【正文】 指令 數(shù)據(jù)操作指令 數(shù)據(jù)操作指令 數(shù)據(jù)操作主要就是加減乘除、數(shù)據(jù)移動、移位等。 ?MOVB 搬運數(shù)據(jù)后跳轉(zhuǎn)，對應(yīng)還有 MOVIB。 ?CMPB 滿足某種條件時跳轉(zhuǎn)。 ?ADDIB 加上一個立即數(shù)后跳轉(zhuǎn)。 ?偽指令 BLE其實就是 BE,L。常見用法： ?BE wd (sr,r) 跳轉(zhuǎn)到 sr指定的空間，地址為寄存器 r加上 wd。 無條件擴展轉(zhuǎn)移 ： BE、 BVE。 ?偽指令 BL其實就是 B,L ?BV x(r) 跳轉(zhuǎn)到 (x3) * r 處。常見用法： ?B target 跳轉(zhuǎn)到目標地。 空間寄存器與控制寄存器 分支指令 分支跳轉(zhuǎn)指令 無條件局部轉(zhuǎn)移 ： B、 BLR、 BV。 ?SR7 他們都指向系統(tǒng)空間段（共享段和系統(tǒng)代碼段） 控制寄存器有 25個都是 32位 :CR0、 CR8CR32。 ?SR4 指向代碼空間段。 GR31 通?？梢噪S便使用，有時存放臨時函數(shù)返回地址。 GR28 RET0 函數(shù)返回值 1 GR29 RET1 函數(shù)返回值 也作為靜態(tài)鏈接寄存器。 GR27 DP 全局數(shù)據(jù)指針，對數(shù)據(jù)的操作都以它為基準操作。（非常重要，棧溢出就是通過修改它來執(zhí)行我們的代碼） GR3GR18 自由使用 GR19 共享庫調(diào)用時的鏈接指針，調(diào)用外部庫時需要指向一個特定的地址。 GR1 ADDIL指令默認的目標寄存器。我們主要關(guān)系的是通用寄存器。 For 3個，將共享段和系統(tǒng)代碼段合并由空間寄存器 SR7來索引。 空間管理 PA對物理內(nèi)存的管理使用分頁機制，頁面以 4k為基本單元（ 32k）。因此程序可以使用 4G的線性空間，同時系統(tǒng)通過使用了分頁機制最大可以管理 32G物理空間。 HPUX簡況 二 ． PA芯片簡介 二、 PA芯片簡介 PA芯片的各個版本都是向下兼容的。 HP的趨勢是逐漸放棄 PA芯片全面轉(zhuǎn)向 IA64，但由于用戶的認可問題，目前 IA64版本出售量很少，未來幾年內(nèi)我們能見到的 HPUX基本都是 PA版。 HP系統(tǒng)和 Solaris一樣所謂的 64位都是指系統(tǒng)內(nèi)核是 64位可以支持 64位和 32位應(yīng)用程序，但系統(tǒng)自帶的命令程序基本全是32位應(yīng)用程序。 64位芯片。 ? IA64上運行的系統(tǒng)版本為 、 。 HPUX溢出程序編寫簡介 主要內(nèi)容 一 HPUX簡介 二 PA芯片簡介 內(nèi)存空間 寄存器 常用指令集 三 運行時體系結(jié)構(gòu) (Runtime Architecthure) 應(yīng)用程序空間布局 函數(shù)調(diào)用的棧分布 葉子函數(shù)和非葉子函數(shù) 函數(shù)棧的參數(shù)存放區(qū)和棧幀標識區(qū) 調(diào)用動態(tài)鏈接庫函數(shù) 堆空間分配 系統(tǒng)調(diào)用與 SHELLCODE 四 溢出利用點滴 64位和 32位工具使用說明 棧溢出 堆溢出 初始化數(shù)據(jù)區(qū)溢出 格式化字符串問題 利用環(huán)境變量存放信息 五 溢出程序?qū)嵗治? cifslogin漏洞簡介 溢出程序 溢出程序分析 六 參考資料 主要內(nèi)容目錄表 一、 HPUX簡介 一、 HPUX簡況 ? HP UNIX運行在 PARISC芯片和 IA64芯片。 ? PA上常見的系統(tǒng)版本有 、 、 。 ? PA主要有 3個版本： 、 、 。 ? HPUX Kernel有 32/64位之分， 64位系統(tǒng)版本號前有一個標識符‘ B’ ，現(xiàn)在使用最多的系統(tǒng)版本為 。 PA版本上的應(yīng)用程序可以無需重新編譯即可在 IA64版的 HPUX上運行。 基于以上幾點本文討論的主要 32位 PA系統(tǒng)運行時體系結(jié)構(gòu)(Runtime Architecture)。 32位系統(tǒng)的每個指令長度、寄存器、地址都是32位。 目前最常見的 其自帶的系統(tǒng)命令及系統(tǒng)庫都是針對 芯片編譯的我們以下都是以該版本為例進行講解，一些 。 空間范圍 名稱 權(quán)限 內(nèi)容 0x0 0x3FFFFFFF Text段 可讀，可執(zhí)行，不可寫 存放程序代碼及只讀數(shù)據(jù) 0x400000000x7FFFFFFF Data段 可讀，可寫，可執(zhí)行 數(shù)據(jù)、重定位表、堆棧等 0x800000000xBFFFFFFF 共享段 可讀，可執(zhí)行 動態(tài)鏈接庫及共享內(nèi)存區(qū) 0xC00000000xFFFFFFFF 系統(tǒng)代碼段 可讀，可執(zhí)行 操作系統(tǒng)代碼 4個空間寄存器，以線性地址的最高兩位來區(qū)分一個地址的引用應(yīng)該使用哪個空間寄存器來定位。 空間管理 寄存器 寄存器 PA寄存器有通用寄存器、浮點運算寄存器、空間寄存器、控制寄存器。通用寄存器 32個，每個都是 32位，記作： GRx或 Rx： 名稱 別名 使用約定 GR0 永遠為 0，寫入的數(shù)據(jù)都會丟失。 GR2 RP 返回地址指針。 GR20GR22 自由使用 GR23GR26 Arg 函數(shù)調(diào)用時的參數(shù)寄存器、函數(shù)調(diào)用的前 4個參數(shù)存放在這些寄存器中 gr26存放第一個參數(shù) gr25為第 2個 . . . 。在程序運行期間通常該值不變。 GR30 SP 函數(shù)棧指針，非常重要。 空間寄存器共 8個，通常我們不會跟他們打交道，系統(tǒng)相關(guān)的有如下 4個： ?SR0 調(diào)用共享庫函數(shù)時存放返回數(shù)據(jù)空間。 ?SR5 指向數(shù)據(jù)空間段。其中： ?CR11(SAR)移位計數(shù)寄存器 ?CR22(psw)狀態(tài)寄存器 ?CR17(PCSQH)當(dāng)前指令的空間寄存器 ?CR18(PCOQH，在 GDB中的 $PC就是指這個寄存器 )當(dāng)前指令的空間偏移。只能在當(dāng)前空間內(nèi)跳轉(zhuǎn)。 ?B， L target, t 跳轉(zhuǎn)到目標地址，并且將返回地址放入寄存器 r。 ?BLR x,t 跳轉(zhuǎn)到 x3 + 8 + PCOQH。他們能夠完成跨空間跳轉(zhuǎn)。 ?BE,L wd(sr,r) 和上一條一樣，但將返回地址放入 R31，返回空間放入 SR0。 額外轉(zhuǎn)移 ： ?ADDB 加法運算，并在運算完成后跳轉(zhuǎn)到目標地址。 ?BB 當(dāng)某位為 1時跳轉(zhuǎn)。對應(yīng)還有 CMIB。 函數(shù)調(diào)用和返回是通過分支指令實現(xiàn)的， call和 return都是偽指令。常用的有： LDB 從內(nèi)存加載一字節(jié)數(shù)據(jù)到寄存器。 對應(yīng)還有 32位 WORD操作 LDW/STW、 64位 DOUBLE WORD操作 LDD/STD。 LDO 加載一個地址到寄存器中。 數(shù)據(jù)操作指令基本格式是： 指令 源 1, [源 2] ,目標 如： LDIL 100,%r1 %r1=100 ADDI 30,%r1,%r3 %r3=%r1+30 COPY %r1,%r3 %r3=%r1 LDW 50(%sr0,%sp), %r10 將變量放入 %r10中。 STW,m %r3, 0xC0(%sr0,%s