0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

x86_64函数调用惯例及其栈帧

Linux阅码场 来源:未知 作者:李倩 2018-05-01 16:41 次阅读

栈缓冲区溢出概述

缓冲区溢出是一种历史悠久的攻击手段,在1988爆发的Morris worm就使用缓冲区溢出作为其中一种攻击手段.简单定义下,缓冲区溢出就是利用编程语言不进行数组下标越界进行检查的漏洞,向缓冲区写入越界的数据,破坏缓冲区相邻内存数据的一种手段。

具体而言,缓冲区溢出包含的变种有栈缓冲区溢出,堆缓冲区溢出等。

保护措施

为了保护系统不受缓冲区溢出的攻击,研究人员提出了一系列的保护措施,包括:

地址空间随机化(ASLR),在每次编译链接时,将程序地址空间中的函数库,代码段,数据段,堆栈的地址随机化。

栈不可执行(NX),将栈的页描述符的X位设置为0, 防止CPU执行攻击者向栈中注入的代码。

金丝雀(canary),在栈底写入一个魔数,当攻击者实施栈溢出时,魔数就会被覆盖,系统就会检测到该程序已经受到了攻击。

x86_64函数调用惯例及其栈帧

为了向栈中注入我们自己的代码,首先需要了解的是函数调用时的栈的变化。需要提前说明的是,x86是小端结构,栈的起点位于高地址。写一段简单的代码:

gcc call.c -o callobjdump -d call

编译之后,让我们看看可执行文件的情况。

图3-1

下图是main函数和maxn函数的栈帧变化示意图图3-2

下图是简化后的函数的栈的结构

shellcode的编写

shellcode就是我们注入到目标栈中的代码,shellcode的功能是使用execve函数得到一个shell。

x86-64的系统调用

从下图可见,x86_64架构取消了传统的中断形式的系统调用,使用syscall指令实现系统调用。并且存放参数的寄存器也有所变化。execve的系统调用号也从0xb变为了0x3b

图4-132bit和64bit系统调用对比图 [object Object]2

代码实例

为了提高得到shell的成功率,我们使用内联汇编完成,代码并不难理解,需要说明的是有三点:

标号here和call指令的使用保证程序处于循环之中,不会自动退出

pop %rdi 将execve的参数"/bin/sh" 的地址传入rdi

在执行syscall之前需要使用xor rax, rax将rax寄存器清空

call指令将下一条指令的地址入栈保存,这样参数 "/bin/sh" 的地址也就保存在了栈中

运行命令gcc rop.c编译完成后,得到可执行文件a.out运行之后,可以看到shell成功运行图4-2

截取shellcode

图4-3

得到的可执行文件包含很多段,我们需要截取出需要的部分由上图可以看到main函数的起点是0x4004d6, retq指令的地址为0x4004fe,4fe - 4d6 = 28, 所以我们将截取的大小设置为32个字节(8的整数倍)使用xxd工具完成截取操作,xxd -s0x4d6 -l32 -p a.out > shellcode使用-p参数输出单纯的16进制数据图4-4

victim

先看一段有漏洞的代码,缓冲区大小为32个字节。

接下来我们需要逐步关闭一些保护机制

1. 关闭金丝雀机制

gcc -fno-stack-protector -o victim victim.c

2. 关闭栈不可执行机制

execstack -s victim

3. 关闭地址空间随机化

setarcharch-R ./victim

运行多次我们会发现缓冲区的地址并不会改变

6

向栈中注入数据

接下来到了最关键的一步,向目标缓冲区注入数据。有两个问题:

注入数据的内容

注入数据的长度

注入数据的内容

最终的目的是改变进程的执行路径,让其执行我们构造好的shellcode。由图4-3可得main函数的最后一条指令是retq指令,该指令的行为是将栈顶所保存的返回地址赋给rip, 恢复进程的原执行路径。只要我们将返回地址修改为shellcode的地址,当main函数执行retq指令后,就可以让进程执行shellcode。

所以数据的内容应该是 shellcode + 填充字节 + shellcode的地址(从低地址到高地址)

图6-1

注入数据的长度

缓冲区是32字节,保存的栈底指针rbp是8个字节,返回地址是8个字节,也就是32 + 8 + 8.而shellcode 是32个字节,所以为了覆盖整个栈帧,填充字节应该是8(8个字节的rbp),最后是8个字节的shellcode的地址.也就是32 + 8+ 8.

开始获取shell

由于x86是小端,所以我们需要颠倒缓冲区地址的次序(使用tac命令)得到缓冲区地址addr=$(echo | setarcharch-R ./victim)a=printf %16x $addr | tac -rs..图6-2

cat shellcode ; printf %016d 0 ;

echo $a | xxd -r -p ;

cat | setarcharch-R ./victim注入后的栈结构:

运行上述命令后,可以看到成功得到了一个shell。

总结

其实,由于地址空间随机化和栈不可执行等保护措施,常规的栈缓冲区溢出攻击已经失效.后来为了应对栈不可执行机制,出现了ret2lib 攻击,在ret2lib中我们不再向栈中注入代码,而是利用libc中的系统调用system来获取shell.随后又出现了ROP(面向返回编程).

