主頁 > 企業開發 > 4.8 x64dbg 學會掃描應用堆疊

4.8 x64dbg 學會掃描應用堆疊

2023-07-11 08:04:00 企業開發

堆疊是計算機中的兩種重要資料結構 堆(Heap)和堆疊(Stack)它們在計算機程式中起著關鍵作用,在記憶體中堆區(用于動態記憶體分配)和堆疊區(用于存盤函式呼叫、區域變數等臨時資料),行程在運行時會使用堆疊進行引數傳遞,這些引數包括區域變數,臨時空間以及函式切換時所需要的堆疊幀等,

  • 堆疊(Stack)是一種遵循后進先出(LIFO)原則的線性資料結構,它主要用于存盤和管理程式中的臨時資料,如函式呼叫和區域變數,堆疊的主要操作包括壓堆疊(添加元素)和彈堆疊(移除元素),
  • 堆(Heap)是一種樹形資料結構,通常用于實作優先佇列,堆中的每個節點都有一個鍵值(key),并滿足特定性質,最常見的堆型別是二叉堆(包括最大堆和最小堆),堆在計算機程式中的應用包括堆排序演算法和記憶體管理等,

而針對堆疊地址的分析在漏洞挖掘中尤為重要,堆疊溢位(Stack Overflow)是一種計算機程式中的運行時錯誤,通常發生在緩沖區(buffer)中,緩沖區是一段記憶體空間,用于臨時存盤資料,當程式試圖向堆疊中寫入過多資料時,可能導致堆疊溢位,從而破壞其他記憶體區域或導致程式崩潰,嚴重的則可能會導致黑客控制EIP指標,而執行惡意代碼,

堆疊溢位的原因主要有以下幾點:

  • 遞回呼叫過深:當函式遞回呼叫自身的層次過深時,可能導致堆疊溢位,這是因為每次函式呼叫都會在堆疊中分配記憶體,用于存盤函式的區域變數和回傳地址,如果遞回層數太多,可能導致堆疊空間不足,從而引發堆疊溢位,

  • 區域變數占用過多堆疊空間:如果函式中的區域變數(尤其是陣列和結構體)占用過多堆疊空間,可能導致堆疊溢位,這種情況下,可以考慮將部磁區域變數移到堆記憶體中,以減小堆疊空間的壓力,

  • 緩沖區溢位:當程式向緩沖區寫入的資料超過其分配的空間時,可能發生緩沖區溢位,這種溢位可能導致堆疊空間中的其他資料被破壞,從而引發堆疊溢位,

LyScript 插件中提供了針對堆疊的操作函式,對于堆的開辟與釋放通常可使用create_alloc()delete_alloc()在之前的文章中我們已經使用了堆創建函式,本章我們將重點學習針對堆疊的操作函式,堆疊操作函式有三種,其中push_stack用于入堆疊,pop_stack用于出堆疊,而最有用的還屬peek_stack函式,該函式可用于檢查指定堆疊位置處的記憶體引數,利用這個特性就可以實作,對堆疊地址的檢測,或對堆疊的掃描等,

讀者注意:由于peek_stack命令傳入的堆疊下標位置默認從0開始,而輸出的結果則一個十進制有符號長整數,一般而言有符號數會出現復數的情形,讀者在使用時應更具自己的需求自行轉換,

而針對有符號與無符號數的轉換也很容易實作,long_to_ulong函式用于將有符號整數轉換為無符號整數(long_to_ulong)而與之對應的ulong_to_long函式,則用于將無符號整數轉換為有符號整數(ulong_to_long),這些函式都接受一個整數引數(inter)和一個布爾引數(is_64),當 is_64False 時,函式處理32位整數;當 is_64True 時,函式處理64位整數,

  • 有符號整數轉無符號數(long_to_ulong):通過將輸入整數與相應位數的最大值執行按位與操作(&)來實作轉換,對于32位整數,使用 (1 << 32) - 1 計算最大值;對于64位整數,使用 (1 << 64) - 1 計算最大值,

  • 無符號整數轉有符號數(ulong_to_long):通過計算輸入整數與相應位數的最高位的差值來實作轉換,首先,它使用按位與操作(&)來計算輸入整數與最高位之間的關系,對于32位整數,使用 (1 << 31) - 1 和 (1 << 31);對于64位整數,使用(1 << 63) - 1 (1 << 63),然后,將這兩個結果相減以獲得有符號整數,

from LyScript32 import MyDebug

# 有符號整數轉無符號數
def long_to_ulong(inter,is_64 = False):
    if is_64 == False:
        return inter & ((1 << 32) - 1)
    else:
        return inter & ((1 << 64) - 1)

