栈溢出攻击学习与实践

本贴最后更新于 3043 天前,其中的信息可能已经沧海桑田

栈结构及形成过程
一个进程可能被加载到内存中不同的区域执行。进程运行所使用的内存空间按照功能,大致都能分成以下 4 个部分:
数据区:用来存储全局变量等。
栈区:用来存储函数之间的调用关系,以保证被调用函数在返回时恢复到母函数中继续执行。
堆区:动态分配与回收是堆区的最大特点,进程能够动态的申请一定大小的缓冲,并在用完之后归还给堆区。
代码区:存储 CPU 所执行的机器码,CPU 会到这个区域来读取指令并执行。
其中栈区由系统自动维护,它实现了高级语言中的函数调用。对于 C 语言等高级语言,栈区的 PUSH、POP 等平衡堆栈细节是透明的。请看如下代码:
intfunction_b(intargument_B1,intargument_B2)
{
intvariable_b1,variable_b2;
variable_b1=argument_B1+argument_B2;
variable_b2=argument_B1-argument_B2;
returnvariable_b1*variable_b2;
}
intfunction_a(intargument_A1,intargument_A2)
{
intvariable_a;
variable_a=function_b(argument_A1,argument_A2)+argument_A1;
returnvariable_a;
}
intmain(intargumentc,char**argumentv,char**envp)
{
intvariable_main;
variable_main=function_a(4,3);
returnvariable_main;
}
同一文件不同函数的代码,在内存代码区中的分布可能先后有序也可能无序,相邻也可能相离甚远。
当 CPU 执行调用 function_a 函数时,会从代码区中 main 方法对应的二进制代码的区域跳转到 function_a 函数对应的二进制代码区域,在那里获取指令并执行;当 function_a 函数执行完闭,需要返回时,又会跳回到 main 方法对应的指令区域,紧接着调用 function_a 后面的指令继续执行 main 方法的代码。
这些代码区中精确的跳转都是通过与栈区巧妙的配合完成的。当函数调用发生时,栈区会为这个函数开辟一个新的栈区单元,并将它压入栈中。这个栈区单元中的内存空间被它所属的函数独占,正常情况下是不会和别的函数共享的。当函数返回时,栈区会弹出该函数所对应的栈区单元。
在函数调用的过程中,伴随的栈区中的操作如下:
在 main 方法调用 function_a 时,先在自己的栈区单元中压入函数返回地址,而后为 function_a 创建新栈区单元压入栈区。
在 function_a 调用 function_b 时,同样先在自己的栈区单元中压入函数返回地址,然后为 function_b 创建新栈区单元并压入栈区。
在 function_b 返回时,function_b 的栈区单元被弹出栈区,function_a 栈区单元中的返回地址“露”出栈顶,此时处理器按照这个返回地址重新跳到 function_a 代码区中执行。
在 function_a 返回时,function_a 的栈区单元被弹出栈区,main 方法栈区单元中的返回地址“露”出栈顶,此时处理器按照这个返回地址跳到 main 方法代码区中执行。
每一个函数独占自己的栈区单元空间,当前正在运行的函数的栈区单元总是在栈顶。
Win32 系统提供两个特殊的寄存器用来标识位于栈区栈顶的栈区单元。
