linux64 溢出,linux – 64位驻留缓冲区溢出?

最新推荐文章于 2023-04-21 10:45:12 发布
最新推荐文章于 2023-04-21 10:45:12 发布
阅读量122 收藏
点赞数
文章标签: linux64 溢出

我正在研究一些与安全有关的事情,现在我正在玩我自己的堆栈.我正在做的事应该非常简单,我甚至都没有尝试执行堆栈,只是为了表明我可以控制64位系统上的指令指针.我已经关闭了所有我能够使用它的保护机制(NX-bit,ASLR,也用-fno-stack-protector -z execstack编译).

我没有那么多64位汇编的经验,花了一些时间搜索和试验自己后,我想知道是否有人可以解释我正在经历的问题.

我有一个程序(下面的源代码),它只是将一个字符串复制到一个没有边界检查的堆栈驻留缓冲区.但是,当我用一系列0x41覆盖时,我希望看到RIP设置为0x4141414141414141,而我发现我的RBP设置为此值.我确实遇到了分段错误,但是在执行RET指令时RIP不会更新为此(非法)值,即使RSP设置为合法值也是如此.我甚至在GDB中验证了在RET指令之前有可读存储器在RSP处包含一系列0x41.

我的印象是LEAVE指令:

MOV(E)SP,(E)BP

POP(E)BP

但是在64位上,“LEAVEQ”指令似乎(类似):

MOV RBP,QWORD PTR [RSP]

我认为这只是通过在执行该指令之前和之后观察所有寄存器的内容来实现的. LEAVEQ似乎只是RET指令的上下文相关名称(GDB的反汇编程序给它),因为它仍然只是一个0xC9.

RET指令似乎与RBP寄存器有关,可能是解除引用它?我认为RET确实(类似):

MOV RIP,QWORD PTR [RSP]

但是就像我提到的那样,似乎取消引用RBP,我认为这样做是因为当没有其他寄存器似乎包含非法值时,我得到了分段错误.

该计划的源代码:

#include

#include

int vuln_function(int argc,char *argv[])

{

char buffer[512];

for(int i = 0; i < 512; i++) {

buffer[i] = 0x42;

}

printf("The buffer is at %p\n",buffer);

if(argc > 1) {

strcpy(buffer,argv[1]);

}

return 0;

}

int main(int argc,char *argv[])

{

vuln_function(argc,argv);

return 0;

}

for循环只是用0x42填充缓冲区的合法部分,这使得在溢出之前很容易在调试器中看到它.

调试会话的摘录如下:

(gdb) disas vulnerable

Dump of assembler code for function vulnerable:

0x000000000040056c : push rbp

0x000000000040056d : mov rbp,rsp

0x0000000000400570 : sub rsp,0x220

0x0000000000400577 : mov DWORD PTR [rbp-0x214],edi

0x000000000040057d : mov QWORD PTR [rbp-0x220],rsi

0x0000000000400584 : mov DWORD PTR [rbp-0x4],0x0

0x000000000040058b : jmp 0x40059e

0x000000000040058d : mov eax,DWORD PTR [rbp-0x4]

0x0000000000400590 : cdqe

0x0000000000400592 : mov BYTE PTR [rbp+rax*1-0x210],0x42

0x000000000040059a : add DWORD PTR [rbp-0x4],0x1

0x000000000040059e : cmp DWORD PTR [rbp-0x4],0x1ff

0x00000000004005a5 : jle 0x40058d

0x00000000004005a7 : lea rax,[rbp-0x210]

0x00000000004005ae : mov rsi,rax

0x00000000004005b1 : mov edi,0x40070c

0x00000000004005b6 : mov eax,0x0

0x00000000004005bb : call 0x4003d8

0x00000000004005c0 : cmp DWORD PTR [rbp-0x214],0x1

0x00000000004005c7 : jle 0x4005e9

0x00000000004005c9 : mov rax,QWORD PTR [rbp-0x220]

0x00000000004005d0 : add rax,0x8

0x00000000004005d4 : mov rdx,QWORD PTR [rax]

0x00000000004005d7 : lea rax,[rbp-0x210]

0x00000000004005de : mov rsi,rdx

0x00000000004005e1 : mov rdi,rax

0x00000000004005e4 : call 0x4003f8

0x00000000004005e9 : mov eax,0x0

0x00000000004005ee : leave

0x00000000004005ef : ret

我在调用strcpy()之前就断开了,但在缓冲区填充了0x42之后.

(gdb) break *0x00000000004005e1

该程序以650 0x41为参数执行,这应该足以覆盖堆栈上的返回地址.

(gdb) run `perl -e 'print "A"x650'`

我在内存中搜索返回地址0x00400610(我从查看main的反汇编中找到).

(gdb) find $rsp, +1024, 0x00400610

0x7fffffffda98

1 pattern found.

我用x / 200x检查内存并得到一个很好的概述,由于它的大小,我在这里省略了,但是我可以清楚地看到0x42表示缓冲区的合法大小和返回地址.

