栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(一)函数如何执行

最新推荐文章于 2022-10-06 00:19:46 发布
最新推荐文章于 2022-10-06 00:19:46 发布
阅读量3.9k 收藏 8
点赞数 2
分类专栏: 攻击与防护 文章标签: 栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/raintungli/article/details/43851257
版权

栈溢出网上已经有很多的例子了,但是很少会涉及到在64位的和操作系统linux相关的,而最近刚好在一直研究这个,所以写着一系列博文,一来是为了帮助自己记忆,二来也是为了更多的大家互相探讨。

寄存器

X86-64有16个64位寄存器,分别是:%rax,%rbx,%rcx,%rdx,%esi,%edi,%rbp,%rsp,%r8,%r9,%r10,%r11,%r12,%r13,%r14,%r15。其中:
%rax 作为函数返回值使用
%rsp 栈指针寄存器,指向栈顶
%rdi,%rsi,%rdx,%rcx,%r8,%r9 用作函数参数,依次对应第1参数,第2参数,第3参数 一一匹配

%rbx,%rbp,%r12,%r13,%14,%15 用作数据存储,callee-save 调用子函数前要保存到栈中

%r10,%r11  用作数据存储 caller-save 调用前要先保存原值到栈中


栈的结构

这是32位的栈地址布局。, 32位和64位的区别主要在于寄存器的区别,原来ebp esp 指针寄存器 编程rbp, rsp

返回的地址 
上一个栈的地址<--rbp
参数n 
...  
参数1<--rsp

3个重要的指针寄存器 rbp, rsp, rip 

前提:现在函数A调用函数B

rbp: 当前函数栈B的起始位置

rsp: 当前函数栈B的底位置

rip: 当前执行到函数的地址位置

函数的进入和返回

3个汇编指令

1. call address

这个指令很简单,就是调用函数的地址

push %rip 把rip的地址保存进栈中,实际上就是当前运行到的地址

jmp address  把下个调用函数的地址给rip

上上一个栈的起始地址<--rbp
上一个栈的参数n 
...  
上一个栈的参数1 
上一个栈的rip的值 
 <--rsp

而保存rbp的值是在进入函数后push %rsp 实现的。


2. leaveq

指令相当于

move %rbp %rsp 把rsp指针指向rbp

pop %rbp  把栈里值赋予rbp, 同时rsp指向上一个地址,也就是rsp现在指向栈结构图中的 返回的地址

上上一个栈的运行到的地址 
上上一个栈的起始地址<--rbp
上一个栈的参数n 
... 
上一个栈参数1 
上一个栈的运行到的地址<--rsp
上一个栈的起始地址 
参数n 
... 
参数1 


3. ret

指令相当于

pop %rip 把返回的地址赋予rip, rsp 指向上一个地址

上上一个栈的运行到的地址 
上上一个栈的起始地址<--rbp
上一个栈的参数n 
... 
上一个栈参数1<--rsp
上一个栈的运行到的地址 
上一个栈的起始地址 
参数n 
... 
参数1 