ESP:栈指针寄存器,其内存放着指向栈区最上面一个栈区单元的栈顶的指针。
EBP:基址指针寄存器,其内存放着指向栈区最上面一个栈区单元的底部的指针。
函数栈区单元:ESP 和 EBP 之间的内存空间为当前栈区单元,EBP 标识了当前栈区单元的底部,ESP 标识了当前栈区单元的顶部。在函数栈区单元中一般包含以下几类重要信息:
局部变量:为函数局部变量开辟内存空间。
栈区单元状态值:保存前栈区单元的顶部和底部(实际上只保存前栈区单元的底部,前栈区单元的顶部能够通过平衡堆栈计算得到),用来在本帧被弹出后,恢复上一个栈区单元。
函数返回地址:保存当前函数调用前的“断点”信息,也就是函数调用前的指令位置,以便函数返回时能够恢复到函数被调用前的代码区中继续执行指令。函数调用发生时用到的指令大致如下:调用前 push 参数 C;push 参数 Bpush 参数 A
call 函数地址;call 指令完成两项工作:向栈中压入返回地址;跳转;
函数开始处代码形式
pushebp;保存旧栈区单元的底部
movebp,esp;栈区单元切换
subesp,xxx;抬高栈顶,开辟新栈区单元空间
函数调用大约包括以下几个步骤:
1)参数入栈:将参数从右向左依次压入栈区中。
2)返回地址入栈:将当前代码区调用指令的下一条指令地址压入栈中,供函数返回时继续执行。
3)代码区跳转:处理器从当前代码区跳转到被调用函数的入口处。
4)栈区单元调整:具体包括保存当前栈区单元状态值,EBP 入栈;将当前栈区单元切换到新栈区单元,将 ESP 值装入 EBP,更新栈区单元底部;给新栈区单元分配空间,将 ESP 减去所需空间的大小,抬高栈顶。
类似的,函数返回时的汇编指令序列大致如下:
addxxx,esp;回收当前的栈区单元 popebp;恢复上一个栈区单元底部位置 retn;有两个功能:即弹出栈区单元中的返回地址,让处理器恢复调用前的代码区函数返回的步骤如下:
1)通常将返回值保存在 EAX 中。
2)弹出当前栈区单元,恢复上一个栈区单元。具体包括平衡堆栈的基础上,给 ESP 加上栈区单元的大小,回收当前栈区单元的空间;将保存的前栈区单元 EBP 值弹入 EBP 寄存器,恢复出上一个栈区单元;将函数返回地址弹给 EIP 寄存器;跳转:按照函数返回地址继续执行母函数。
栈区结构就是按照这样的函数调用约定组织起来的。
栈溢出攻击实践
本实践是我自己手写了一个简单的 C 语言程序(VC6.0 编译),然后通过溢出栈区,覆盖函数的返回地址,从而改变程序的执行流程,以达到攻击效果。
程序代码如下:
#include<stdio.h>
#definePWD"1234567"
intverify_pwd(char*pwd)
{
intright;
charbuf[8];
right=strcmp(pwd,PWD);
strcpy(buf,pwd);//overflowedhere!
returnright;
}
main()
{
intflag_valid=0;
charpwd[1024];
FILE*fp;
if(!(fp=fopen("pwd.txt","rw+")))
{
exit(0);
}
fscanf(fp,"%s",pwd);
flag_valid=verify_pwd(pwd);
if(flag_valid)
{
}
printf("incorrectpwd!\n");
Else
{
printf("GoodJob!Verificationpassed!\n");
}
fclose(fp);
}
首先用 OD 加载得到的可执行 PE 文件,如图 1 所示。
栈溢出攻击学习与实践 入侵检测 第 1 张

