最近学校讲到了栈溢出,并有一道很基础的题,在此可以记录一下,感兴趣的人可以了解了解.
/
栈溢出:
/
首先谈到栈溢出,要先说windows系统典型漏洞分析。
/
栈溢出也是其中的一种。
/
要了解栈溢出,要先了解:
栈(音:zhan四声)是一种特殊的线性计算机内部存储结构,服从先进后出的一种特殊线性结构,如同弹夹里的子弹,先放入的子弹,在最下面。栈的结构使其只能在栈的顶端进行增加数据和删除数据的操作,压入数据称为(push),弹出数据称为(pop).
/
在win32环境下,由高级语言生成的可执行文件,即PE文件,(Portable Executable)文件。在运行可执行文件时,系统会将其加载到内存,并映射出4GB的虚拟存储空间,然后继续运行,形成所谓的进程空间。(教材原话)
/
在win32中将进程使用的内存按功能可以分为4个区域,如下图:
/
名称 | 作用 | |
---|---|---|
栈区(stack) | 用于动态存储函数之间的调用关系 | 低地址 |
堆区 | 该内存区域由进程利用相关函数和运算符动态申请 | |
代码区 | 存放程序汇编之后的机械代码和只读程序,计算机运行程序,会在该区域读取命令并执行。 | |
数据区 | 用于存储全局变量和静态变量 | 高地址 |
/
其在计算机内存中的结构也如下图:
栈区 | ↑栈增长方向 |
堆区 | ↓堆增长方向 |
代码区 | |
数据区 |
/
#include
#include
#include
void attack()
{
printf("TRY IT!.\n"); //attack函数
}
void func() //func函数
{
char password[6] = "ABCDEF";
char str[6];
FILE *fp;
if(!(fp=fopen("D:\\password.txt","r"))) //打开D盘的password.txt文件
exit(0);
fscanf(fp,"%s",str); //将str的内容写入fp
str[5]='\0';
if(strcmp(str,password)==0) //判断str是否与password相同
printf("OK.\n");
else
printf("NO.\n");
}
int main()
{
func(); //运行func函数
return 0;
}
/
/
在D盘的password.txt中输入一定量的字符串,运行程序,AAAAA…与指定的password并不相同,所以返回了“NO”。
现在打开IDA.
得到如下:
/
/
现在展示的IDA适用静态调试,左边可以清晰地看到函数体,这是IDA比较清晰简便的一个优点。
点击左侧的函数名可以进入。右侧也可以查看十六进制视图:
IDA快捷键,按F5可以查看伪代码。伪代码可以让人较为清晰地了解函数的部分构造,但不是能运行的代码。在这里,用鼠标左键双击左侧函数名称中的func(),再按F5可以进入func函数查看伪代码:
查看到str,password,fp在栈中的位置
/
注意到最下面有一个"r"
/
这里"r"指的是return adress,这里简述为ret,ret指的是返回地址,ret在汇编中也有涉及。
这里的ret主要功能是返回下一个函数的地址,用于在一个函数运行完后跳转到下一个函数,栈溢出攻击在这里运行的原理是,通过文本中读入过量的数据,从而,是数据在栈上溢出,使其覆盖正常的数据,从而引起漏洞与异常。
/
如果,溢出的数据覆盖了ret地址,那么函数可以跳转到一个指定的函数,即上文的“attack”函数。
/
所以在这里开始,找到attack函数的地址:
然后,只要将attack()的地址,输入到文本的末尾即可。但是,要满足其刚好能将ret的地址覆盖,使函数跳转异常,从而跳转到指定的攻击函数。
/
那么,来计算一下,在文本中输入多少个字符会刚刚覆盖到“r”,处:
/
这里查看到这个信息: [esp+10h] [ebp-18h] (如下图)
/
由于内存栈区的地址由高地址向低地址增长,当4个字节压入栈帧时,即为 ESP=ESP-4, 有4个字节弹出栈帧时, ESP=ESP+4.
ESP(extended stack point)是扩展栈指针寄存器,其存放地址指向这个栈帧的栈顶
/
EBP(extended base point)是扩展基址指针寄存器,其存放地址指向这个栈帧的栈底。
/
ESP与EBP之间是当前栈帧的空间。
上图意为,从前栈底到str存放的位置还有18个字节。即[ebp-18h]的含义。
其实从IDA中也能清晰看出来:
上图中,可以看到变量str,password,fp存放在栈中的位置,可以看到上图用红色框框选的,有18个字节,也就是上文的[ebp-18h],下面蓝色框有10个字节,即到r为止。
/
数据从上方加入,那我们只要在文本前加入(10+18)=28个字节,就可以刚刚覆盖到r处,r是运行完后要跳转的函数地址,那我们在28个直接之后加入,攻击函数attack()的地址即可。
/
将D盘的password.txt文件拖入软件“HxD”中,一种文本编辑软件,notepad++也可。
输入28个字母,之后将attack()的地址加入,即"00 40 13 50",但这里是小端序。
这里讲一讲:
字节序即为多字节对象存储在内存中的字节顺序,有两种不同的存储方案:大端法和小端法。现代的处理器大多为双端法,大小端都支持,可以配置称大端法或者小端法。
/
大端序:(Big-endian):高位字节存入低地址,低位字节存入高地址
小端序:(Little-endian):低位字节存入低地址,高位字节存入高地址
一般x86位的CPU都为小端序:所以在编辑时将地址反着写,写作"50 13 40 00",
然后,点击“保存”文件。
/
再打开编译器,运行:
/
运行结果出现了TRY IT!,明显这是attack()函数的内容,已经完成了栈溢出,使函数运行出了指定的内容,这就是用IDA实现的简单的栈溢出攻击实验。
/
通过栈上数据的溢出,覆盖了,正确的r返回地址,从而使函数跳转出现失误,或指向性的跳转。可以加以利用。