linux-汇编布局分析初识

最新推荐文章于 2022-02-03 13:21:40 发布
最新推荐文章于 2022-02-03 13:21:40 发布
阅读量185 收藏
点赞数
分类专栏: 学习 文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leishengsheng/article/details/111311378
版权

出于好奇学习一下,根据实践分析结果,并未根据gcc 源码分析,可能不正确

本案例在 ubuntu 20.04 x86_64 上测试

源码

int oo(char*passwd)
{
    int auth = 8;
    char buf[8];
    strcpy(buf, passwd);
    printf("auth=%d\n", auth);
    return 0;
}

int overlow(char *passwd)
{
    char buf[6];                                                                                                                                                                                                                                                                          
    int auth = 5;
    char d[6];
    strcpy(buf, passwd);
    strcpy(d, passwd);
    printf("auth=%d\n", auth);
    return 0;
}
int main()
{
    overlow("passwordab");
    return 0;
}

这是基础测试的最初代码,很明显示这个代码会产生数组溢出,结果就是 auth 的值被修改了。

并且这样的溢出会导致 auth 的值是固定的

分析

先对 oo 函数分析,提取出汇编代码

int oo(char*passwd)
{   
    1169:   f3 0f 1e fa             endbr64 
    116d:   55                      push   %rbp
    116e:   48 89 e5                mov    %rsp,%rbp
    1171:   48 83 ec 20             sub    $0x20,%rsp
    1175:   48 89 7d e8             mov    %rdi,-0x18(%rbp)
    int auth = 8; 
    1179:   c7 45 fc 08 00 00 00    movl   $0x8,-0x4(%rbp)
    char buf[8];
    strcpy(buf, passwd);
    1180:   48 8b 55 e8             mov    -0x18(%rbp),%rdx
    1184:   48 8d 45 f4             lea    -0xc(%rbp),%rax
    1188:   48 89 d6                mov    %rdx,%rsi
    118b:   48 89 c7                mov    %rax,%rdi
    118e:   e8 cd fe ff ff          callq  1060 <strcpy@plt>
    printf("auth=%d\n", auth);      
    1193:   8b 45 fc                mov    -0x4(%rbp),%eax
    1196:   89 c6                   mov    %eax,%esi
    1198:   48 8d 3d 65 0e 00 00    lea    0xe65(%rip),%rdi        # 2004 <_IO_stdin_used+0x4>
    119f:   b8 00 00 00 00          mov    $0x0,%eax
    11a4:   e8 c7 fe ff ff          callq  1070 <printf@plt>
    return 0;
    11a9:   b8 00 00 00 00          mov    $0x0,%eax
}

1171 行 rsp-0x20 说明整个栈分配了32字节的空间

1175 将rdi 放到了rbp-0x18 的位置,rdi 是调用之前设置的地址,值是参数内容,而放到的位置是 rbp-24 个字节的位置

1179 将数值8放到 rbp-4的位置,也就是 auth 的位置

1180 1184 是从 rbp-0x18(参数的位置) 取数据放到 rbp-0xc(buf,要存储到的位置)

其中的 rsi rdi 用于传参时的参数位置指定

这里的重点就是这些位置是如何确定的。

大概布局

//
// +--------+
// |        | - rbp
// |   auth | - rbp-4
// |        |
// |   ...  | - rbp-0xc
// |        |
// |        | - rbp-0x18
// |        |
// +--------+ - rbp-0x20 (rsp)

rbp 在栈顶的位置, rsp 会被设置成当前所指向的栈帧位置,根据资料,rsp 最后要存储返回地址,

rbp-4 是auth的地址,下面 rbp-0xc 是 buf 的位置 (c-4) = 8 是 buf 的长度,这样总结下来 ,栈空间的总长度应该是 (返回地址8+auth4+buf8+参数8=28) 但是 rbp-0x20 是 32字节空间是哪来的?