阅读反汇编代码,能够知道通过验证的程序分支的指令地址为 0x00401122。
0x00401102 处的函数调用就是 verify_pwd 函数,之后在 0x0040110A 处将 EAX 中的函数返回值取出,在 0x0040110D 处与 0 比较,然后决定跳转到提示验证错误的分支或提示通过验证的分支。提示通过验证的分支,从 0x00401122 处的参数压栈开始。
通过用 OD 调试,发现栈区单元中的变量分布情况基本没变,这样就能够按照如下方法构造 pwd.txt 中的数据了。
为了字节对齐并且方便辨认,将“4321”作为一个串块。buf[8]共需要 2 个这样的单元,第 3 个串块将 right 覆盖,第 4 个串块将前栈区单元 EBP 值覆盖,第 5 个串块将函数返回地址覆盖。
为了将第 5 个串块的 ASCII 码值(0x34333231)改为通过验证分支指令的地址(0x00401122),借助十六进制编辑工具来完成(我用的 UltraEdit),因为部分 ASCII 码所对应符号无法用键盘输入。
Step1:新建一个名称为 pwd.txt 的文件,并使用记事本程序打开,输入 5 个“4321”,
栈溢出攻击学习与实践 入侵检测 第 2 张

图 2
Step2:保存,关闭记事本并用 UltraEdit 打开,如图 3 所示。
栈溢出攻击学习与实践 入侵检测 第 3 张

图 3
Step3:将 UltraEdit 的编辑模式切换到十六进制,如图 4 所示。
栈溢出攻击学习与实践 入侵检测 第 4 张

Step4:将最后 4 个字节改为新的函数返回地址,如图 5 所示。
栈溢出攻击学习与实践 入侵检测 第 5 张

Step5:此时再切换回文本编辑模式,最后的 4 个字节的对应字符显示结果为乱码,如图 6 所示。
栈溢出攻击学习与实践 入侵检测 第 6 张

将 pwd.txt 保存后,用 OD 加载程序并调试,程序运行结果如图 7 所示。
栈溢出攻击学习与实践 入侵检测 第 7 张

学习心得
能看懂二进制是研究安全技术所必需的技能。信息安全技术不仅需要计算机理论基础很扎实,更需要优秀的动手、实践能力,是一个对技术性要求很高的领域。
缓冲区溢出攻击的理论我很早就已经学习了,以为只是修改返回地址将 CPU 指到缓冲区中的恶意代码而已,但当自己动手实践时,才发现实际情形原来比原理要复杂很多。信息安全需要有强烈的兴趣做动力,还需要有能够为了梦想持之以恒的坚定意志。
欢迎大家来我的博客:http://www.weixianmanbu.com/

  • 学习

    “梦想从学习开始,事业从实践起步” —— 习近平

    169 引用 • 506 回帖 • 1 关注
  • 分享

    有什么新发现就分享给大家吧!

    248 引用 • 1794 回帖
  • 安全

    安全永远都不是一个小问题。

    199 引用 • 816 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • R

    我也想知道这个怎么也要匿。。。

  • 其他回帖
  • 88250

    为什么要匿名发布呢....

  • wizardforcel

    推荐一本《shellcode's handbook》。但是之前要有汇编和 OS 的知识。

someone
嘿!我是社区系统匿名内容占位账号,大家使用匿名发帖和回帖时将自动使用我作为作者进行填充占位,细节请浏览社区隐私保护系统 https://ld246.com/article/1469346159566

推荐标签 标签

  • Vditor

    Vditor 是一款浏览器端的 Markdown 编辑器,支持所见即所得、即时渲染(类似 Typora)和分屏预览模式。它使用 TypeScript 实现,支持原生 JavaScript、Vue、React 和 Angular。

    352 引用 • 1815 回帖
  • Ruby

    Ruby 是一种开源的面向对象程序设计的服务器端脚本语言,在 20 世纪 90 年代中期由日本的松本行弘(まつもとゆきひろ/Yukihiro Matsumoto)设计并开发。在 Ruby 社区,松本也被称为马茨(Matz)。

    7 引用 • 31 回帖 • 210 关注
  • 心情

    心是产生任何想法的源泉,心本体会陷入到对自己本体不能理解的状态中,因为心能产生任何想法,不能分出对错,不能分出自己。

    59 引用 • 369 回帖 • 1 关注
  • CongSec

    本标签主要用于分享网络空间安全专业的学习笔记

    1 引用 • 1 回帖 • 10 关注
  • AngularJS

    AngularJS 诞生于 2009 年,由 Misko Hevery 等人创建,后为 Google 所收购。是一款优秀的前端 JS 框架,已经被用于 Google 的多款产品当中。AngularJS 有着诸多特性,最为核心的是:MVC、模块化、自动化双向数据绑定、语义化标签、依赖注入等。2.0 版本后已经改名为 Angular。

    12 引用 • 50 回帖 • 474 关注
  • Hexo

    Hexo 是一款快速、简洁且高效的博客框架,使用 Node.js 编写。

    21 引用 • 140 回帖 • 2 关注
  • Vue.js

    Vue.js(读音 /vju ː/,类似于 view)是一个构建数据驱动的 Web 界面库。Vue.js 的目标是通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件。

    266 引用 • 665 回帖 • 1 关注
  • 招聘

    哪里都缺人,哪里都不缺人。

    190 引用 • 1057 回帖
  • GAE

    Google App Engine(GAE)是 Google 管理的数据中心中用于 WEB 应用程序的开发和托管的平台。2008 年 4 月 发布第一个测试版本。目前支持 Python、Java 和 Go 开发部署。全球已有数十万的开发者在其上开发了众多的应用。

    14 引用 • 42 回帖 • 764 关注
  • WebComponents

    Web Components 是 W3C 定义的标准,它给了前端开发者扩展浏览器标签的能力,可以方便地定制可复用组件,更好的进行模块化开发,解放了前端开发者的生产力。