0x7fffffffda90: 0xffffdab0 0x00007fff 0x00400610 0x00000000

strcpy()之后的新断点:

(gdb) break *0x00000000004005e9

(gdb) set disassemble-next-line on

(gdb) si

19 }

=> 0x00000000004005ee : c9 leave

0x00000000004005ef : c3 ret

(gdb) i r

rax 0x0 0

rbx 0x0 0

rcx 0x4141414141414141 4702111234474983745

rdx 0x414141 4276545

rsi 0x7fffffffe17a 140737488347514

rdi 0x7fffffffdb00 140737488345856

rbp 0x7fffffffda90 0x7fffffffda90

rsp 0x7fffffffd870 0x7fffffffd870

r8 0x1 1

r9 0x270 624

r10 0x6 6

r11 0x7ffff7b9fff0 140737349550064

r12 0x400410 4195344

r13 0x7fffffffdb90 140737488346000

r14 0x0 0

r15 0x0 0

rip 0x4005ee 0x4005ee

0x00000000004005ee : c9 leave

=> 0x00000000004005ef : c3 ret

(gdb) i r

rax 0x0 0

rbx 0x0 0

rcx 0x4141414141414141 4702111234474983745

rdx 0x414141 4276545

rsi 0x7fffffffe17a 140737488347514

rdi 0x7fffffffdb00 140737488345856

rbp 0x4141414141414141 0x4141414141414141

rsp 0x7fffffffda98 0x7fffffffda98

r8 0x1 1

r9 0x270 624

r10 0x6 6

r11 0x7ffff7b9fff0 140737349550064

r12 0x400410 4195344

r13 0x7fffffffdb90 140737488346000

r14 0x0 0

r15 0x0 0

rip 0x4005ef 0x4005ef

(gdb) si

Program received signal SIGSEGV, Segmentation fault.

0x00000000004005ee : c9 leave

=> 0x00000000004005ef : c3 ret

(gdb) i r

rax 0x0 0

rbx 0x0 0

rcx 0x4141414141414141 4702111234474983745

rdx 0x414141 4276545

rsi 0x7fffffffe17a 140737488347514

rdi 0x7fffffffdb00 140737488345856

rbp 0x4141414141414141 0x4141414141414141

rsp 0x7fffffffda98 0x7fffffffda98

r8 0x1 1

r9 0x270 624

r10 0x6 6

r11 0x7ffff7b9fff0 140737349550064

r12 0x400410 4195344

r13 0x7fffffffdb90 140737488346000

r14 0x0 0

r15 0x0 0

rip 0x4005ef 0x4005ef

我验证返回地址已被覆盖,我应该看到RIP设置为此地址:

(gdb) x/4x 0x7fffffffda90

0x7fffffffda90: 0x41414141 0x41414141 0x41414141 0x41414141

(gdb) x/4x $rsp

0x7fffffffda98: 0x41414141 0x41414141 0x41414141 0x41414141

RIP显然是:

rip 0x4005ef 0x4005ef

为什么RIP没有像我期待的那样更新? LEAVEQ和RETQ在64位上真正做了什么?总之,我在这里缺少什么?我在编译时试图省略编译器参数,看它是否有任何区别,它似乎没有任何区别.

