64位栈溢出

最新推荐文章于 2023-12-08 19:59:16 发布
最新推荐文章于 2023-12-08 19:59:16 发布
阅读量790 收藏 3
点赞数
分类专栏: linux pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44932880/article/details/109059738
版权

64位程序栈溢出

当参数少于7个时, 参数<1-6>放入寄存器: rdi, rsi, rdx, rcx, r8, r9

    High
    Address |                 |
            +-----------------+
            | 第7参数(如果有)    |
            +-----------------+
            | return address  |
            +-----------------+
   rbp =>   | old rbp         |
            +-----------------+
  rbp-8 =>  | canary value    |
            +-----------------+
            | local variables |
    Low     |                 |
    Address

一般参数小于7

#payload = 'a'*buf+p64(rbp)+p64(hack1)+p64(hack2)
buf为覆盖地址到ebp的字节
rbp为任意值

原理
调用hack1前,
函数一般leave,ret
将 return address  (rbp+8)传给rip
rsp指向 rbp +16
返回地址是函数hack1

调用hack1,会在rsp(rbp+16)低地址上(即rbp+24)建立栈帧
hack1返回地址就是rbp+16
则接着执行hack2

#如果要传参,要用到rop
*** 如<只给hack1传参>  ***
##payload = 'a'*buf+p64(rbp)+p64(pop|ret)+p64(参数)+p64(hack1)+p64(hack2)
如pop_rdi_ret (传递第一个参数)
将返回地址改为pop|ret则会将栈上数据传给寄存器。有几个pop就在栈上布局多少参数。
最后ret 会将rip指向参数下面的地址	如hack1

