linux64位驻留缓冲区溢出
weixin_32304579的博客
05-12 209
我正在研究一些与安全有关的事情,现在我正在玩我自己的堆.我正在做的事应该非常简单,我甚至都没有尝试执行堆,只是为了表明我可以控制64位系统上的指令指针.我已经关闭了所有我能够使用它的保护机制(NX-bit,ASLR,也用-fno-stack-protector -z execstack编译).我没有那么多64位汇编的经验,花了一些时间搜索和试验自己后,我想知道是否有人可以解释我正在经历的问题....
linux缓冲区溢出实例
天元喜羊羊的博客
01-22 7812
最近一段时间,在网上搜索关于缓冲区溢出攻击的文章,实验了一下,成功实现了缓冲区溢出攻击,现在把过程记录下来。   #include #include void hello() { printf("hello\n"); } int fun(char *str) { char buf[10]; strcpy(buf, str
Linux Kernel Stack Overflow/Linux 内核栈溢出
最新发布
lenky0401的专栏
01-13 1810
Linux内核会分配一页(4K stack)或两页连续(8K stack)不可交换(non-swappable)内存来作为内核使用。可以看到,一个地方(kernel_stack_init函数)的占去$0x400(有几个局部变量是直接使用的寄存器,所以才没有消耗),而另外一个地方(just_copy_half函数)的占去%rax是个不定值,这就需要继续看对应的汇编来进行分析(因为数组是动态数组),这只是个示例,如果在真实内核代码中有这样的函数,那是相当危险的。,好吧,继续8K内核
记一次Windows 64缓冲区溢出
weixin_41487541的博客
10-14 599
以下为原文链接,但是我在复现时出了些问题;在实现方面也与原文有所不同。 https://www.coalfire.com/the-coalfire-blog/september-2020/the-basics-of-exploit-development-5-x86-64-buffer 环境 Win10 18363 + x64dbg; 原文中还使用了x64dbg的ERC插件,但是通过观察帧、计算偏移也可以实现。 以下为溢出样本代码。 #include <iostream> #
溢出点位置确定
qq_44119514的博客
03-28 622
缓冲区溢出原理及Linux系统下实例
LJFYYJ的博客
04-11 1789
1.缓冲区溢出的两个操作: 破坏 smash the stack 修饰函数返回地址 modify the return address of the function 2.内存的存储分配: from high address to low address: command-line arguments and environment variables:程序运行之前存在的变量和环境...
centos漏洞系列(七):GNU Wget缓冲区溢出漏洞
gosenkle的专栏
05-17 840
1、简介GNU Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,它支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。GNU Wget 1.19.2之前的版本中存在缓冲区溢出漏洞。远程攻击者可利用该漏洞在受影响的应用程序上下文中执行任意代码或造成拒绝服务。2、解决方案yum update wget...
64Linux栈溢出原理与利用示例
本文主要探讨了在64Linux系统环境下发生的栈溢出攻击,由作者Mr.Un1k0d3rRingZer0Team撰写,旨在帮助读者理解64位系统下栈溢出攻击的基本原理和技术细节。文章首先解释了x86x86_64架构之间的关键区别,重点提到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值