linux pwn栈溢出漏洞原理

最新推荐文章于 2022-09-21 23:18:09 发布
最新推荐文章于 2022-09-21 23:18:09 发布
阅读量500 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45948183/article/details/105083461
版权

学习栈溢出首先了解一下linux pwn常见的保护
》RELRO
部分RELRO:将.got段映射为只读(但.got.plt还是可以写)重新排列各个段来减少全局变量溢出导致覆盖代码段的可能性.
完全RELRO:
执行部分RELRO的所有操作,让链接器在链接期间(执行程序之前)解析所有的符号, 然后去除.got的写权限,将.got.plt合并到.got段中, 所以.got.plt将不复存在.
》.stack canary
在函数返回值之前添加的一串随机数(不超过机器字长),末位为/x00(提供了覆盖最后一字节输出泄露canary的可能)
》.NX标识页表是否可执行
》.pie:elf文件加载基址随机化
没有随机化。即关闭 ASLR。
保留的随机化。共享库、栈、mmap() 以及 VDSO 将被随机化。
完全的随机化。在 1 的基础上,通过 brk() 分配的内存空间也将被随机化。
加载了地址随机化在做题的时候每次加载的位置会不一样,可以用命令:(sudo bash -c "echo 0 > /proc/sys/kernel/randomize_va_space将随机化暂时关闭)

linux栈溢出基本原理:
首先了解一下栈的结构,
栈是一种数据结构,采用小端模式进行存储,即小地址单元存储数据的低位(即尾端)。是一种只能在一端进行插入和删除操作的特殊线性表。按照先进后出的原则存储数据,栈最重要的是栈保存了一个函数调用时所需要的维护信息,一般包含如下几方面的信息:
1.函数的返回地址和参数
2. 临时变量:包括函数的非静态局部变量以及编辑器自动生成的其他临时变量。

栈溢出原理:
栈溢出是指在栈内写入超过自身实际大小的内容造成改变栈中相邻变量的值的情况,从而破坏程序运行或者获得系统控制权的攻击手段。实现栈溢出要保证两个基本条件1、要程序必须向栈上写入数据2、程序并未对输入内容的大小进行控制。。。我们平时所说的的栈溢出漏洞利用就是利用栈溢出来劫持控制流到达任意代码执行的效果:
那么整个过程栈内发生了什么样的变化呢?
当栈内发生函数调用时,调用函数被保存在栈内,被调用函数被压入调用栈的栈顶;在函数调用结束时,栈顶的函数被弹出,栈顶恢复到调用函数的状态

那么栈是怎样进和出的呢?先看一下栈的数据结构
栈有两种状态入栈(push)和出栈(pop)
在这里插入图片描述在这里插入图片描述
假设a、b存在了stack上,

int main(){
    int a=0x100;
    int b=0x200;
    .......
    return 0;
    }

此时分布如图所示:
在这里插入图片描述在这里插入图片描述
callee就是被调用函数,caller为调用函数
函数调用时栈内发生的变化
主要涉及三个寄存器--esp,ebp,eip
esp 存储函数调用栈的栈顶地址,在压栈和退栈时发生变化。
ebp 用来存储当前函数状态的基地址,在函数运行时不变,可以用来索引确定函数参数或局部变量的位置。
eip 用来存储即将执行的程序指令的地址,eip 指向相邻的下一条指令,程序按照eip的指令执行
栈顶函数状态以及寄存器的变化:
在调用函数的时候会将被调用函数的状态保存起来,创建被调用函数的状态,因为我们最终函数调用结束时,栈顶恢复到调用函数的状态。
在这里插入图片描述
》1、将调用函数的参数逆序依次压入栈内,这里为什么是逆序,就是前面讲到的栈先进后出的原则
》2、将被调用函数的参数压入栈内然后将调用函数进行调用之后的下一条指令地址作为返回地址压入栈内
函数调用时的内部变化
1、将调用函数的返回地址压入栈内为将当前的 ebp 寄存器的值压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址

在这里插入图片描述
2、将调用函数的返回地址压入栈内后,将当前的 ebp 寄存器的值(也就是调用函数的基地址)压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址。这样caller的 ebp(基地址)信息得以保存。同时,ebp 被更新为调用函数的基地址
3、 将调用函数的基地址(ebp)压入栈内,并将当前栈顶地址传到 ebp 寄存器内再之后是将(callee)的局部变量等数据压入栈内
4、 将被调用函数的局部变量压入栈内在压栈的过程中。调用参数、返回地址、调用函数的基地址,以及局部变量等都可以被压入栈中,其中调用参数以外的数据共同构成了调用函数的状态。在发生调用时,程序还会将调用函数的指令地址存到 eip 寄存器内,这样就达到了上面所说的,让eip做我们想要做的事情

