【正文】 est返回，程序從地址 3處開(kāi)始執(zhí)行將函數(shù)返回值拷貝到寄存器 %r26。 R’表示低 11位。 數(shù)據(jù)操作指令基本格式是： 指令 源 1, [源 2] ,目標(biāo) 如： LDIL 100,%r1 %r1=100 ADDI 30,%r1,%r3 %r3=%r1+30 COPY %r1,%r3 %r3=%r1 LDW 50(%sr0,%sp), %r10 將變量放入 %r10中。 對(duì)應(yīng)還有 32位 WORD操作 LDW/STW、 64位 DOUBLE WORD操作 LDD/STD。 函數(shù)調(diào)用和返回是通過(guò)分支指令實(shí)現(xiàn)的， call和 return都是偽指令。 ?BB 當(dāng)某位為 1時(shí)跳轉(zhuǎn)。 ?BE,L wd(sr,r) 和上一條一樣，但將返回地址放入 R31，返回空間放入 SR0。 ?BLR x,t 跳轉(zhuǎn)到 x3 + 8 + PCOQH。只能在當(dāng)前空間內(nèi)跳轉(zhuǎn)。 ?SR5 指向數(shù)據(jù)空間段。 GR30 SP 函數(shù)棧指針，非常重要。 GR20GR22 自由使用 GR23GR26 Arg 函數(shù)調(diào)用時(shí)的參數(shù)寄存器、函數(shù)調(diào)用的前 4個(gè)參數(shù)存放在這些寄存器中 gr26存放第一個(gè)參數(shù) gr25為第 2個(gè) . . . 。通用寄存器 32個(gè)，每個(gè)都是 32位，記作： GRx或 Rx： 名稱(chēng) 別名 使用約定 GR0 永遠(yuǎn)為 0，寫(xiě)入的數(shù)據(jù)都會(huì)丟失。 空間范圍 名稱(chēng) 權(quán)限 內(nèi)容 0x0 0x3FFFFFFF Text段 可讀，可執(zhí)行，不可寫(xiě) 存放程序代碼及只讀數(shù)據(jù) 0x400000000x7FFFFFFF Data段 可讀，可寫(xiě)，可執(zhí)行 數(shù)據(jù)、重定位表、堆棧等 0x800000000xBFFFFFFF 共享段 可讀，可執(zhí)行 動(dòng)態(tài)鏈接庫(kù)及共享內(nèi)存區(qū) 0xC00000000xFFFFFFFF 系統(tǒng)代碼段 可讀，可執(zhí)行 操作系統(tǒng)代碼 4個(gè)空間寄存器，以線性地址的最高兩位來(lái)區(qū)分一個(gè)地址的引用應(yīng)該使用哪個(gè)空間寄存器來(lái)定位。 32位系統(tǒng)的每個(gè)指令長(zhǎng)度、寄存器、地址都是32位。 PA版本上的應(yīng)用程序可以無(wú)需重新編譯即可在 IA64版的 HPUX上運(yùn)行。 ? PA主要有 3個(gè)版本： 、 、 。 HPUX溢出程序編寫(xiě)簡(jiǎn)介 主要內(nèi)容 一 HPUX簡(jiǎn)介 二 PA芯片簡(jiǎn)介 內(nèi)存空間 寄存器 常用指令集 三 運(yùn)行時(shí)體系結(jié)構(gòu) (Runtime Architecthure) 應(yīng)用程序空間布局 函數(shù)調(diào)用的棧分布 葉子函數(shù)和非葉子函數(shù) 函數(shù)棧的參數(shù)存放區(qū)和棧幀標(biāo)識(shí)區(qū) 調(diào)用動(dòng)態(tài)鏈接庫(kù)函數(shù) 堆空間分配 系統(tǒng)調(diào)用與 SHELLCODE 四 溢出利用點(diǎn)滴 64位和 32位工具使用說(shuō)明 棧溢出 堆溢出 初始化數(shù)據(jù)區(qū)溢出 格式化字符串問(wèn)題 利用環(huán)境變量存放信息 五 溢出程序?qū)嵗治? cifslogin漏洞簡(jiǎn)介 溢出程序 溢出程序分析 六 參考資料 主要內(nèi)容目錄表 一、 HPUX簡(jiǎn)介 一、 HPUX簡(jiǎn)況 ? HP UNIX運(yùn)行在 PARISC芯片和 IA64芯片。 64位芯片。 HP的趨勢(shì)是逐漸放棄 PA芯片全面轉(zhuǎn)向 IA64，但由于用戶(hù)的認(rèn)可問(wèn)題，目前 IA64版本出售量很少，未來(lái)幾年內(nèi)我們能見(jiàn)到的 HPUX基本都是 PA版。因此程序可以使用 4G的線性空間，同時(shí)系統(tǒng)通過(guò)使用了分頁(yè)機(jī)制最大可以管理 32G物理空間。 