缓冲区溢出入门
从接触C语言的数组开始,就提到过缓冲区溢出问题。一般是往数组中写入数据长度超过了数组的大小,C语言常用的库函数strcpy,sprintf,strcat等都非常容易导致缓冲区溢出。还记得教科书告诉我们当程序溢出后会发生不可预料的后果,但是一些有意的缓冲区溢出利用可以让“不可预料的结果”变成我们所期望的结果。
先来个演示程序吧! buf.c
#include <stdio.h>
void fun()
{
printf("why here!!!/n");
exit(0);
}
int main(int argc, char *argv[])
{
int a[1]={0};
a[2]=(int)fun;
return 0;
}
我用的是VC6的编译器在命令行下
C:/K>cl /FA buf.c
运行程序;
why here!!!
仔细分析程序发现我们并没有调用fun函数,但是函数确实被执行了,唯一可能的就是调用就是在a[2]=(int)fun;
要搞清楚是怎么回事,需要一些C语言的底层和汇编的知识,主要是关于堆栈和汇编的call/ret.类似上面程序中的int a[1]等局部变量是在堆栈中分配的,地址从高到低;而想malloc或者new动态申请分配的内存在堆中分配,地址才低到高。在汇编中call指令用来调用函数,并将call下面的指令的地址压入堆栈中,
也就是通常说的保存现场,在去执行调用的函数,当函数执行完以后,通过ret指令将压入堆栈的保存的地址返回给EIP寄存器,程序在根据EIP的内容继续执行。
下面再来看看程序buf的汇编代码
在命令行输入type buf.asm
可见变量$SG336是我们定义的字符串”why here!!!”
这个是函数fun的定义
这是main()函数
通过对比main()和fun()不难发现在函数开头都会有这么两句
通常称之为栈帧,EBP用来保存当前的栈基址,ESP为栈顶指针,在目前的系统中每当有数据入栈,ESP就减4,上面两句的意思就是保存当前BEP,并将BEP的内容传给ebp。
而当函数执行完以后
则通过上面的方式回复EBP的值,ret将返回地址给EIP作为函数调用后的下一条指令的地址。
对应的源文件的 int a[1]={0};
此时堆栈中的结构大致如下:
【 a[0] 】【 ebp 】【 eip 】地址从右往左递减;
又pop/push指令每次操作进出的是双字的大小,而整型数组每个元素的大小也为4个字节,刚好相等。
因为只定义了变量int a[1],编译器在堆栈上只为其分配了4个字节的空间,即指令push ecx;而越界的a[2]
的地址比a[0]大8个字节,刚好位于堆栈中保存eip值的地址;
a[2]=(int)fun;
以上为源程序中覆盖eip值的语句及其对应的汇编代码,在c语言中函数名不是变量,a[2]=(int)fun
与a[2]=(int)&fun的作用是一样的,就是将函数的起始地址赋值给a[2],也就是说main()执行完后,ret所
返回的EIP中的值被替换成了fun()的起始地址,如前面所演示的fun函数就这样被执行了。
这只是一个简单的堆栈缓冲区溢出的利用,当然缓冲区溢出也可能发生在其他内存段中,例如堆和bss,
通过利用这些漏洞,一些不怀好意的人可以改变程序的控制流程,以完成其不可告人的目的!