攻击:
在发生函数调用或者结束函数调用时,程序的控制权会在函数状态之间发生跳转,可以通过修改函数状态来实现攻击。控制程序执行指令最关键的寄存器就是 eip,让 eip 载入攻击指令的地址,也就拿到了相应的权限
1、在退栈过程中,返回地址会被传给 eip,所以只需要让溢出数据用攻击指令的地址来覆盖返回地址就可以了。
2、可以在溢出数据内包含一段攻击指令,也可以在内存其他位置寻找可用的攻击指令。
主要有以下几个方面:指向溢出数据中的一段指令(shellcode)、指向内存中已有的某个函数(return2libc)、指向内存中已有的一段指令(ROP)、修改某个被调用函数的地址,让其指向另一个函数(GOT)
参考:https://paper.seebug.org/271/

A0ko
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
Linux下的内存保护机制
小小鱼的博客
08-12 1437
0. 查看二进制文件开启的保护机制 使用 checsec 命令查看,按照pwntools的话就会装上checksec: 1. RELRO 有关RELRO的技术细节 https://hardenedlinux.github.io/2016/11/25/RelRO.html 有关GOT攻击的技术原理参考 http://blog.csdn.net/smalosnail/article/details/53247502 RELOR开启/关闭 gcc -o test test.c
二进制学习(pwn)-带后门的栈溢出
liulanghouzi的博客
09-21 865
帮助pwn爱好者入门~
栈溢出基本原理的简单讲解
热门推荐
yan_star的博客
03-31 3万+
栈溢出基本原理的简单讲解 (新手上路,大牛还请自行跳过,不足之处,欢迎批评指正) 一 、预备知识: 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 栈的简单介绍 栈:栈是一种计算机系...
栈溢出原理和利用学习
sinat_31054897的博客
09-05 1万+
PWN题经常遇到栈溢出,有时一些栈的基础知识总是记不清楚,脑子卡顿,所以整理一番,让自己彻底记住它! 1. 什么是栈? 栈,即堆栈,是一种具有一定规则的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶。 堆栈数据结构的两种基本操作: PUSH:将数据压入栈顶 POP :将栈顶数据弹出 知道了什么是栈,我们看看栈在内存中是怎样一个分布情况。 以Linu...
EIP & EBP & ESP
f413933206的专栏
12-20 7090
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2 ;   //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。ECX 是计
i 春秋月刊第六期:Linux pwn 零基础入门
10-23
i 春秋月刊第六期:Linux pwn 零基础入门
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
栈溢出 (1).pdf
09-30
栈溢出pwn的根本也是萌新入坑最好的方式,里面有栈溢出的根本原理等希望喜欢
栈溢出基础——ROP1.0的例题
07-13
几个pwn的入门题
简单的练手栈溢出pwn100-附件资源
03-02
简单的练手栈溢出pwn100-附件资源
02-linux pwn入门学习到放弃.pdf
09-20
02-linux pwn入门学习到放弃.pdf
idafree76_linux.run
08-12
都说ida很少有linux版本的,找到一个
PWN栈溢出
u012173720的博客
11-21 1526
Shellcode --修改返回地址,让其指向溢出数据中的一段指令 根据上面副标题的说明,要完成的任务包括:在溢出数据内包含一段攻击指令,用攻击指令的起始地址覆盖掉返回地址。攻击指令一般都是用来打开 shell,从而可以获得当前进程的控制权,所以这类指令片段也被成为“shellcode”。shellcode 可以用汇编语言来写再转成对应的机器码,也可以上网搜索直接复制粘贴,这里就不再赘述。下面...
Linux栈溢出例子详解
weixin_39833509的博客
03-16 1441
注:本例中使用的例子为看雪论坛帖子中的例子(https://bbs.pediy.com/thread-216868.htm),结合自己的理解,进行更深入的详细的讲解,更有利于理解细节! 例子中的代码如下: //vuln.c #include <stdio.h> #include <string.h> int main(int argc, char* argv[]) { /*...
Linux pwn入门教程(9)——stack canary与绕过的思路
子曰小玖的博客
06-04 2554
https://bbs.ichunqiu.com/thread-44069-1-1.html 0x00 canary简介 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金...
溢出练习题pwn1
Elvira
08-26 5125
集训慢慢接近了尾声,樊荣学长给我们jian
ctfshow PWN 栈溢出
最新发布
08-23
根据引用,在ctfshow PWN中,参赛者可以利用栈溢出漏洞控制程序执行流程。通过向程序输入特制的数据,可以覆盖控制流中的返回地址,使程序跳转攻击者精心构造的代码,从而达到获取系统权限的目的。 具体来说...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值