bellebiself
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux x86_64 缓冲区溢出分析 以及 shellcode简介
shuimuyq的专栏
01-15 1836
/* buger.c */ #include #include #include int main(void) { char buffer[128] = {0}; char *envp = NULL; printf("buffer address is: %p\n", &buffer); envp = getenv("KIRIKA"); if (envp) strcpy
64位系统的缓冲区溢出攻击实例
weixin_42582241的博客
12-10 1318
实验准备 Ubuntu 64位 实验:homework.exe homework12linux64bit.exe 在在64位Linux系统的运行结果: 可观察出其存在缓冲区溢出。 利用dbg对其进行调试: 用gdb装入可执行文件之后,立即反汇编main和foo函数: 此时的代码地址为静态地址(可执行文件中的代码地址)。 进程启动之后,反汇编main和foo函数: 在3个关键地址设置断点: 函数foo入口点的64位栈寄存器rsp保存了返回地址的指针(0x7fffffffde98),栈的内容为0x00005
记一次Windows 64位缓冲区溢出
weixin_41487541的博客
10-14 578
以下为原文链接,但是我在复现时出了些问题;在实现方面也与原文有所不同。 https://www.coalfire.com/the-coalfire-blog/september-2020/the-basics-of-exploit-development-5-x86-64-buffer 环境 Win10 18363 + x64dbg; 原文中还使用了x64dbg的ERC插件,但是通过观察栈帧、计算偏移也可以实现。 以下为溢出样本代码。 #include <iostream> #
网络安全——缓冲区溢出攻击
VN520的博客
04-21 6352
什么是缓冲区?它是指程序运行期间,在内存中分配的一个连续的区域,用于保存包括字符数组在内的各种数据类型。所谓溢出,其实就是所填充的数据超出了原有的缓冲区边界,并非法占据了另一段内存区域。两者结合进来,所谓缓冲区溢出,就是由于填充数据越界而导致原有流程的改变,黑客借此精心构造填充数据,让程序转而执行特殊的代码,最终获取控制权。
X64 缓冲区溢出
weixin_41487541的博客
09-07 395
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 本篇旨在通过简单的例子来学习32位栈利用,随手记。 一、函数栈帧 每一个函数独占自己的栈帧空间。当前正在运行的函数栈帧总是在栈顶。Win32 系统提供两个特殊的寄存器用于表示位于系统栈顶端的栈帧:ESP(栈指针寄存器)和EBP(基址指针寄存器)。 在函数栈帧中,一般包括以下几...
网络安全简答题.doc
06-09
(3分) 缓冲区溢出攻击最常见的方法就是通过使某个特殊程序的缓冲区溢出转而执行一个S hell,通过Shell的权限可以执行高级的命令。如果这个特殊程序具有System权限,攻击成 功者就能获得一个具有Shell权限的Shell,就...
小迪渗透课程大纲(1).zip
09-22
- 系统漏洞:如缓冲区溢出、权限提升等,以及利用工具如Metasploit。 7. **权限提升** - Windows权限提升:理解权限继承、提权技术,如SMB权限提升。 - Linux权限提升:理解sudo、setuid、setgid,以及提权技巧...
似新非新的“无文件攻击”.pdf
09-11
- 2003年的Slammer蠕虫也是一个无文件恶意软件的典型例子,它通过网络传播,利用缓冲区溢出攻击,无需在目标系统上创建文件。 - 当今的无文件攻击多数与Powershell有关,攻击者利用Powershell的灵活性和广泛可用性...
第3课网络安全基础编程PowerPointPres.pptx
10-06
\n\n在编程过程中,遵循良好的编程习惯,如使用安全的函数,避免缓冲区溢出,及时释放资源,以及使用多层防御策略,都是确保网络安全编程实践的重要方面。此外,理解API和SDK的功能并合理使用,可以帮助开发者构建更...
操作系统课后答案.doc
09-26
3. **设备管理**:设备管理包括I/O操作的控制、设备驱动程序的管理、缓冲区的使用等,旨在提高设备利用率,减少CPU等待I/O操作的时间。 4. **文件系统管理(信息管理)**:操作系统提供了文件的创建、读取、写入、...
【计算机系统】缓冲区溢出攻击实验
热门推荐
Alex_SCY的博客
07-28 1万+
github地址 一、 实验目标: 理解程序函数调用中参数传递机制; 掌握缓冲区溢出攻击方法; 进一步熟练掌握GDB调试工具和objdump反汇编工具。 二、实验环境: 计算机(Intel CPU) Linux 64位操作系统 GDB调试工具 objdump反汇编工具 三、实验内容 本实验设计为一个黑客利用缓冲区溢出技术进行攻击的游戏。我们仅给黑客(同学)提供一个二进制可执行文件bufbomb和部分函数的C代码,不提供每个关卡的源代码。程序运行中有3个关卡,每个关卡需要用户输入正确的缓冲区内容,.
64位Linux下的栈溢出
omnispace的博客
03-29 5550
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf 本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3r RingZer0 Team 摘要 0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户
linux64 溢出,64位Linux下的栈溢出
weixin_29710403的博客
05-12 405
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
缓冲区溢出攻击
weixin_33720956的博客
08-10 460
缓冲区溢出攻击   缓冲区溢出(Buffer Overflow)是计算机安全领域内既经典而又古老的话题。随着计算机系统安全性的加强,传统的缓冲区溢出攻击方式可能变得不再奏效,相应的介绍缓冲区溢出原理的资料也变得“大众化”起来。其中看雪的《0day安全:软件漏洞分析技术》一书将缓冲区溢出攻击的原理阐述得简洁明了。本文参考该书对缓冲区溢出原理的讲解,并结合实际的代码实例进行验证。不过即便如此,完成...
linux 64位溢出
ruins44的博客
05-29 758
/*gcc -fno-stack-protetor -z execstack stack.c -o stack*/ /*echo 0 > /proc/sys/kernel/randomize_va_space*/ #include <stdio.h> #include <unisted.h> int vuln(){ char buf[80]; int r; r = read(
CTF-浅尝64位溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
详解 缓冲区(Buffer 抽象类)
Java我们右转见
03-05 271
在本篇博文中,本人主要讲解NIO 的两个核心点 ——缓冲区(Buffer) 和通道 (Channel)之一的缓冲区(Buffer), 有关NIO流的其他知识点请观看本人博文《详解 NIO流》 缓冲区(Buffer): 简介: 缓冲区( Buffer ): 一个用于特定基本数据类型的容器。 由 java.nio 包定义的,所有缓冲区都是 Buffer 抽象类的子类。...
linux 64位溢出
最新发布
08-19
引用提到了关于Linux64位缓冲区溢出的文章,对于想深入了解64位系统下的栈溢出攻击的人来说,这篇文章可能是一个很好的参考。引用提供了一个关于shellcode的示例,可以用来在64位系统中执行系统命令。而引用则指出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值