x86_64函数调用惯例及其栈帧

栈缓冲区溢出概述

缓冲区溢出是一种历史悠久的攻击手段，在1988爆发的Morris worm就使用缓冲区溢出作为其中一种攻击手段．简单定义下，缓冲区溢出就是利用编程语言不进行数组下标越界进行检查的漏洞，向缓冲区写入越界的数据，破坏缓冲区相邻内存数据的一种手段。

具体而言，缓冲区溢出包含的变种有栈缓冲区溢出，堆缓冲区溢出等。

保护措施

为了保护系统不受缓冲区溢出的攻击，研究人员提出了一系列的保护措施，包括：

地址空间随机化(ASLR)，在每次编译链接时，将程序地址空间中的函数库，代码段，数据段，堆栈的地址随机化。

栈不可执行(NX)，将栈的页描述符的X位设置为0, 防止CPU执行攻击者向栈中注入的代码。

金丝雀(canary)，在栈底写入一个魔数，当攻击者实施栈溢出时，魔数就会被覆盖，系统就会检测到该程序已经受到了攻击。

x86_64函数调用惯例及其栈帧

为了向栈中注入我们自己的代码，首先需要了解的是函数调用时的栈的变化。需要提前说明的是，x86是小端结构，栈的起点位于高地址。写一段简单的代码：

gcc call.c -o callobjdump -d call

编译之后，让我们看看可执行文件的情况。

图３－１

下图是main函数和maxn函数的栈帧变化示意图图３－２

下图是简化后的函数的栈的结构

shellcode的编写

shellcode就是我们注入到目标栈中的代码，shellcode的功能是使用execve函数得到一个shell。

x86-64的系统调用

从下图可见，x86_64架构取消了传统的中断形式的系统调用，使用syscall指令实现系统调用。并且存放参数的寄存器也有所变化。execve的系统调用号也从0xb变为了0x3b

图4-132bit和64bit系统调用对比图 [object Object]2

代码实例

为了提高得到shell的成功率，我们使用内联汇编完成，代码并不难理解，需要说明的是有三点：

标号here和call指令的使用保证程序处于循环之中，不会自动退出

pop %rdi 将execve的参数 "/bin/sh" 的地址传入rdi

在执行syscall之前需要使用xor rax, rax将rax寄存器清空

call指令将下一条指令的地址入栈保存，这样参数 "/bin/sh" 的地址也就保存在了栈中

运行命令gcc rop.c编译完成后，得到可执行文件a.out运行之后，可以看到shell成功运行图4-2

截取shellcode

图4-3

得到的可执行文件包含很多段，我们需要截取出需要的部分由上图可以看到main函数的起点是0x4004d6, retq指令的地址为0x4004fe，4fe - 4d6 = 28, 所以我们将截取的大小设置为32个字节(8的整数倍)使用xxd工具完成截取操作，xxd -s0x4d6 -l32 -p a.out > shellcode使用-p参数输出单纯的16进制数据图4-4

victim

先看一段有漏洞的代码，缓冲区大小为32个字节。

接下来我们需要逐步关闭一些保护机制

1. 关闭金丝雀机制

gcc -fno-stack-protector -o victim victim.c

2. 关闭栈不可执行机制

execstack -s victim

3. 关闭地址空间随机化

setarcharch-R ./victim

运行多次我们会发现缓冲区的地址并不会改变

6

向栈中注入数据

接下来到了最关键的一步，向目标缓冲区注入数据。有两个问题：

注入数据的内容

注入数据的长度

注入数据的内容

最终的目的是改变进程的执行路径，让其执行我们构造好的shellcode。由图4-3可得main函数的最后一条指令是retq指令，该指令的行为是将栈顶所保存的返回地址赋给rip, 恢复进程的原执行路径。只要我们将返回地址修改为shellcode的地址，当main函数执行retq指令后，就可以让进程执行shellcode。

所以数据的内容应该是 shellcode + 填充字节 + shellcode的地址（从低地址到高地址）

图6-1

注入数据的长度

缓冲区是32字节，保存的栈底指针rbp是８个字节，返回地址是８个字节，也就是32 + 8 + 8．而shellcode 是３２个字节，所以为了覆盖整个栈帧，填充字节应该是8（８个字节的rbp）,最后是８个字节的shellcode的地址．也就是32 + 8+ 8.

开始获取shell

由于x86是小端，所以我们需要颠倒缓冲区地址的次序(使用tac命令)得到缓冲区地址addr=$(echo | setarcharch-R ./victim)a=printf %16x $addr | tac -rs..图6-2

cat shellcode ; printf %016d 0 ;

echo $a | xxd -r -p ;

cat | setarcharch-R ./victim注入后的栈结构：

运行上述命令后，可以看到成功得到了一个shell。

总结

其实，由于地址空间随机化和栈不可执行等保护措施，常规的栈缓冲区溢出攻击已经失效．后来为了应对栈不可执行机制，出现了ret2lib 攻击，在ret2lib中我们不再向栈中注入代码，而是利用libc中的系统调用system来获取shell．随后又出现了ROP(面向返回编程).