经过测试,这个栈空间应该是按 16 的整数倍来分配 (这个只是实验得来,并非通过 gcc源码获得,不一定正确)

进一步实验

overlow 的汇编放出来

int overlow(char *passwd)
{
    11b0:   f3 0f 1e fa             endbr64
    11b4:   55                      push   %rbp
    11b5:   48 89 e5                mov    %rsp,%rbp
    11b8:   48 83 ec 20             sub    $0x20,%rsp
    11bc:   48 89 7d e8             mov    %rdi,-0x18(%rbp)
    char buf[6];
    int auth = 5;
    11c0:   c7 45 fc 05 00 00 00    movl   $0x5,-0x4(%rbp)
    char d[6];
    strcpy(buf, passwd);
    11c7:   48 8b 55 e8             mov    -0x18(%rbp),%rdx
    11cb:   48 8d 45 f6             lea    -0xa(%rbp),%rax
    11cf:   48 89 d6                mov    %rdx,%rsi
    11d2:   48 89 c7                mov    %rax,%rdi
    11d5:   e8 86 fe ff ff          callq  1060 <strcpy@plt>
    strcpy(d, passwd);
    11da:   48 8b 55 e8             mov    -0x18(%rbp),%rdx
    11de:   48 8d 45 f0             lea    -0x10(%rbp),%rax
    11e2:   48 89 d6                mov    %rdx,%rsi
    11e5:   48 89 c7                mov    %rax,%rdi
    11e8:   e8 73 fe ff ff          callq  1060 <strcpy@plt>
    printf("auth=%d\n", auth);
    11ed:   8b 45 fc                mov    -0x4(%rbp),%eax                                                                                                                                                                                                                                
    11f0:   89 c6                   mov    %eax,%esi
    11f2:   48 8d 3d 0b 0e 00 00    lea    0xe0b(%rip),%rdi        # 2004 <_IO_stdin_used+0x4>
    11f9:   b8 00 00 00 00          mov    $0x0,%eax
    11fe:   e8 6d fe ff ff          callq  1070 <printf@plt>
    return 0;
    120a:   b8 00 00 00 00          mov    $0x0,%eax

进一步测试,故意对参数大小做测试,如上面的代码,8+8+buf6+auth4+d6 = 32 正好是 rsp-0x20,而此时把 buf[6] ⇒ buf[7] ,此时的大小是 33 ,而汇编之后是 rsp-0x30 ,直接加大大小到 48。

同时根据这个现象看到 int 和 char 在一起的时候,int 始终在位置较高处,这个规则还不懂,有机会看看源码学习一下。

arm下的现象

void overlow(char *passwd, char *next)
{
   104e4:   e92d4800    push    {fp, lr} 
   104e8:   e28db004    add fp, sp, #4
   104ec:   e24dd020    sub sp, sp, #32 
   104f0:   e50b0020    str r0, [fp, #-32]  ; 0xffffffe0
   104f4:   e50b1024    str r1, [fp, #-36]  ; 0xffffffdc
    int t = 9;
   104f8:   e3a03009    mov r3, #9
   104fc:   e50b3008    str r3, [fp, #-8]
    char buf[6];
    int auth = 5;
   10500:   e3a03005    mov r3, #5
   10504:   e50b300c    str r3, [fp, #-12]
    char d[6];
    strcpy(buf, passwd);
   10508:   e24b3014    sub r3, fp, #20 
   1050c:   e51b1020    ldr r1, [fp, #-32]  ; 0xffffffe0
   10510:   e1a00003    mov r0, r3
   10514:   ebffff97    bl  10378 <strcpy@plt>
    strcpy(d, next);
   10518:   e24b301c    sub r3, fp, #28 
   1051c:   e51b1024    ldr r1, [fp, #-36]  ; 0xffffffdc
   10520:   e1a00003    mov r0, r3
   10524:   ebffff93    bl  10378 <strcpy@plt>
    printf("auth=%d\n", auth);
   10528:   e51b100c    ldr r1, [fp, #-12]
   1052c:   e3000674    movw    r0, #1652   ; 0x674
   10530:   e3400001    movt    r0, #1
   10534:   ebffff8c    bl  1036c <printf@plt>
}
   10538:   e320f000    nop {0} 
   1053c:   e24bd004    sub sp, fp, #4                                                                                                                                                                                                                                                    
   10540:   e8bd8800    pop {fp, pc}