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 缓冲区
    +关注

    关注

    0

    文章

    31

    浏览量

    9071
  • 编程语言
    +关注

    关注

    10

    文章

    1908

    浏览量

    34279
  • 函数
    +关注

    关注

    3

    文章

    4220

    浏览量

    61876

原文标题:黄东升: 栈缓冲区溢出攻击实例

文章出处:【微信号:LinuxDev,微信公众号:Linux阅码场】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    C函数调用机制与原理详解

    当一个C 函数调用时, 函数的参数如何传递、堆栈指针如何变化、 是如何被建立以及如何被消除的,一直缺乏系统性的理解,因此决定花时间学习下
    发表于06-08 10:49 910次阅读
    C<b class='flag-5'>函数</b><b class='flag-5'>调用</b>机制与<b class='flag-5'>栈</b><b class='flag-5'>帧</b>原理详解

    ARMv8的函数调用是什么意思?调用的内存管理是怎样的

    sp – x; 而ARM 32的 函数堆栈,则在 函数内部也是动态生长的;到了ARM 64函数 调用
    发表于05-13 10:36

    用一个实例展示一下Linux内核的入和退过程

    1、Linux内核调试方法总结之 和指针可以说是C语言的精髓。
    发表于11-04 15:47

    如何为x86_64目标编译88W9098?

    x86_64目标编译 88W9098
    发表于04-21 08:52

    Windows_Installer(x86/x64)下载

    Windows_Installer( x86/ x64)下载
    发表于01-15 17:17 0次下载

    来聊聊函数是怎么传入参数的

    从图例中可以看出,当A 函数没有 调用B 函数时,A 函数 只保存着局部变量,而EBP(
    的头像 发表于07-05 15:57 6191次阅读

    Xilinx SDAccel开发环境在X86_64位工作站的运行情况

    本视频演示了SDAccel开发环境在一个标准 X86_64位工作站上运行的情况,以展示其为您所带来的生产力的提升;以及该开发环境对OpenCL,C,C ++等等支持情况。该工作站包含一个 Alpha Data的ADM-PCIE-7V3加速卡。
    的头像 发表于11-27 06:45 2161次阅读

    友善之臂T4成为计算性能与X86_64不分伯仲的ARM

    一直以来,小伙伴们都有这样的观念, X86_64处理器的强项是每个核心的多线程能力;ARM Cortex A系列内核处理器的强项是堆核心,一般是依靠多核而不是单核多线程。
    发表于04-19 15:33 3749次阅读

    带你了解嵌入式C语言函数调用

    大家都知道 函数 调用是通过 来实现的,而且知道在 中存放着该 函数的局部变量。但是对于 的实现细节可
    发表于07-12 17:08 2005次阅读
    带你了解嵌入式C语言<b class='flag-5'>函数</b><b class='flag-5'>调用</b><b class='flag-5'>栈</b>

    Linux中的32位与64

    当然intel也很快开发出支持该指令集的CPU,不过intel将其称为 x64架构,而不是用amd 64这个名字。而在linux中则称为 x86_64,即 x86架构的
    的头像 发表于12-11 16:00 2129次阅读
    Linux中的32位与<b class='flag-5'>64</b>位

    Arm64回溯 结构介绍

    所示。 指针SP指向 底( 低保存了数据)。 每产生一次 函数 调用,就会在 中形成一个
    的头像 发表于07-28 11:25 673次阅读
    Arm<b class='flag-5'>64</b><b class='flag-5'>栈</b>回溯 结构介绍

    Arm64程序调用通用寄存器的使用方法

    下面是Arm 64程序 调用标准规定的通用寄存器的使用方法。 参数寄存器( X0-X7) 函数参数数量小于等于8个时,使用 X0-X7传递,大于8个
    的头像 发表于07-28 11:28 2276次阅读
    Arm<b class='flag-5'>64</b>程序<b class='flag-5'>调用</b>通用寄存器的使用方法

    系统调用:用户与内核的切换(上)

    当发生系统 调用、产生异常,外设发生中断等事件时,会发生用户 和内核 之间的切换, 本文从系统 调用角度分析用户 与内核
    的头像 发表于07-31 11:27 726次阅读
    系统<b class='flag-5'>调用</b>:用户<b class='flag-5'>栈</b>与内核<b class='flag-5'>栈</b>的切换(上)

    python函数函数之间的调用

    函数函数之间的 调用3.1 第一种情况 程序代码如下: def x( f ): def y (): print ( 1 ) return y def f (): print ( 2
    的头像 发表于10-04 17:17 471次阅读

    IA-64x86-64处理器介绍

    x86-64:又简称为 x64,最初开发为1999年AMD,为了扩充IA 64。当时的 x86-64架构诞生颇有时代意义,处理器的发展遇到了瓶颈,内存寻址空间由于受到32位CPU的限制而只能
    的头像 发表于12-10 14:48 2597次阅读