栈溢出利用--预备知识

一、缓冲区溢出原理:

简单而言就是大缓冲区中的数据向小缓冲区复制的过程,小缓冲区的相邻内存区域被覆盖,而引起的内存问题。成功的利用缓冲区漏洞可以修改内存中变量的值,甚至是劫持进程,执行恶意代码,最终获得程序的控制权。

二、理解内存的功能:

1、代码区.text–存储被装入执行的二进制代码,CPU会到这里来取指执行。
2、数据区.data–存储全局变量。
3、堆区–进程在堆区动态的请求一定大小的内存块,并在用完后回收。特点–动态&回收。
4、栈区–动态存储函数之间的调用关系,以保证在调用完成后恢复到上级父函数执行。

三、PE文件装载:

高级语言程序编译后生成可执行的PE文件。PE文件被装载运行后,就成了进程。
PE文件中二进制机器码被装入内存的.text区。
栈溢出利用--预备知识_第1张图片

四、栈的操作:

1、push–压栈操作,在栈顶处增加一个元素;
2、pop–弹栈操作,从栈顶处取出一个元素;
3、top–表示栈顶位置。每push一次,top++;每pop一次,top–;
4、base–表示栈底。用于防止栈空后继续弹栈。

五、函数调用在底层的工作原理:

int func_B(int arg_B1,int arg_B2)
{
    int var_B1, int var_B2;
    var_B1=arg_B1+arg_B2;
    var_B2=arg_B1-arg_B2;
    return var_B1*var_B2;
}
int func_A(int arg_A1,int arg_A2)
{
    int var_A;
    var_A=func_B(arg_A1,arg_A2)+arg_A1;
    return var_A;
}
int main(int argc,char **argv,char **envp)
{
    int var_main;
    var_main=func_A(4,3);
    return var_main;
}

栈溢出利用--预备知识_第2张图片

代码区中的跳转都是和系统栈的巧妙结合下完成的。

1、在main函数调用func_A时,首先将自己的栈帧中压入函数返回地址,然后为func_A创建新栈帧并压入系统栈。
2、在func_A 调用 func_B 时,同样先将自己的栈帧中压入函数返回地址,然后为func_B创建新栈帧并压入系统栈。
3、在func_B 返回时,func_B 栈帧弹出系统栈,func_A 的返回地址此时位于栈顶处,pop 出func_A 的返回地址转去执行func_A 代码区。
4、在func_A返回时,func_A 栈帧弹出系统栈,main函数的返回地址此时位于栈顶处,pop 出 main 函数的返回地址转去执行main代码区。

六、几个重要的术语

每个函数独自拥有自己的栈帧。当前运行的函数的栈帧总是位于系统栈的栈顶。
1、ESP–栈指针寄存器,该指针永远指向系统栈最上面的一个栈帧的栈顶元素;
2、EBP–基址指针寄存器,该指针永远指向系统栈最上面的一个栈帧的底部元素;

Notice:EBP指向的是系统栈最上面一个栈帧的底部,而并非系统栈的底部。
栈帧底部和栈底是不同的概念。

3、函数栈帧:位于ESP和EBP之间的内存空间。在函数栈帧中包含有:
(1)局部变量;
(2)栈帧状态值–保存当前栈的底部和顶部,用于在本帧被弹出恢复上一个栈帧;
(3)函数返回地址–保存当前函数调用前的断点信息。也就是函数调用前的指令的位置。

4、EIP寄存器:指针寄存器。存放下一条等待执行的指令的地址。

七、函数调用的相关指令:

1、调用步骤:

(1)参数入栈:从右到左;

(2)返回地址入栈:当前代码区的下一条指令地址入栈;

(3)代码区跳转:处理器从当前跳转到调用函数入口;

(4)栈帧调整:

  • 1)保存当前栈帧内容(EBP入栈);
  • 2)切换当前栈帧到新栈帧(将ESP值装入EBP,更新栈帧底部);
  • 3)给新栈帧分配空间(ESP减去所需空间,抬高栈顶)
;调用前
push 参数3
push 参数2
push 参数1
call 函数地址
push ebp    ;保存旧栈帧底部
mov esp,ebp ;设置新栈帧底部,栈帧切换
sub esp,xxx ;设置新栈帧顶部,分配空间

栈溢出利用--预备知识_第3张图片

2、返回步骤:

(1)保存返回值:返回值通常保存在EAX中

(2)弹出当前栈帧,恢复上一栈帧

  • 1)ESP加上栈帧大小,降低栈帧,回收栈帧空间;
  • 2)当前栈帧底部保存的前栈帧EBP弹入EBP寄存器,恢复上一栈帧;
  • 3)函数返回地址弹入EIP寄存器

(3)跳转:函数返回地址调到父函数执行。

add esp,xxx ;降低栈顶,回收栈帧空间
pop ebp     ;前栈帧底部位置恢复
retn        ;弹出当前栈顶元素,也就是弹出栈帧的返回地址
            ;处理器跳转到返回地址执行

你可能感兴趣的:(栈溢出利用--预备知识)