在 arm 下以 fp 做为栈基址,直接将 fp+4 存储为返回地址,相当于返回地址在高地址处,而x86_64 的返回地址在低地址处

总结

  1. 没事看看汇编有助于理解代码的原因,对找寻一些困难问题的方法,思路有点帮助
  2. 栈的入参从右到左,这个很多地方都解释,不通解释规则是不一样的
  3. int 会始终放在前面
  4. 栈大小会按 16 的倍数在增加
  5. 局部变量同类型的按上到下从高地址到低地址逐步增加
  6. 通过实验进一步理解理论
jmdvirus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 中的汇编语言(四)
云(存储),松(耦合)
10-08 1956
4 GCC内嵌汇编编程<br />在Linux的源代码中,有很多C语言的函数中嵌入一段汇编语言程序段,这就是gcc提供的“asm”功能,例如在include/asm-i386/system.h中定义的,读控制寄存器CR0的一个宏read_cr0():<br />#define read_cr0() ({ /<br />unsigned int __dummy; /<br />__asm__( /<br />"movl %%cr0,%0/n/t" /<br />:"=r" (__dummy)); /<br /
Linux系统分析入门--简单汇编代码分析
ven_kon的博客
02-25 1664
杨金龙+ 原创作品转载请注明出处 + 《Linux内核分析》MOOC课程http://mooc.study.163.com/course/USTC-1000029000   本周开始,在网易云课堂学习linux系统分析,通过博客记录自己的学习进展和体会。 第一堂课,老师通过介绍32位处理器下的一些汇编代码,让我对冯诺依曼计算机体系对指令的处理有了大概的认识,并且通过自己反汇编一段C代码分析汇编
实验一 网络扫描与网络侦查
m0_52077544的博客
11-07 645
标题
详解缓冲区溢出攻击(超级详细)
热门推荐
南七行者的博客
12-02 1万+
打印寄存器的值 AT&T汇编中,命令中可以指定操作范围,如pushb是将一个byte压栈,而pushw就是将一个word压栈,同样pushl就是压栈long(也就是双字)。
Linux栈溢出例子详解
weixin_39833509的博客
03-16 1461
注:本例中使用的例子为看雪论坛帖子中的例子(https://bbs.pediy.com/thread-216868.htm),结合自己的理解,进行更深入的详细的讲解,更有利于理解细节! 例子中的代码如下: //vuln.c #include &lt;stdio.h&gt; #include &lt;string.h&gt; int main(int argc, char* argv[]) { /*...
linux下.dep文件,linux – 在启用了NX(DEP)和ASLR的x86-64上利用基于字符串的溢出
weixin_35048609的博客
05-02 285
考虑以下易受攻击的代码/程序:#include int main(int argc,char *argv[]) {char buf[16];strcpy(buf,argv[1]);return 0;}在启用了NX和ASLR的运行Linux的IA-32(x86,32位)上,我将使用GOT覆盖技术来利用它,它基本上包括以下步骤:>溢出缓冲区直到RIP>使用strcpy @ plt的地址覆盖...
逆向工程实验---二进制炸弹(CSAPP Project)
JackieFrederickHYZ的博客
05-22 1万+
本实验设计为一个黑客拆解二进制炸弹的游戏。我们仅给黑客(同学)提供一个二进制可执行文件bomb和主函数所在的源程序bomb.c,不提供每个关卡的源代码。程序运行中有6个关卡(6个phase),每个关卡需要用户输入正确的字符串或数字才能通关,否则会引爆炸弹(打印出一条错误信息,并导致评分下降)!要求同学运用GDB调试工具和objdump反汇编工具,通过分析汇编代码,找到在每个phase程序段中,引导程
软件需求分析重点-汇编.pdf
11-24
软件需求分析重点-汇编.pdf
Linux-asm.zip_汇编语言 linux
09-21
8. **实例分析**:提供实际的Linux内核源码片段,解析其中的汇编代码,帮助读者理解其功能和实现方式。 通过学习这个教程,开发者不仅能够掌握汇编语言的基础,还能了解在Linux环境下如何有效地应用汇编语言,这...
适用于 linux-x64 的汇编语言学习程序集
最新发布
03-04
在深入探讨Linux-x64平台下的汇编语言学习之前,我们先来理解一下汇编语言的基本概念。汇编语言是一种低级编程语言,它与计算机的机器语言紧密相关,每一条汇编指令几乎都对应一个特定的机器码。尽管汇编语言不易...
arm-linux-gcc-5.4.0交叉编译工具.rar
04-16