# 無符號整數轉有符號數
def ulong_to_long(inter,is_64 = False):
    if is_64 == False:
        return (inter & ((1 << 31) - 1)) - (inter & (1 << 31))
    else:
        return (inter & ((1 << 63) - 1)) - (inter & (1 << 63))

if __name__ == "__main__":
    dbg = MyDebug()

    connect_flag = dbg.connect()
    print("連接狀態: {}".format(connect_flag))

    for index in range(0,10):

        # 默認回傳有符號數
        stack_address = dbg.peek_stack(index)

        # 使用轉換
        print("默認有符號數: {:15} --> 轉為無符號數: {:15} --> 轉為有符號數: {:15}".
              format(stack_address, long_to_ulong(stack_address),ulong_to_long(long_to_ulong(stack_address))))

    dbg.close()

如上代碼中我們在當前堆疊中向下掃描10條,并通過轉換函式以此輸出該堆疊資訊的有符號與無符號形式,這段代碼輸出效果如下圖所示;

我們繼續完善這個功能,通過使用get_disasm_one_code()獲取到堆疊的反匯編代碼,并以此來進行更多的判斷形勢,如下代碼中只需要增加反匯編一行功能即可,

if __name__ == "__main__":
    dbg = MyDebug()

    connect_flag = dbg.connect()
    print("連接狀態: {}".format(connect_flag))

    for index in range(0,10):

        # 默認回傳有符號數
        stack_address = dbg.peek_stack(index)

        # 反匯編一行
        dasm = dbg.get_disasm_one_code(stack_address)

        # 根據地址得到模塊基址
        if stack_address <= 0:
            mod_base = 0
        else:
            mod_base = dbg.get_base_from_address(long_to_ulong(stack_address))

        print("stack => [{}] addr = {:10} base = {:10} dasm = {}".format(index, hex(long_to_ulong(stack_address)),hex(mod_base), dasm))

    dbg.close()

運行上代碼,將自動掃描前十行堆疊中的反匯編指令,并輸出如下圖所示的功能;

如上圖我們可以得到堆疊處的反匯編引數,但如果我們需要檢索堆疊特定區域內是否存在回傳到模塊的地址,該如何實作呢?

該功能的實作其實很簡單,首先需要得到程式全域狀態下的所有加載模塊的基地址,然后得到當前堆疊記憶體地址內的實際地址,并通過實際記憶體地址得到模塊基址,對比全域表即可拿到當前模塊是回傳到了哪個模塊的,

if __name__ == "__main__":
    dbg = MyDebug()

    connect_flag = dbg.connect()
    print("連接狀態: {}".format(connect_flag))

    # 得到程式加載過的所有模塊資訊
    module_list = dbg.get_all_module()

    # 向下掃描堆疊
    for index in range(0,10):

        # 默認回傳有符號數
        stack_address = dbg.peek_stack(index)

        # 反匯編一行
        dasm = dbg.get_disasm_one_code(stack_address)

        # 根據地址得到模塊基址
        if stack_address <= 0:
            mod_base = 0
        else:
            mod_base = dbg.get_base_from_address(long_to_ulong(stack_address))

        # print("stack => [{}] addr = {:10} base = {:10} dasm = {}".format(index, hex(long_to_ulong(stack_address)),hex(mod_base), dasm))
        if mod_base > 0:
            for x in module_list:
                if mod_base == x.get("base"):
                    print("stack => [{}] addr = {:10} base = {:10} dasm = {:15} return = {:10}"
                          .format(index,hex(long_to_ulong(stack_address)),hex(mod_base), dasm,
                                  x.get("name")))

    dbg.close()

運行如上代碼片段,則會輸出如下圖所示的堆疊回傳位置;

原文地址

https://www.lyshark.com/post/9cc1e0b7.html

文章作者:lyshark (王瑞)
文章出處:https://www.cnblogs.com/LyShark/p/17540943.html
本博客所有文章除特別宣告外,均采用 BY-NC-SA 許可協議,轉載請注明出處!

轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/556957.html

標籤:訊息安全

上一篇:4.7 x64dbg 應用層的鉤子掃描

下一篇:返回列表

標籤雲
其他(162345) Python(38273) JavaScript(25528) Java(18294) C(15239) 區塊鏈(8275) C#(7972) AI(7469) 爪哇(7425) MySQL(7292) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5876) 数组(5741) R(5409) Linux(5347) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4615) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2438) ASP.NET(2404) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) HtmlCss(1994) .NET技术(1986) 功能(1967) Web開發(1951) C++(1942) python-3.x(1918) 弹簧靴(1913) xml(1889) PostgreSQL(1882) .NETCore(1863) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • IEEE1588PTP在數字化變電站時鐘同步方面的應用

    IEEE1588ptp在數字化變電站時鐘同步方面的應用 京準電子科技官微——ahjzsz 一、電力系統時間同步基本概況 隨著對IEC 61850標準研究的不斷深入,國內外學者提出基于IEC61850通信標準體系建設數字化變電站的發展思路。數字化變電站與常規變電站的顯著區別在于程序層傳統的電流/電壓互 ......

