栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(一)函数如何执行
栈溢出网上已经有很多的例子了,但是很少会涉及到在64位的和操作系统linux相关的,而最近刚好在一直研究这个,所以写着一系列博文,一来是为了帮助自己记忆,二来也是为了更多的大家互相探讨。
寄存器
X86-64有16个64位寄存器,分别是:%rax,%rbx,%rcx,%rdx,%esi,%edi,%rbp,%rsp,%r8,%r9,%r10,%r11,%r12,%r13,%r14,%r15。其中:
%rax 作为函数返回值使用
%rsp 栈指针寄存器,指向栈顶
%rdi,%rsi,%rdx,%rcx,%r8,%r9 用作函数参数,依次对应第1参数,第2参数,第3参数 一一匹配
%rbx,%rbp,%r12,%r13,%14,%15 用作数据存储,callee-save 调用子函数前要保存到栈中
%r10,%r11 用作数据存储 caller-save 调用前要先保存原值到栈中
栈的结构
这是32位的栈地址布局。, 32位和64位的区别主要在于寄存器的区别,原来ebp esp 指针寄存器 编程rbp, rsp
| 返回的地址 | |
| 上一个栈的地址 | <--rbp |
| 参数n | |
| ... | |
| 参数1 | <--rsp |
3个重要的指针寄存器 rbp, rsp, rip
前提:现在函数A调用函数B
rbp: 当前函数栈B的起始位置
rsp: 当前函数栈B的底位置
rip: 当前执行到函数的地址位置
函数的进入和返回
3个汇编指令
1. call address
这个指令很简单,就是调用函数的地址
push %rip 把rip的地址保存进栈中,实际上就是当前运行到的地址
jmp address 把下个调用函数的地址给rip
| 上上一个栈的起始地址 | <--rbp |
| 上一个栈的参数n | |
| ... | |
| 上一个栈的参数1 | |
| 上一个栈的rip的值 | |
| <--rsp |
而保存rbp的值是在进入函数后push %rsp 实现的。
2. leaveq
指令相当于
move %rbp %rsp 把rsp指针指向rbp
pop %rbp 把栈里值赋予rbp, 同时rsp指向上一个地址,也就是rsp现在指向栈结构图中的 返回的地址
| 上上一个栈的运行到的地址 | |
| 上上一个栈的起始地址 | <--rbp |
| 上一个栈的参数n | |
| ... | |
| 上一个栈参数1 | |
| 上一个栈的运行到的地址 | <--rsp |
| 上一个栈的起始地址 | |
| 参数n | |
| ... | |
| 参数1 |
3. ret
指令相当于
pop %rip 把返回的地址赋予rip, rsp 指向上一个地址
| 上上一个栈的运行到的地址 | |
| 上上一个栈的起始地址 | <--rbp |
| 上一个栈的参数n | |
| ... | |
| 上一个栈参数1 | <--rsp |
| 上一个栈的运行到的地址 | |
| 上一个栈的起始地址 | |
| 参数n | |
| ... | |
| 参数1 |
通过3后,大家可以看到整个函数完成退出,而栈指针也回到了调用函数的栈中。这样完整的函数调用就完成了,也完成了进栈出栈的过程。
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
