linux 64位栈溢出分析

最新推荐文章于 2025-04-18 17:43:30 发布
最新推荐文章于 2025-04-18 17:43:30 发布
阅读量2.5k 收藏 1
点赞数 1
分类专栏: 系统调试 文章标签: linux 64位 栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35519254/article/details/76531033
版权
本文详细介绍了在64位Ubuntu环境下,如何分析栈溢出并利用Return-Oriented Programming(ROP)控制程序流程。通过设置DEP和ASLR,调试一个简单的C程序,展示了如何找到关键代码,控制栈中的寄存器,最终实现调用`write`和`system`函数,执行`/bin/sh`,从而演示了栈溢出攻击的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

调试环境是ubuntu16 64位
这次开启了DEP、ASLR(知道libc.so情况下)
还是参考了《一步一步学ROP之linux_x64篇》这篇文章。

代码是1.c: 
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 256);
}

int main(int argc, char** argv) {
    vulnerable_function();
    write(STDOUT_FILENO, "Hello, World\n", 13);
}
gcc -fno-stack-protector -o 1 1.c
开启ASLR: 
sudo -s 
echo 2 > /proc/sys/kernel/randomize_va_space
exit
首先获取几个变量:
main函数地址: 
yang@yang-virtual-machine:~/test$ objdump -d 1 | grep main
  400410:	e8 4b 00 00 00       	callq  400460 <__libc_start_main@plt+0x10>
0000000000400450 <__libc_start_main@plt>:
  400494:	e8 b7 ff ff ff       	callq  400450 <__libc_start_main@plt>
0000000000400587 <main>:
yang@yang-virtual-machine:~/test$
可以看到main函数地址是0x400587。

