从汇编层看64位程序运行——有惊无险的栈溢出

于 2024-08-12 00:15:00 发布
阅读量1.3k 收藏 30
点赞数 47
分类专栏: 从汇编层看64位程序运行 文章标签: 汇编 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/breaksoftware/article/details/140825373
版权

大纲

《从汇编层看64位程序运行——ROP攻击以控制程序执行流程》一文中,我们通过“篡改”函数的返回地址来达成修改程序执行流程的目的。
在这里插入图片描述

但是这个方案存在一个问题:它会导致栈溢出。这是因为ret指令会导致栈的pop,call指令会导致栈的push。而案例中,foo7调用foo函数时,使用的是ROP攻击方法——没有使用call指令。这样就导致整个流程call了1次(main–>foo7),即压栈1次;而ret了2次,foo7一次,foo一次。

在foo7进入foo之后,我们修改了foo的返回地址。这个地址是0x7fffffffdef8,而它属于main函数的栈帧。这样的栈溢出,并没有导致我们程序出问题。这是因为0x7fffffffdef8保存的是main函数调用foo7时,push到栈中的临时数据(即第7个参数,foo函数的地址)。所以在从foo回到main函数后,这个空间的值就不会被逻辑所使用,进而没有发生问题。

但是由于call一次、ret两次,最终会导致栈会被多pop一次。于是回到main函数后,rsp的值会比正确的时候大0x08(即main的栈帧小了0x08),而减小的空间正好是上一段分析的main函数push到foo7中的foo函数地址。
我们知道,很多时候栈上变量的表达是通过rbp寄存器(rbp寄存器的值一直是正确的)来进行的(见《从汇编层看64位程序运行——栈上变量的rbp表达》),所以这次rsp寄存器的变动,一般不会影响main函数临时变量的取值,也不会影响程序执行。

即使后面调用了其他函数,甚至push栈传递数据的行为,也不会造成程序的崩溃。这是因为此时rsp指向了main函数栈上变量地址空间的末尾。调用其他函数时,只会让栈在此基础上增长,并不会影响到main函数关键的栈帧空间。
在这里插入图片描述

从main函数退出时,汇编会执行Leave指令。这步指令会

mv %rbp,%rsp

这样rsp寄存器的值就回到进入main函数时正确的值,进而导致代码进入main函数的调用者时,堆栈由恢复到正确的状态,所以程序也没有出问题。

整体调试过程如下:

main

进入时寄存器状态

rbp:1

rsp:df18

分析过程

刚进入main函数时,栈底寄存器rbp的值是1,栈顶寄存器rsp的值是df18。
在这里插入图片描述
+4行将rbp寄存器的值压入栈后,栈顶寄存器rsp的值变成df10。
+5行让rbp和rsp寄存器中的值相同,即rbp和rsp都是df10。
+8行预先给main函数分配了栈空间(0x10)。这样rsp变成df00,rbp还是df10。
在这里插入图片描述
+23行会foo函数的地址压入栈,这样rsp会变成def8。(0x7fffffffdef8,即后续在foo函数中被用作返回RIP的空间。)
在这里插入图片描述

离开时寄存器状态

rbp:df10

rsp:def8

foo7

进入时寄存器状态

rbp:df10

rsp:def8

分析过程

执行call指令,进入foo函数内部。由于call会将next_rip压入栈,所以rsp的值会继续减少0x08,变成def0。
在这里插入图片描述
可以看到栈顶的值就是next_rip的值。
在这里插入图片描述
将main函数的栈底寄存器的值保存到栈上,这样rsp变成了dee8。
在这里插入图片描述
此时的栈顶rsp就是可以用于给foo7函数预分配栈上空间的值。但是由于要用rbp做变量表达转换,所以会将rbp的值赋值为rsp的值。这样rbp和rsp的值都是dee8了。
在这里插入图片描述
由于中间过程没有进入出入栈的操作,所以一直到+75行,rsp和rbp的值都没变。
在这里插入图片描述
但是我们修改了栈上空间的值,即foo7的返回地址,
在这里插入图片描述
+75会抛出之前保存的rbp的值,这样rbp的值会还原到df10;同时rip会退栈,变成def0。
在这里插入图片描述
这样,foo7的返回地址(foo函数的入口地址)就处于栈的顶端。
在这里插入图片描述

离开时寄存器状态

rbp:df10

rsp:def0

foo

进入时寄存器状态

rbp:df10

rsp:def8

分析过程

foo7最后的ret会从栈中pop出next_rip,然后跳转到foo。这样退栈行为,让rsp变成def8。
在这里插入图片描述
+4行,会将rbp压入栈,这样rsp变成了def0。
在这里插入图片描述
+5行会让rbp等于rsp。这样foo函数就会可以在自己的栈底上分配空间和修改变量。
在这里插入图片描述
+8行会给foo函数分配0x10大小的栈上空间。这样rsp的值就会变成dee0。
在这里插入图片描述
+12和+16行分别会赋值一个栈上变量以及修改foo函数的返回地址
在这里插入图片描述
打印输出函数执行完,栈的状态没有变
在这里插入图片描述
+36行的Leave做了几件事:

  • mov %rbp, %rsp。即还原栈顶寄存器(对应于+5行),这样rsp变成def0。
  • pop %rbp。这样保存在栈顶def0的df10会被赋值给rbp。而rsp也因为退栈,从而变成了def8。
    在这里插入图片描述