调用完hack1就执行hack2

函数hack1传参,栈布局

    High
    Address |                 |
           +-----------------+
           | hack2       	|
           +-----------------+
           |	   hack1      |
           +-----------------+
           |     hack1参数2  |
           +-----------------+
           |     hack1参数1  |
           +-----------------+
           | 返回地址(rop)     |  pop rdi|pop rsi |ret 传递参数,执行hack1                 
            +-----------------+
   rbp =>   | old rbp         |
            +-----------------+
  rbp-8 =>  | canary value    |
            +-----------------+
            | local variables |
    Low     |                 |
    Address
轩渊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 423
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 652
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
最新发布
Bossfrank的博客
12-08 5489
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
64位Linux下的栈溢出
10-05
0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户控制的缓冲区 0x06 执行shellcode 0x07 GDB vs 现实 0x08 结语
linux64 溢出,64位Linux下的栈溢出
weixin_29710403的博客
05-12 406
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
栈溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于栈空间分配不当,导致数据超出预定的栈帧范围,从而影响到其他栈帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
Linux下基本栈溢出攻击
01-30
基本的栈溢出攻击,是最早产生的一种缓冲区溢出攻击方法,它是所有其他缓冲区溢出攻击的基础。但是,由于这种攻击方法产生的时间比较长,故而GCC编译器、Linux操作系统提供了一些机制来阻止这种攻击方法对系统产生...
栈溢出crash小合集
11-15
栈溢出是计算机安全领域中的一个重要话题,尤其在软件漏洞挖掘和逆向工程中占据显著地位。本资源“栈溢出crash小合集”包含了作者通过自动化模糊测试工具AFL(American Fuzzy Lop)发现的一系列栈溢出导致的程序崩溃...
栈溢出攻击技术
03-13
缓冲区溢出攻击技术-栈溢出攻击技术。网络安全相关。
linux 函数栈溢出,64位Linux下的栈溢出
weixin_30175731的博客
05-03 486
今天在看《捉虫日记》,其中讲解的Linux下的栈缓冲区溢出是32位机器的,和我的64位机器有些不同之处。下面是我在64位Linux (Ubuntu14) 下的栈缓冲区溢出实验的记录。首先是有溢出漏洞的程序,这个程序来自于《捉虫日记》。#includevoid overflow(char *arg){char buf[12];strcpy(buf, arg);}int main(int argc, ...
oj level2_x64 简单栈溢出(64)
weixin_44954083的博客
07-12 243
一开始就看一下这道题的保护机制和位数 由于NX是保护的,所以栈上的数据没有执行权限 防止攻击手段:栈溢出 + 跳到栈上执行shellcode 因为这道题是64位的,不是32位,32位和64位的主要区别在于函数参数传递的方式, 32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。就是前6个是从左到右,多于6个的时候时,就是从右到左压入堆栈, 64位主要...
x64 ArchLinux栈溢出实验
Anansi的博客
10-21 366
栈 只要对编程有一定了解的同鞋应该都知道这个词,就拿C/CPP来说,在一个程序中他所有的局部变量与函数参数都是存在栈区里的比如 int fun(int i) { int a=0; return a; } 在这个简单的程序里变量i与变量a都存放在函数fun的栈区内 还有一种情况 int b =9; int fun(int i) { int a=0; return a; } 在这里也还是只有变量i与变量a存放在函数fun的栈区内,而变量b是全局变量不在函数fun的栈区内。 说道函数栈就得说说栈帧,栈
linux 64位 栈溢出,栈溢出64位程序的处理方法
weixin_39717865的博客
05-13 1360
在做 pwn 题时,难免会遇到64位栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
ARM64/32寄存器说明
独行侠
05-21 1728
x0~x7:传递子程序的参数和返回值,使用时不需要保存,多余的参数用堆栈传递,64位的返回结果保存在x0中。 x8:用于保存子程序的返回地址,使用时不需要保存。 x9~x15:临时寄存器,也叫可变寄存器,子程序使用时不需要保存。 x16~x17:子程序内部调用寄存器(IPx),使用时不需要保存,尽量不要使用。 x18:平台寄存器,它的使用与平台相关,尽量不要使用。 x19~x28:临时寄存器,子程序使用时必须保存。 x29:帧指针寄存器(FP),用于连接栈帧,使用时必须保存。 x30:链接寄存器(LR)..
64位栈溢出简单rop与简单例题的复现
goat_2003的博客
09-18 658
首先还是找到关键函数 可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。 如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。 那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数
pwn刷题num19----栈溢出
tbsqigongzi的博客
04-24 474
BUUCTF-PWN-rip 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启NX保护-----堆栈可执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 ida一下,看一下主函数 这里的gets(&s, argv); gets第一个参数是要输出的字符串首地址,第二个参数是输出的字符串的长度 s占0xf个字节,这里argv的值是未知的,但这个程序能利用的也只
Windows栈溢出学习笔记
不想当脚本小子的脚本小子
02-22 1074
Windows下栈溢出: 1.高级语言编译链接后变成PE文件,PE装载运行后变成进程。 2.系统栈: 操作系统为进程中的每个函数调用都划分了一个栈帧空间,(系统自动分配)系统栈是这些函数调用栈帧的集合; 系统栈由系统自动维护: 1)随着函数调用层数的增加,函数栈帧是一块块地向内存低地址方向延伸的,当前正在运行的函数的栈帧总是在栈顶; 2)随着进程中函数调用层数的减少,即各函数调用的返回,栈...
linux 64位 栈溢出
08-19
在Linux 64位系统中,栈溢出是一种常见的安全漏洞。栈溢出是指当程序写入超过栈分配的缓冲区的数据时,会覆盖到栈上的其他数据,从而导致程序的异常行为。这个漏洞可以被恶意攻击者利用,执行任意的代码或者获取敏感数据。 在64位系统中,栈溢出的原理和32位系统类似,但是由于64位系统的栈和寄存器的大小不同,所以在实际操作上会有所不同。一种常见的攻击方法是通过溢出覆盖返回地址,将程序的控制流引导到恶意代码执行的地址上。为了实现栈溢出攻击,攻击者需要了解目标程序的内存布局和对应的函数调用机制。 引用提到了关于Linux下64位缓冲区溢出的文章,对于想深入了解64位系统下的栈溢出攻击的人来说,这篇文章可能是一个很好的参考。引用提供了一个关于shellcode的示例,可以用来在64位系统中执行系统命令。而引用则指出本文的目的是让读者学习64位缓冲区溢出的基础知识。 总的来说,在Linux 64位系统中,栈溢出是一种常见的安全漏洞,攻击者可以通过溢出覆盖返回地址来执行恶意代码。为了进行栈溢出攻击,攻击者需要了解目标程序的内存布局和函数调用机制。可以参考引用中的文章来深入了解64位系统下的栈溢出攻击的细节。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [linux64 溢出,64位Linux下的栈溢出](https://blog.csdn.net/weixin_36383252/article/details/116872723)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [linux栈溢出](https://blog.csdn.net/qq_45323960/article/details/122766130)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值