.bss段的首地址: 
yang@yang-virtual-machine:~/test$ readelf -S 1 | grep bss
  [26] .bss              NOBITS           0000000000601040  00001040
yang@yang-virtual-machine:~/test$
可以看到.bss段的首地址是0x601040
介绍一下linux64位的函数传参方式,是通过rdi rsi rdx rcx r8 r9依次入栈的 (Windows64位是rcx rdx r8 r9依次入栈的)。所以如果需要调用函数,就需要控制rdi rsi等寄存器,而不仅仅是控制栈了。
这就需要寻找相关代码了,在libc.
最低0.47元/天 解锁文章
【ARM Linux 系统稳定性分析入门及渐进 3 -- 栈溢出
CodingCos的博客
12-01 1808
是一块分配在栈之下的一块内存空间(假设栈stack是向下生长的),如图 2 所示,这样当栈 stack下溢时,就能在保护区留下痕迹 trace。,当子函数调用过程中,并不会去改变这些值的时候,就不需要压栈,说白了,压栈的目的就是为了在使用完的时候能恢复原来的状态。每个进程都会有自己的栈空间,而进程中的各个函数也会维护自己本身的一个栈的区域,这个区域就是。一般栈向下生长,即从高地址到低地址,如果栈空间不足,发生下溢,则栈之下的内存空间被写入。把栈空间填充成固定的值可以检测栈空间的下溢,如在程序开始前填充。
Jarvislevel2_x64--64简单栈溢出
qq_43613144的博客
07-26 481
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
64Linux下的栈溢出
10-05
0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户控制的缓冲区 0x06 执行shellcode 0x07 GDB vs 现实 0x08 结语
产生栈溢出的风险,应该怎么排查?在linux环境,怎么去先查查栈的大小,然后再建立对象的方法吗?
最新发布
thanklife的专栏
04-18 768
栈溢出通常是由于递归调用过深或在栈上分配了过大的局部变量引起的。在 Linux 下,可以通过ulimit -s查看和调整栈大小。使用调试工具(如gdb和valgrind)可以帮助定栈溢出问题。最佳实践包括避免在栈上分配大数组、优化递归算法以及合理设置栈大小。希望这些内容对你有所帮助!
linux 函数栈溢出,64Linux下的栈溢出
weixin_30175731的博客
05-03 599
今天在看《捉虫日记》,其中讲解的Linux下的栈缓冲区溢出是32机器的,和我的64机器有些不同之处。下面是我在64Linux (Ubuntu14) 下的栈缓冲区溢出实验的记录。首先是有溢出漏洞的程序,这个程序来自于《捉虫日记》。#includevoid overflow(char *arg){char buf[12];strcpy(buf, arg);}int main(int argc, ...
linux 栈溢出
sky123博客
02-01 4241
栈基础知识 栈结构 函数调用过程 32为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32程序 普通函数传参:参数基本都压在栈上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64程序: 普
栈溢出攻击系列:shellcode在linux x86 64攻击获得root权限(七)利用寄存器攻击
沧海一粟
02-23 3422
栈溢出攻击系列:shellcode在linux x86 64攻击获得root权限(七)利用寄存器攻击
linux 内核栈溢出,Linux 内核栈溢出分析
weixin_39714528的博客
04-30 1366
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?由于内核栈的大小是有限的,就会有发生溢出的可能,比如调用嵌套太多、参数太多都会导致内核栈的使用超出设定的大小。本文分析内核栈溢出Linux 系统进程运行分为 用户态 和 内核态,进入内核态之后使用的是内核栈,作为基本的安全机制,用户程序不能直接访问内核栈,所以尽管内核栈属于进程的地址空间,但与用户栈是分开的。内核栈需要...
64Linux栈溢出原理与利用示例
本文主要探讨了在64Linux系统环境下发生的栈溢出攻击,由作者Mr.Un1k0d3rRingZer0Team撰写,旨在帮助读者理解64系统下栈溢出攻击的基本原理和技术细节。文章首先解释了x86和x86_64架构之间的关键区别,重点提到...
linux栈溢出检测原理,栈溢出原理
weixin_36280317的博客
05-13 1322
栈溢出原理¶介绍¶栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞,类似的还有堆溢出,bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。此外,我们也不难发现,发生栈溢出的基本前提是 程序必须向栈上写入数据。写入的数据大小没有被良好地控制。基本示例¶最典型的...
栈溢出调试方法合集
07-19
栈溢出获取shell 用gdb调试缓冲区溢出 初尝Linux栈溢出 用gdb调试缓冲区溢出 栈的观察
Linux x86 栈溢出
Reshahar 的博客
12-02 640
无防护下的栈溢出
linux栈溢出检测原理,操作系统栈溢出检测之ucosII篇
weixin_39745933的博客
05-13 356
Author : David Lin 林鹏OS : 源码级理解掌握UcosRt-thread等嵌入式操作系统内核的设计与实现目前在研究linux内核路漫漫其修远兮吾将上下而求索 :)转载请注明出处谢谢前言在嵌入式操作系统运行中进程的栈溢出问题是大家比较关心的问题由于资源限制栈大小受到限制本文主要介绍uc/os自...
Linux栈溢出例子详解
weixin_39833509的博客
03-16 1541
注:本例中使用的例子为看雪论坛帖子中的例子(https://bbs.pediy.com/thread-216868.htm),结合自己的理解,进行更深入的详细的讲解,更有利于理解细节! 例子中的代码如下: //vuln.c #include &lt;stdio.h&gt; #include &lt;string.h&gt; int main(int argc, char* argv[]) { /*...
oj level2_x64 简单栈溢出64
weixin_44954083的博客
07-12 316
一开始就看一下这道题的保护机制和数 由于NX是保护的,所以栈上的数据没有执行权限 防止攻击手段:栈溢出 + 跳到栈上执行shellcode 因为这道题是64的,不是32,3264的主要区别在于函数参数传递的方式, 32程序函数的参数是压在栈中的,而64程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。就是前6个是从左到右,多于6个的时候时,就是从右到左压入堆栈, 64主要...
x64 ArchLinux栈溢出实验
Anansi的博客
10-21 456
栈 只要对编程有一定了解的同鞋应该都知道这个词,就拿C/CPP来说,在一个程序中他所有的局部变量与函数参数都是存在栈区里的比如 int fun(int i) { int a=0; return a; } 在这个简单的程序里变量i与变量a都存放在函数fun的栈区内 还有一种情况 int b =9; int fun(int i) { int a=0; return a; } 在这里也还是只有变量i与变量a存放在函数fun的栈区内,而变量b是全局变量不在函数fun的栈区内。 说道函数栈就得说说栈帧,栈
Linux 64下栈布局
biosd的专栏
06-03 4698
看了《coredump问题原理探究》系列博文后。在Linux 64分析了栈分布情况,在函数参数,局部变量等上面和32有一些差别。现记录下来,以供参考。         首先在64下,寄存器esp变成了rsp,ebp变成了rbp,ip变成了rip。 环境:           1. Linux内核版本: >cat /proc/version
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值