离开时寄存器状态

rbp:df10

rsp:def8

main

进入时寄存器状态

rbp:df10

rsp:df00

分析过程

foo最后的ret会将foo的next_rip(即51fb)从栈中pop出来,这样rsp进一步变成了df00。

再次回到main函数后,rsp的值不再是离开main是的def8。
在这里插入图片描述
+63行又会让rsp进一步改变,变成df08。
在这里插入图片描述
+72的Leave,会干两件事:

  • mov %rbp, %rsp。还原栈顶寄存器(对应于+5行)。这样rsp变成df10。
  • pop出rbp。rsp变成df18。rbp变成1。
    在这里插入图片描述

离开时寄存器状态

rbp:1

rsp:df18

breaksoftware
关注
专栏目录
通过Stack Overflow线程栈溢出的问题实例,详解C++程序线程栈溢出的诸多细节
dvlinker的技术专栏
08-04 1万+
通过Stack Overflow线程栈溢出的问题实例,详解C++程序线程栈溢出的诸多细节
线程栈溢出异常,程序崩溃在汇编代码test dword ptr [eax],eax上的问题排查
热门推荐
dvlinker的技术专栏
07-15 3万+
本文详细讲述线程栈溢出异常,程序崩溃在汇编代码test dword ptr [eax],eax上问题的排查过程。
64位Linux下的栈溢出
omnispace的博客
03-29 5597
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf 本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3r RingZer0 Team 摘要 0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户
64位栈溢出
weixin_44932880的博客
10-13 814
64位程序栈溢出 当参数少于7个时, 参数<1-6>放入寄存器: rdi, rsi, rdx, rcx, r8, r9 栈 High Address | | +-----------------+ | 第7参数(如果有) | +-----------------+ | return address | +-------
linux64 溢出,64位Linux下的栈溢出
weixin_29710403的博客
05-12 440
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
linux 函数栈溢出,64位Linux下的栈溢出
weixin_30175731的博客
05-03 521
今天在看《捉虫日记》,其中讲解的Linux下的栈缓冲区溢出是32位机器的,和我的64位机器有些不同之处。下面是我在64位Linux (Ubuntu14) 下的栈缓冲区溢出实验的记录。首先是有溢出漏洞的程序,这个程序来自于《捉虫日记》。#includevoid overflow(char *arg){char buf[12];strcpy(buf, arg);}int main(int argc, ...
linux 64位 栈溢出,栈溢出64位程序的处理方法
weixin_39717865的博客
05-13 1410
在做 pwn 题时,难免会遇到64位栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
汇编语言程序设计——用户登录验证程序设计
12-21
程序执行后,给出操作提示,请用户输入用户名和密码;用户在输入密码时,程序不回显输入字符;只有当用户输入的用户名、密码字符串和程序内定的字符串相同时,才显示欢迎界面,并返回DOS。
汇编语言实验报告——汇编程序的汇编及运行
01-06
汇编语言实验报告——汇编程序的汇编及运行】深入解析 汇编语言是一种低级编程语言,它直接对应于计算机硬件的指令集。本实验报告旨在探讨汇编程序从编写到运行的全过程,包括汇编、连接和执行等关键步骤。以下是...
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 684
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
ARM64/32寄存器说明
独行侠
05-21 1793
x0~x7:传递子程序的参数和返回值,使用时不需要保存,多余的参数用堆栈传递,64位的返回结果保存在x0中。 x8:用于保存子程序的返回地址,使用时不需要保存。 x9~x15:临时寄存器,也叫可变寄存器,子程序使用时不需要保存。 x16~x17:子程序内部调用寄存器(IPx),使用时不需要保存,尽量不要使用。 x18:平台寄存器,它的使用与平台相关,尽量不要使用。 x19~x28:临时寄存器,子程序使用时必须保存。 x29:帧指针寄存器(FP),用于连接栈帧,使用时必须保存。 x30:链接寄存器(LR)..
[PWN]——栈溢出中32位与64位区别
最新发布
ysy___ysy的博客
01-18 601
【payload = b'a'*(0x2d+4)+ p32(mprotect_addr)+ p32(pop3_ret_addr) +p32(addr) + p32(0x100)+p32(0x7)】[利用pop3_ret将mprotect函数所需三个参数传递过去]【payload = b'a'*(0xe7+4)+p32(write_plt)+p32(p_main) + p32(1)+p32(write_got)+p32(4)】(调用write函数输出write_got地址)
64位汇编第一讲——64位寄存器环境和编译环境20171229
weixin_30675967的博客
12-29 490
一.64位汇编的历史渊源 Intel公司和AMD公司都是研发复杂指令集的公司,AMD公司整体实力比Intel公司差一些,一直以来都是Intel公司的产品主导市场,在研发64位CPU时,为了提高CPU效率,Intel公司对之前版本的CPU指令进行了大改,研发出安腾CPU IA64_CPU,这款CPU虽然效率高,但不兼容之前的版本,所以并不被市场接受,而与此同时AMD公司研发出了能兼容之前版...
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 3199
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 428
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6209
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
CTF--pwn(栈溢出漏洞)
q759451733的博客
05-27 4584
0x00 工具介绍 * Ubuntu系统(kali也可以) * gdb-peda 这个是神器,二进制分析必备神器 0x01 程序源码 #include <stdio.h> #include <string.h> #include <stdlib.h> int main(int argc, char * argv[]) { char buf[4...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

breaksoftware

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值