《计算机安全技术tools教程课件5.4.1实例:缓冲区溢出及其原理》由会员分享,可在线阅读,更多相关《计算机安全技术tools教程课件5.4.1实例:缓冲区溢出及其原理(3页珍藏版)》请在金锄头文库上搜索。
1、5.4.1 实例:缓冲区溢出及其原理1缓冲区溢出实例一实验环境:Linux操作系统。第1步:编写源程序。编写C语言源程序,如图5-14所示,保存为buffer_flow.c文件。第2步:编译源程序。如图5-15所示,执行# gcc buffer_flow.c -o buffer_flow.o命令,编译源程序。图5-14 buffer_flow.c文件图5-15 编译源程序第3步:执行程序。如图5-15所示,执行# ./buffer_flow.o命令,输出结果99999。通过分析主函数的流程,应该输出1,可是为什么输出99999呢?原因在于funtion()函数。2buffer_flow的分析下
2、面对buffer_flow.o程序在内存中的分布情况以及执行流程进行分析。一个程序在内存中通常分为:程序段、数据段、堆和栈。(1)程序段:存放着程序的机器码和只读数据。(2)数据段:存放的是程序中的静态数据和全局变量。(3)堆、栈:存放动态数据及局部变量。x86平台的虚拟地址空间是0x0000 00000xffff ffff,前3GB(0x0000 00000xbfff ffff)是用户空间,后1GB(0xc000 00000xffff ffff)是内核空间,他们的位置如图5-16所示。栈是一块保存数据的连续内存,一个名为栈指针(SP,指向栈顶部)的寄存器指向栈的顶部,栈的底部在一个固定的地址
3、。除了SP之外,为了使用方便还有指向帧内固定地址的指针称做帧指针(FP)。从理论上说,局部变量可以用SP加偏移量来引用。栈由逻辑栈帧组成,一个函数对应一个栈帧,当调用函数时逻辑栈帧被压入栈中,栈帧包括函数的局部变量(如果函数有局部变量)、返回地址、EBP和被调函数的形参。程序执行结束后,局部变量的内容将会丢失,但是不会被清除。当函数返回时逻辑栈帧被从栈中弹出,然后弹出EBP,恢复栈到调用函数时的地址,最后弹出返回地址到EIP从而继续运行程序。调用函数function(1, 2, 3)的过程如图5-17所示:图5-16 进程地址空间图5-17 调用函数function(1, 2, 3)的过程首先
4、把参数压入栈;在C语言中参数的压栈顺序是反向的,以从后往前的顺序将function的3个参数3、2、1压入栈中。然后保存指令寄存器(IP)中的内容作为返回地址(return2)压入栈中;第3个放入栈的是基址寄存器EBP(即sfp)。接着把当前的栈指针(SP)复制到EBP,作为新栈帧的基地址(sfp,栈帧指针)。最后把SP减去适当的数值,将局部变量(buffer和ret)压入栈中。执行第8行语句ret=(int*)(buffer1+16);后,指针ret指向return2所指的存储单元,执行第9行语句(*ret)+=7;后,调用函数function()后的返回地址(return2所指的存储单元)
5、指向了第17行,第16行被隔过去了,因此,该程序的输出结果是99999。3缓冲区溢出实例二实验环境:Linux操作系统。第1步:编写源程序。编写C语言源程序,如图5-18所示,保存为buffer_flow_2.c文件。第2步:编译源程序。如图5-19所示,执行# gcc buffer_flow_2.c -o buffer_flow_2.o命令,编译源程序。第3步:执行程序。如图5-19所示,执行# ./buffer_flow_2.o命令,输出结果“sh-3.2#”,表明溢出成功。请读者结合图5-20对buffer_flow.o程序在内存中的分布情况以及执行流程进行分析。图5-18 buffer_flow_2.c文件图5-19 编译源程序图5-20 程序执行流程