    uj5u.com 2020-09-10 03:51:52 more
  • HTTP request smuggling CL.TE

    CL.TE 簡介 前端通過Content-Length處理請求,通過反向代理或者負載均衡將請求轉發到后端,后端Transfer-Encoding優先級較高,以TE處理請求造成安全問題。 檢測 發送如下資料包 POST / HTTP/1.1 Host: ac391f7e1e9af821806e890 ......

    uj5u.com 2020-09-10 03:52:11 more
  • 網路滲透資料大全單——漏洞庫篇

    網路滲透資料大全單——漏洞庫篇漏洞庫 NVD ——美國國家漏洞庫 →http://nvd.nist.gov/。 CERT ——美國國家應急回應中心 →https://www.us-cert.gov/ OSVDB ——開源漏洞庫 →http://osvdb.org Bugtraq ——賽門鐵克 →ht ......

    uj5u.com 2020-09-10 03:52:15 more
  • 京準講述NTP時鐘服務器應用及原理

    京準講述NTP時鐘服務器應用及原理京準講述NTP時鐘服務器應用及原理 安徽京準電子科技官微——ahjzsz 北斗授時原理 授時是指接識訓通過某種方式獲得本地時間與北斗標準時間的鐘差,然后調整本地時鐘使時差控制在一定的精度范圍內。 衛星導航系統通常由三部分組成:導航授時衛星、地面檢測校正維護系統和用戶 ......

    uj5u.com 2020-09-10 03:52:25 more
  • 利用北斗衛星系統設計NTP網路時間服務器

    利用北斗衛星系統設計NTP網路時間服務器 利用北斗衛星系統設計NTP網路時間服務器 安徽京準電子科技官微——ahjzsz 概述 NTP網路時間服務器是一款支持NTP和SNTP網路時間同步協議,高精度、大容量、高品質的高科技時鐘產品。 NTP網路時間服務器設備采用冗余架構設計,高精度時鐘直接來源于北斗 ......

    uj5u.com 2020-09-10 03:52:35 more
  • 詳細解讀電力系統各種對時方式

    詳細解讀電力系統各種對時方式 詳細解讀電力系統各種對時方式 安徽京準電子科技官微——ahjzsz,更多資料請添加VX 衛星同步時鐘是我京準公司開發研制的應用衛星授時時技術的標準時間顯示和發送的裝置,該裝置以M國全球定位系統(GLOBAL POSITIONING SYSTEM,縮寫為GPS)或者我國北 ......

    uj5u.com 2020-09-10 03:52:45 more
  • 如何保證外包團隊接入企業內網安全

    不管企業規模的大小,只要企業想省錢,那么企業的某些服務就一定會采用外包的形式,然而看似美好又經濟的策略,其實也有不好的一面。下面我通過安全的角度來聊聊使用外包團的安全隱患問題。 先看看什么服務會使用外包的,最常見的就是話務/客服這種需要大量重復性、無技術性的服務,或者是一些銷售外包、特殊的職能外包等 ......

    uj5u.com 2020-09-10 03:52:57 more
  • PHP漏洞之【整型數字型SQL注入】

    0x01 什么是SQL注入 SQL是一種注入攻擊,通過前端帶入后端資料庫進行惡意的SQL陳述句查詢。 0x02 SQL整型注入原理 SQL注入一般發生在動態網站URL地址里,當然也會發生在其它地發,如登錄框等等也會存在注入,只要是和資料庫打交道的地方都有可能存在。 如這里http://192.168. ......

    uj5u.com 2020-09-10 03:55:40 more
  • [GXYCTF2019]禁止套娃

    git泄露獲取原始碼 使用GET傳參,引數為exp 經過三層過濾執行 第一層過濾偽協議,第二層過濾帶引數的函式,第三層過濾一些函式 preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'] (?R)參考當前正則運算式,相當于匹配函式里的引數 因此傳遞 ......

    uj5u.com 2020-09-10 03:56:07 more
  • 等保2.0實施流程

    流程 結論 ......

    uj5u.com 2020-09-10 03:56:16 more
最新发布
  • 4.8 x64dbg 學會掃描應用堆疊

    LyScript 插件中提供了針對堆疊的操作函式,對于堆的開辟與釋放通常可使用`create_alloc()`及`delete_alloc()`在之前的文章中我們已經使用了堆創建函式,本章我們將重點學習針對堆疊的操作函式,堆疊操作函式有三種,其中`push_stack`用于入堆疊,`pop_stack`用... ......