ARM-Linux-GCC工具链包含了预编译的C和C++编译器、链接器以及其他必要的工具,如汇编器和调试器,它们都针对ARM处理器进行了优化。 ARM-Linux-GCC 5.4.0 版本包含以下组件: 1. **GCC (GNU Compiler Collection)**...
aarch64-linux-android-4.9.zip
07-11
标题 "aarch64-linux-android-4.9.zip" 暗示了这是一个与Android开发相关的文件,特别是针对aarch64架构的设备。在Android世界中,NDK(Native Development Kit)允许开发者使用C/C++编写原生代码,以实现高性能的...
使用ret2plt绕过libc安全区
海枫的专栏
08-11 8725
使用ret2plt绕过libc安全区
mjpg-streamer 初识
jmdvirus
02-23 7982
简介 mjpg-streamer 是一个流转发的程序,但是这里的流其是是图片,它以图片的方式在视频提取和视频输出之间进行数据传递,所以一开始的目的是用于在浏览器上基于图片的方式显示视频,当然,效果比较差,也不是太流畅,看看,主要是学习一下里面的相关知识。 获取 我是从这里 下载的,当然源头还是在 sourceforge 上,只是 github下载方便,统一。 编译 mjpg-st...
netlogo-入门-学习记录
jmdvirus
02-03 7507
0.1 背景 netlogo 是一个用于繁杂系统的仿真建模工具,它的特点是相对简单好用,语法简单。 官方网址:NetLogo Home Page (northwestern.edu) 它还有 web 页面可以使用。 0.2 工具使用 下载相关工具之后,就可以直接使用。 这是一个基础页面,主要就是上面的控制部分,和下半部分的绘制页面,其中下半部分的按钮都是可以自己创建的。 它支持有这些控制器,常用的就是按钮等。 速度主要用于模型的生成速度,慢一点的时候可以观察的清晰一些,其中 ticks 是在图表显示时
libstdc++源码编译简单记录
jmdvirus
11-16 3295
准备工作 libstdc++ 库的源码其实就在 gcc 的源码中,gcc源码 有个目录 libstdc+±v3 ,就是它 基于 gcc-6.4.0 测试 编译 ../libstdc++-v3/configure --prefix=/opt/data/libs/libstdcpp/nttr1 --host=arm-openwrt-linux --enable-libstdcxx-threads 这是一个基础的编译参数 需要在同级目录下建立一个编译用的目录,然后进入目录里面去编译 - xxx - gc
yocto 基础学习
jmdvirus
02-17 3098
概述yocto 是一个系统编译整合工具,可以将各种软件集成在一起并制作成hddimg, iso 等镜像。类似的工具比如openwrt,用于路由器系统。资源官网yocto 的资源基本都在官网上,最主要的是看其官网的文档。有使用,开发等相关信息。结构yocto 的版本有自己的代号,比如在本文写成之前,版本号为2.2,相应的代号为morty。可以在官网 download下看到。以及其所支持的平台等。 官
letsencrypt 试用
jmdvirus
05-03 1591
概述 今天想起来了自己的网站没有 https, 正常看到了 letsencrypt 有这个功能就试用一下。这个工具确实使用很简单,有效 使用 这里并不打算把官方网站的内容拿出来,只是简单记录一下自己的操作过程 官网 这里是官网介绍的信息 用法 这里是安装步骤,在这个页面选择服务软件和操作系统,它会告诉你如何安装,我的是 ubuntu + nginx 安装很方便,由于网上资源很多,同时按官...
arm下的栈回溯经验总结
jmdvirus
10-12 1212
摘要 arm下出现段错误,却没有回溯到具体的函数,一直在寻找这个问题的原因,在x86 之类的模式下同样的代码是有回溯的。 arm 32 位设备下测试 分析 尝试了很多方法,最终找到一些线索 基础知识 这里就是栈布局的基本原因,网上有很多说这个的,这个可以去尝试搜索一下,这边暂时不讲这方面的知识,网上太多了 主要说一下区别,x86模式下能回溯,arm下不能回溯,主要原因就是在于对栈布局的格式不同,x86模式下会有全面的入栈顺序,寄存器中的值是可能详细追踪具体位置的。 但是在arm下,可能因为速度等方面的追求,
ARM-Linux-ld指令:汇编连接与Makefile应用详解
arm-linux-ld指令详细讲解文档深入剖析了在Linux架构下的ARM汇编语言链接过程。该指令在软件开发中起着关键作用,尤其是在嵌入式系统和裸机编程中,因为它是将多个对象文件(.o)整合成可执行文件(bin)的工具。以下是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值