assembly 在Shellcode中堆栈内存地址

p8h8hvxi 于 2022-11-13 发布在 Shell

关注(0)|答案(1)|浏览(166)

我在这里阅读了一篇关于编写shellcode（使用stack方法执行）的基础文章：http://hackoftheday.securitytube.net/2013/04/demystifying-execve-shellcode-stack.html
在步骤6中：它推送一个空字符，因为字符串“/bin/sh”是以空终止的。
为什么字符串以相反的顺序被推入堆栈，为什么终止字符串的空字符在将字符串推入堆栈”之前“被推入？

assembly

来源：https://stackoverflow.com/questions/16621843/stack-memory-addresses-in-shellcode

1条答案

按热度按时间

dphi5xsq1#

应放入堆栈的字符串如下：

//bin/sh + '\0'(null terminator) + alignment(3 additional null characters)  -   gives 3 DWORDs (12 bytes)

要做到这一点，我们必须以正确的顺序执行一组指令：

xor     eax, eax        ;zero out full 32 bits of eax register
push    eax             ;0x00000000
push    0x68732f6e      ;hs/n
push    0x69622f2f      ;ib//

为什么要按这样的顺序？
因为堆栈的性质。元素应该以相反的顺序放入其中，以便将来正确地从其中读出。堆栈是一种数据结构，它具有先进后出（FILO）顺序（与堆相反）。这意味着第一个放入堆栈的项目是最后一个从堆栈中出来的项目。随着堆栈大小的变化，它会向更低的内存地址向上增长：

memory
.---------------.-- 00  <-- top    / low addresses
|       .       |       x+1
|      /|\      |       x+2
|       |       |        .
|     stack     |        .
|grows up toward|        .
|lower addresses|       x+n
'---------------'-- FF  <-- bottom / high addresses

现在，这两个双字怎么样：0x68732f6e (hs/n)和0x69622f2f (ib//)？它们与//bin/sh有什么关系？
查看0x68732f6e，我们可以看到逐字节显示的字节反转效果，实际存储在内存中，4个字节：0x6e 0x2f 0x73 0x68 (n/sh)。它与IA-32体系结构特定的endianess相关联，在手动将字节放入堆栈时必须考虑到这一点。在x86处理器上，值以little-endian（与SPARC处理器上的big endian相反）字节顺序存储，这意味着最低有效字节首先存储（小端在前）：

byte3 byte2 byte1 byte0

将在内存中排列如下：

base address+0   byte0
base address+1   byte1
base address+2   byte2
base address+3   byte3

最后，为了直观地了解内存空间是如何填充的，请看下面的内容：

.---------  push    eax             ;0x00000000
|   .-----  push    0x68732f6e      ;hs/n           bytes reversed
|   |   .-  push    0x69622f2f      ;ib//           bytes reversed 
|   |   |                                       
|   |   |      register                     
|   |   '>  |69|62|2f|2f| (ib//)      memory
|   |        |  |  |  |                 ..  
|   |        |  |  |  '------->     x:  2f  '/'
|   |        |  |  '---------->   x+1:  2f  '/'
|   |        |  '------------->   x+2:  62  'b'
|   |        '---------------->   x+3:  69  'i'
|   |          little endian    
|   |                   
|   '---->  |68|73|2f|6e| (hs/n)      
|            |  |  |  | 
|            |  |  |  '------->   x+4:  6e  'n'
|            |  |  '---------->   x+5:  2f  '/'
|            |  '------------->   x+6:  73  's'
|            '---------------->   x+7:  68  'h'
|
'-------->  |00|00|00|00| (\0\0\0\0)
             |  |  |  |                 
             |  |  |  '------->   x+8:  00  '\0'
             |  |  '---------->   x+9:  00  '\0'
             |  '------------->   x+10: 00  '\0'
             '---------------->   x+11: 00  '\0'
                                        ..

您可以使用gdb查看：

(gdb) x/12b $sp
0xbfb530b0:     0x2f    0x2f    0x62    0x69    0x6e    0x2f    0x73    0x68
0xbfb530b8:     0x00    0x00    0x00    0x00
(gdb) x/12c $sp
0xbfb530b0:     47 '/'  47 '/'  98 'b'  105 'i' 110 'n' 47 '/'  115 's' 104 'h'
0xbfb530b8:     0 '\0'  0 '\0'  0 '\0'  0 '\0'
(gdb) x/3w $sp
0xbfb530b0:     0x69622f2f      0x68732f6e      0x00000000

赞(0）回复(0）举报 2022-11-13

我来回答

assembly 在Shellcode中堆栈内存地址

1条答案

相关问题

热门标签

最新问答