For 3個(gè)，將共享段和系統(tǒng)代碼段合并由空間寄存器 SR7來(lái)索引。 GR1 ADDIL指令默認(rèn)的目標(biāo)寄存器。 GR27 DP 全局?jǐn)?shù)據(jù)指針，對(duì)數(shù)據(jù)的操作都以它為基準(zhǔn)操作。 GR31 通?？梢噪S便使用，有時(shí)存放臨時(shí)函數(shù)返回地址。 ?SR7 他們都指向系統(tǒng)空間段（共享段和系統(tǒng)代碼段） 控制寄存器有 25個(gè)都是 32位 :CR0、 CR8CR32。常見(jiàn)用法： ?B target 跳轉(zhuǎn)到目標(biāo)地。 無(wú)條件擴(kuò)展轉(zhuǎn)移 ： BE、 BVE。 ?偽指令 BLE其實(shí)就是 BE,L。 ?CMPB 滿(mǎn)足某種條件時(shí)跳轉(zhuǎn)。 PA常用指令 數(shù)據(jù)操作指令 數(shù)據(jù)操作指令 數(shù)據(jù)操作主要就是加減乘除、數(shù)據(jù)移動(dòng)、移位等。 LDIL 加載一個(gè) 21位的立即數(shù)到寄存器的高 21位。 數(shù)據(jù)操作指令實(shí)例 數(shù)據(jù)操作指令實(shí)例 平時(shí)在反匯編中注意這兩句： STW %rp, 20(%sr0,%sp) 將返回地址寄存器存放到棧中，函數(shù)通常在開(kāi)始處保存自己的返回地址。 延時(shí)插槽 延時(shí)插槽 ( Delay Slot ) 和很多 RISC系統(tǒng)一樣 PA的分支指令都有一個(gè)延時(shí)問(wèn)題，考察： 1. B,L sub_test, %r31 2. Copy %r31,%rp 3. Copy %r28,%r26 其執(zhí)行流程為： ? 執(zhí)行到 1處發(fā)現(xiàn)跳轉(zhuǎn)，于是將返回地址放入 %r31，但返回地址為地址 3。 三 、 運(yùn)行時(shí)體系結(jié)構(gòu) 三 運(yùn)行時(shí)體系結(jié)構(gòu) (Runtime Architecthure) 熟悉 PA結(jié)構(gòu)及各個(gè)指令能幫助我們輕松的看懂反匯編和跟蹤調(diào)試程序以及編寫(xiě)更加有效的 shellcode，而越多的了解運(yùn)行時(shí)體系結(jié)構(gòu)就越能夠幫助我們編寫(xiě)利用程序。 ? 分配?？臻g時(shí)?？臻g大小總是以 64字節(jié)為單位分配的。 葉子函數(shù) /非葉子函數(shù) 葉子函數(shù)和非葉子函數(shù) 1. 非葉子函數(shù)指內(nèi)部會(huì)再調(diào)用其他函數(shù)的函數(shù)，如： int callee() { return printf(“Hello World\n”)。比如 sprintf函數(shù)是非葉子函數(shù)，如果 caller如下 : caller() { char buff[32]。 葉子函數(shù) 葉子函數(shù) 考察如下函數(shù)如果我們調(diào)用的是 strcpy： caller() { char buff[32]。}a l l o c 調(diào) 用 后 調(diào) 整 棧 空 間進(jìn) 入 函 數(shù) 后 的 棧 空 間對(duì)于 alloc分配的空間如果出現(xiàn)溢出就等同局部數(shù)組出現(xiàn)溢出 函數(shù)棧的參數(shù)存放區(qū)和棧幀標(biāo)識(shí)區(qū) 函數(shù)棧的參數(shù)存放區(qū)和棧幀標(biāo)識(shí)區(qū) c a l l e r ( ){ c a l l e e ( ) 。 2. 當(dāng)小于 4個(gè)參數(shù)時(shí) caller通過(guò)寄存器將參數(shù)傳遞給 callee，而通常 collee會(huì)在開(kāi)始處將寄存器 %r2 %r2 %r2 %r23存放到父函數(shù) caller的參數(shù)存放區(qū)。 4. 出現(xiàn)格式化字符串漏洞時(shí)對(duì)參數(shù)的引用將向低地址引用參數(shù)，向上將能夠訪問(wèn)到函數(shù)的局部變量、再向上能夠訪問(wèn)到程序的命令行參數(shù)和環(huán)境變量。 棧溢出 在下面這種情況下