栈溢出原理

栈溢出漏洞是由于使用了不安全的函数,如 C 中的 scanf, strcpy等,通过构造特定的数据使得栈溢出,从而导致程序的执行流程被控制。

要分析栈溢出漏洞,我们要先了解函数栈帧的结构。

函数栈帧

在 C 函数中,每个函数都有一个栈帧,它用来保存这个函数的参数、局部变量、返回地址等信息,是系统栈的一部分。
假设有这样一个函数:
void foo(char *arg1, char *arg2) { int temp = 0; char buffer[4]; strcpy(buffer, arg1); }
这个函数的栈帧是这样的:

foo 的栈帧

ESP 称为栈顶指针,用来指示当前栈帧的顶部
EBP 称为栈基址指针,用来指示当前栈帧的底部

在调用这个函数时,压栈的顺序为:

  1. 调用者压入需要保存的寄存器,通常这些寄存器包括 EAX,ECX 和 EDX等
  2. 按照从右往左的顺序压入参数 arg2 和 arg1
  3. 压入返回地址
  4. 调用者的 EBP
  5. 第一个声明的局部变量 temp
  6. 第二个声明的局部变量 buffer
  7. 被调用者即 foo 本身压入需要保存的寄存器, 通常这些寄存器包括 EBX,ESI 和 EDI 等

栈溢出原理

由于局部变量 buffer 的长度是 4 个字节,而在使用 strcpy 函数的时候并没有判断参数 arg1 的长度,因此,当传入的 arg1 的长度大于 4 个字节时,多出的字节将会依次覆盖掉局部变量 temp、调用者的 EBP、返回地址等。
通过精心构造 arg1 的值,就可以将返回地址覆盖为任意想要的值,以便于跳到 shellcode

跳转到 shellcode

栈帧移位

可以将 shellcode 保存在 buffer 中,并将返回地址覆盖为 buffer 的起始地址,如图:


栈帧绝对移位

<br />
此外,我们可以采取相对移位的方法,如图:


栈帧相对移位

在函数返回后,局部变量保存的数据在逻辑上已经被清除了,即 shellcode 对于系统来说是没有在使用的数据,因此如果在 shellcode 中执行了压栈的操作,就可能会将 shellcode 覆盖,对此我们可以采取强制抬高栈顶的方法,即在 shellcode 中加入 sub esp X,将栈顶强制抬高以保护 shellcode

在很多情况下,要精确定位 buffer 的起始位置是很难的,我们可以采用增大 “落点” 的面积的方式来增加命中的几率,具体做法是使用 nop 填充 buffer,如果落点在 nop,那么系统会一直往下执行直到遇到 shellcode
如果函数返回地址的偏移按 DWORD 不定,可以用一片连续的跳转指令地址来覆盖函数返回地址,如图:

增大“落点”并增加连续的跳转地址
jmp esp

在函数返回时,esp 总是指向返回地址的下一个位置,所以,我们可以通过覆盖多一些栈帧,将 shellcode 写到返回地址之后的位置,并通过跳板指令重新回到栈中,如图:

jmp esp

那么,到哪儿去找跳板指令呢?在早期的 Windows 版本的动态链接库中,存在大量的 jmp esp 指令,而这些库在内存中的地址是相对固定的,如Win2000、XP、Win2003 的 0x7ffa4512

<br />
参考资料:
x86函数调用堆栈的操作
《0day安全 软件漏洞分析技术》

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,348评论 6 491
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,122评论 2 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,936评论 0 347
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,427评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,467评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,785评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,931评论 3 406
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,696评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,141评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,483评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,625评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,291评论 4 329
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,892评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,741评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,977评论 1 265
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,324评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,492评论 2 348

推荐阅读更多精彩内容

  • ”Pwn”是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声...
    charlie_heng阅读 21,260评论 3 19
  • 缓冲区溢出(Buffer Overflow)是计算机安全领域内既经典而又古老的话题。随着计算机系统安全性的加强,传...
    Chivalrous阅读 1,330评论 0 5
  • 原文地址:C语言函数调用栈(一)C语言函数调用栈(二) 0 引言 程序的执行过程可看作连续的函数调用。当一个函数执...
    小猪啊呜阅读 4,595评论 1 19
  • 堆栈是连续的地址空间,且向低地址端生长。 esp 是堆栈指针ebp 是基址指针那两条指令的意思是将栈顶指向ebp的...
    wyrover阅读 1,074评论 0 1
  • 文/长木云伊 折腾一晚上终于到学校了。虽说家离学校不是太远,只有十几个小时的车程,但对于我这个刚刚不晕车的家伙来说...
    莫嗔堂堂主阅读 1,223评论 0 0