    1 引用
  • RabbitMQ

    RabbitMQ 是一个开源的 AMQP 实现,服务器端用 Erlang 语言编写,支持多种语言客户端,如:Python、Ruby、.NET、Java、C、PHP、ActionScript 等。用于在分布式系统中存储转发消息,在易用性、扩展性、高可用性等方面表现不俗。

    49 引用 • 60 回帖 • 364 关注
  • 宕机

    宕机,多指一些网站、游戏、网络应用等服务器一种区别于正常运行的状态,也叫“Down 机”、“当机”或“死机”。宕机状态不仅仅是指服务器“挂掉了”、“死机了”状态,也包括服务器假死、停用、关闭等一些原因而导致出现的不能够正常运行的状态。

    13 引用 • 82 回帖 • 53 关注
  • Lute

    Lute 是一款结构化的 Markdown 引擎,支持 Go 和 JavaScript。

    25 引用 • 191 回帖 • 15 关注
  • 星云链

    星云链是一个开源公链,业内简单的将其称为区块链上的谷歌。其实它不仅仅是区块链搜索引擎,一个公链的所有功能,它基本都有,比如你可以用它来开发部署你的去中心化的 APP,你可以在上面编写智能合约,发送交易等等。3 分钟快速接入星云链 (NAS) 测试网

    3 引用 • 16 回帖
  • jQuery

    jQuery 是一套跨浏览器的 JavaScript 库,强化 HTML 与 JavaScript 之间的操作。由 John Resig 在 2006 年 1 月的 BarCamp NYC 上释出第一个版本。全球约有 28% 的网站使用 jQuery,是非常受欢迎的 JavaScript 库。

    63 引用 • 134 回帖 • 724 关注
  • SendCloud

    SendCloud 由搜狐武汉研发中心孵化的项目,是致力于为开发者提供高质量的触发邮件服务的云端邮件发送平台,为开发者提供便利的 API 接口来调用服务,让邮件准确迅速到达用户收件箱并获得强大的追踪数据。

    2 引用 • 8 回帖 • 483 关注
  • 996
    13 引用 • 200 回帖 • 6 关注
  • Windows

    Microsoft Windows 是美国微软公司研发的一套操作系统,它问世于 1985 年,起初仅仅是 Microsoft-DOS 模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。

    222 引用 • 473 回帖
  • 尊园地产

    昆明尊园房地产经纪有限公司,即:Kunming Zunyuan Property Agency Company Limited(简称“尊园地产”)于 2007 年 6 月开始筹备,2007 年 8 月 18 日正式成立,注册资本 200 万元,公司性质为股份经纪有限公司,主营业务为:代租、代售、代办产权过户、办理银行按揭、担保、抵押、评估等。

    1 引用 • 22 回帖 • 762 关注
  • Solo

    Solo 是一款小而美的开源博客系统,专为程序员设计。Solo 有着非常活跃的社区,可将文章作为帖子推送到社区,来自社区的回帖将作为博客评论进行联动(具体细节请浏览 B3log 构思 - 分布式社区网络)。

    这是一种全新的网络社区体验,让热爱记录和分享的你不再感到孤单!

    1434 引用 • 10054 回帖 • 489 关注
  • 正则表达式

    正则表达式(Regular Expression)使用单个字符串来描述、匹配一系列遵循某个句法规则的字符串。

    31 引用 • 94 回帖
  • JWT

    JWT(JSON Web Token)是一种用于双方之间传递信息的简洁的、安全的表述性声明规范。JWT 作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以 JSON 的形式安全的传递信息。

    20 引用 • 15 回帖 • 2 关注
  • Caddy

    Caddy 是一款默认自动启用 HTTPS 的 HTTP/2 Web 服务器。

    12 引用 • 54 回帖 • 164 关注
  • OAuth

    OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 oAuth 是安全的。oAuth 是 Open Authorization 的简写。

    36 引用 • 103 回帖 • 9 关注
  • 导航

    各种网址链接、内容导航。

    40 引用 • 173 回帖
  • Git

    Git 是 Linux Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。

    209 引用 • 358 回帖 • 1 关注
  • Kotlin

    Kotlin 是一种在 Java 虚拟机上运行的静态类型编程语言,由 JetBrains 设计开发并开源。Kotlin 可以编译成 Java 字节码,也可以编译成 JavaScript,方便在没有 JVM 的设备上运行。在 Google I/O 2017 中,Google 宣布 Kotlin 成为 Android 官方开发语言。

    19 引用 • 33 回帖 • 65 关注