    uj5u.com 2023-07-11 08:04:00 more
  • 4.7 x64dbg 應用層的鉤子掃描

    所謂的應用層鉤子(Application-level hooks)是一種編程技術,它允許應用程式通過在特定事件發生時執行特定代碼來自定義或擴展其行為。這些事件可以是用戶互動,系統事件,或者其他應用程式內部的事件。應用層鉤子是在應用程式中添加自定義代碼的一種靈活的方式。它們可以用于許多不同的用途,如安... ......

    uj5u.com 2023-07-11 08:03:50 more
  • 前端Vue自定義商品評價頁面單選多選標簽tags組件單選多選按鈕選

    隨著技術的發展,開發的復雜度也越來越高,傳統開發方式將一個系統做成了整塊應用,經常出現的情況就是一個小小的改動或者一個小功能的增加可能會引起整體邏輯的修改,造成牽一發而動全身。 通過組件化開發,可以有效實作單獨開發,單獨維護,而且他們之間可以隨意的進行組合。大大提升開發效率低,降低維護成本。 組件化 ......

    uj5u.com 2023-07-10 08:04:00 more
  • 前端Vue自定義精美商品分類串列組件 側邊欄商品分類組件 categor

    隨著技術的發展,開發的復雜度也越來越高,傳統開發方式將一個系統做成了整塊應用,經常出現的情況就是一個小小的改動或者一個小功能的增加可能會引起整體邏輯的修改,造成牽一發而動全身。 通過組件化開發,可以有效實作單獨開發,單獨維護,而且他們之間可以隨意的進行組合。大大提升開發效率低,降低維護成本。 組件化 ......

    uj5u.com 2023-07-10 08:03:56 more
  • 記錄拖動排序

    *最近專案中要做一個拖動排序功能,首先想到的是之前專案中用過的antd自帶的tree和table的拖動排序,但是只能在對應的組建里使用。這里用的是自定義組件,隨意拖動排序,所以記錄一下實作流程* 1. ***react-dnd*** antd組件的拖動排序都是用的這個庫,使用比較靈活,但是要配置的東 ......

    uj5u.com 2023-07-10 08:03:52 more
  • 前端Vue仿京東淘寶我的優惠券串列組件 用于電商我的優惠券串列頁

    隨著技術的發展,開發的復雜度也越來越高,傳統開發方式將一個系統做成了整塊應用,經常出現的情況就是一個小小的改動或者一個小功能的增加可能會引起整體邏輯的修改,造成牽一發而動全身。 通過組件化開發,可以有效實作單獨開發,單獨維護,而且他們之間可以隨意的進行組合。大大提升開發效率低,降低維護成本。 組件化 ......

    uj5u.com 2023-07-10 08:03:48 more
  • 前端Vue自定義商品評價頁面單選多選標簽tags組件單選多選按鈕選

    隨著技術的發展,開發的復雜度也越來越高,傳統開發方式將一個系統做成了整塊應用,經常出現的情況就是一個小小的改動或者一個小功能的增加可能會引起整體邏輯的修改,造成牽一發而動全身。 通過組件化開發,可以有效實作單獨開發,單獨維護,而且他們之間可以隨意的進行組合。大大提升開發效率低,降低維護成本。 組件化 ......

    uj5u.com 2023-07-10 08:03:20 more
  • 4.5 x64dbg 探索鉤子劫持技術

    鉤子劫持技術是計算機編程中的一種技術,它們可以讓開發者攔截系統函式或應用程式函式的呼叫,并在函式呼叫前或呼叫后執行自定義代碼,鉤子劫持技術通常用于病毒和惡意軟體,也可以讓開發者擴展或修改系統函式的功能,從而提高軟體的性能和增加新功能。鉤子劫持技術的實作一般需要在對端記憶體中通過`create_allo... ......

    uj5u.com 2023-07-10 08:01:53 more
  • 4.5 x64dbg 探索鉤子劫持技術

    鉤子劫持技術是計算機編程中的一種技術,它們可以讓開發者攔截系統函式或應用程式函式的呼叫,并在函式呼叫前或呼叫后執行自定義代碼,鉤子劫持技術通常用于病毒和惡意軟體,也可以讓開發者擴展或修改系統函式的功能,從而提高軟體的性能和增加新功能。鉤子劫持技術的實作一般需要在對端記憶體中通過`create_allo... ......

    uj5u.com 2023-07-10 07:59:46 more
  • 記錄--在高德地圖實作卷簾效果

    這里給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 介紹 今天介紹一個非常簡單的入門級小案例,就是地圖的卷簾效果實作,各大地圖引擎供應商都有相關示例,很奇怪高德居然沒有,我看了下檔案發現其實也是可以簡單實作的,演示代碼放到文末。本文用到了圖層掩模,即圖層遮罩,讓圖層只在指定范圍內顯示。 實 ......

    uj5u.com 2023-07-09 07:55:18 more