通过3后,大家可以看到整个函数完成退出,而栈指针也回到了调用函数的栈中。这样完整的函数调用就完成了,也完成了进栈出栈的过程。



raintungli
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 64位 栈溢出,栈溢出64位程序的处理方法
weixin_39717865的博客
05-13 1336
在做 pwn 题时,难免会遇到64位栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
K55:Linux x86_64进程注入实用程序| 使用自定义有效负载来操纵流程(测试版)
05-19
K55-Linux x86_64进程注入实用程序(C ++ 14) 关于K55 (发音:“好五十五”) K55有效负载注入工具用于将x86_64 shellcode有效负载注入正在运行的进程。 该实用程序是使用现代C ++ 11技术以及一些传统的C linux...
64位Linux下的栈溢出
10-05
0x01 x86x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户控制的缓冲区 0x06 执行shellcode 0x07 GDB vs 现实 0x08 结语
恶意代码分析-第二十一章-64位恶意代码
每昔的博客
09-17 373
目录 笔记 实验 Lab21-1 Lab21-2 Lab21-3 笔记 64位恶意代码的必要性:1.在64位操作系统中内核代码是64位的,以64位系统为目标的rootkit(Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的)必须编译成64位机器码                                         2.插件和注入代码必须是64位的,...
栈溢出 shellcode ret2shellcode
wing_7的博客
10-06 478
shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址,在函数运行时不变,用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。
Windows 10_X64环境shellcode编写
Anansi的博客
11-20 1995
环境 windows 10_x64 windbg_x64 x64dbg nasm 适用于 VS 2017 的 x64 本机工具命令提示(安装visual studio会自带) redasm shellcode shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击获得shell而得名。shellcode常常使用机器语言/汇编编写。 可在暂存器eip溢出后,塞入一段可让CPU执行shellcode机器码,让电脑可以执行攻击者的任意指令。 虽然现在的操
x86-64汇编角度看c++代码
mumu
07-02 2904
从汇编角度看c代码
Linux 64位 shellcode
weixin_44442852的博客
10-20 1390
linux exec /bin/sh unsigned char code[] = "\x6a\x3b\x58\x99\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48" "\xc1\xeb\x08\x53\x48\x89\xe7\x52\x57\x48\x89\xe6\xb0\x3b\x0f" "\x05"; int main(int argc, ch...
栈溢出攻击系列shellcodelinux x86 64位攻击获得root权限(二)shellcode
沧海一粟
02-23 9464
栈溢出攻击系列shellcodelinux x86 64位攻击获得root权限(二)shellcode
栈溢出攻击系列shellcodelinux x86 64位攻击获得root权限(六)固定地址的栈溢出攻击
沧海一粟
02-23 2852
栈溢出攻击系列shellcodelinux x86 64位攻击获得root权限(六)固定地址的栈溢出攻击
此源代码将生成 linux x86shellcode.rar_linux shellcode_shell
09-20
此源代码将生成 linux x86shellcode
bin2sc:从对象可执行格式32和64位PE,ELF二进制到Shellcode
05-23
bin2sc 二进制到shellcode 注意:Win32的核心DLL是kernel32.dll, user32.dll, and gdi32.dll 。 如果您的shellcode使用来自任何... python3 bin2sc.py shellcode.asm {sc_arr,sc_app} {linux,win} {x86,x64} /full/p
x86_syscall_ref:一个 x86 linux 系统调用表参考工具。 在编写 shellcode 和漏洞利用时很方便
06-07
x86_syscall_ref 一个 x86 linux 系统调用表参考工具。 在编写 shellcode 和漏洞利用时很方便。 它允许您通过函数名称或系统调用 id 进行搜索,并返回用于在 x86 程序集中设置堆栈/寄存器的相关信息。 所有系统调用...
Java命令注入之防护
热门推荐
沧海一粟
07-16 1万+
1 Java中的命令注入 在Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix中以enecve 来创建子进程执行命令
CVE-2016-1000031 Apache Commons FileUpload 反序列化漏洞深入分析
沧海一粟
02-20 1万+
反序列化漏洞最近一直不得安宁,先有Apache Commons Collections通过反序列化实现远程代码执行,再有Spring RMI 反序列化漏洞,最新又有了common upload file的反序列化漏洞CVE-2016-1000031(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031) 漏洞原因 先来看
Struts2远程命令执行漏洞 S2-045 源码分析
沧海一粟
03-08 9220
Struts2 又爆OGNL的高危漏洞S-045,又是OGNL的漏洞漏洞分析1. Struts 的上传request在上传文件里,Struts默认使用的是common upload 的上传组件, 为了能被action访问到上传的文件,通常会重新封装request,  Spring也是这么做。JakartaStreamMultiPartRequest.java中 public void parse(...
防XSS的输出编码规则
沧海一粟
04-29 8499
网上相关资料比较少,这里收集一下防止跨站脚本(XSS)相关的关键输出编码机制编码类型编码机制HTML实体编码 1.  字符 , . - _ 空格 不需要转码2.  字母(a-z, A-Z)数字(0-9)不需要转码3.  转换 &amp; 为 &amp;amp;4.  转换 &lt; 为 &amp;lt;5.  转换 &gt; 为 &amp;gt;6.  转换 " 为 &amp;quot;7.  其...
Java XML XXE 底层防御
沧海一粟
12-07 6518
JavaXML相关API 是由JAXP定义了相关的XML的通用接口,常见包括DOM/SAX/STAX/XPATH 的标准API Javax.xml.parsers  -> DOM/SAX Javax.xml.stream   -> STAX Javax.xml.xpath    -> XPATH Javax.xml.bind     -> JAXB javax.xml.ws
linux 64位 栈溢出
最新发布
08-19
总的来说,在Linux 64位系统中,栈溢出是一种常见的安全漏洞,攻击者可以通过溢出覆盖返回地址来执行恶意代码。为了进行栈溢出攻击攻击者需要了解目标程序的内存布局和函数调用机制。可以参考引用中的文章来深入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值