收藏
下载资源

缓冲区溢出光速入门

上传人:wt****50 文档编号:33640986 上传时间:2018-02-16 格式:DOC 页数:10 大小:346.50KB
返回 下载 相关 举报
缓冲区溢出光速入门_第1页
第1页 / 共10页
缓冲区溢出光速入门_第2页
第2页 / 共10页
缓冲区溢出光速入门_第3页
第3页 / 共10页
缓冲区溢出光速入门_第4页
第4页 / 共10页
缓冲区溢出光速入门_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《缓冲区溢出光速入门》由会员分享,可在线阅读,更多相关《缓冲区溢出光速入门(10页珍藏版)》请在金锄头文库上搜索。

1、缓冲区溢出光速入门适用:对缓冲区溢出感兴趣但一直不得要领的广大人民群众作者:watercloudxfocus.org日期:2006-2 月编写,2007-9 月修订缓冲区溢出基基础缓冲区溢出通常是向数组中写数据时,写入的数据的长度超出了数组原始定义的大小。比如前面你定义了 int buff10,那么只有 buff0 - buff9的空间是我们定义 buff 时申请的合法空间,但后来往里面写入数据时出现了 buff12=0x10 则越界了。C 语言常用的strcpy、sprintf 、 strcat 等函数都非常容易导致缓冲区溢出问题。查阅 C 语言编程的书籍时通常会告诉你程序溢出后会发生不可预

2、料的结果。在网络安全领域,缓冲区溢出利用的艺术在于让这个“不可预料的结果”变为我们期望的结果。看下面这个演示程序:buf.c/* buffer overflow example by watercloudxfocus.org */#includevoid why_here(void) /*这个函数没有任何地方调用过 */printf(why u here ?!n);_exit(0);int main(int argc,char * argv)int buff1;buff2=(int)why_here;return 0;在命令行用 VC 的命令行编译器编译(在 Linux 下用 gcc 编译并运

3、行也是同样结果):C:Tempcl buf.c运行程序:C:Tempbuf.exewhy u here ?!仔细分析程序和打印信息,你可以发现程序中我们没有调用过 why_here 函数,但该函数却在运行的时候被调用了!这里唯一的解释是 buff2=why_here;操作导致了程序执行流程的变化。要解释此现象需要理解一些 C 语言底层(和计算机体系结构相关)及一些汇编知识,尤其是“栈”和汇编中 CALL/RET 的知识,如果这方面你尚有所欠缺的话建议参考一下相关书籍,否则后面的内容会很难跟上。假设你已经有了对栈的基本认识,我们来理解一下程序运行情况:进入 main 函数后的栈内容下: eip

4、ebp buff0 高地址 cl /FA tex.cC:Temptype tex.asmTITLE tex.c.386Pinclude listing.incif Version gt 510.model FLATelse_TEXT SEGMENT PARA USE32 PUBLIC CODE_TEXT ENDS_DATA SEGMENT DWORD USE32 PUBLIC DATA_DATA ENDSCONST SEGMENT DWORD USE32 PUBLIC CONSTCONST ENDS_BSS SEGMENT DWORD USE32 PUBLIC BSS_BSS ENDS$SYM

5、BOLS SEGMENT BYTE USE32 DEBSYM$SYMBOLS ENDS_TLS SEGMENT DWORD USE32 PUBLIC TLS_TLS ENDSFLAT GROUP _DATA, CONST, _BSSASSUME CS: FLAT, DS: FLAT, SS: FLATendifINCLUDELIB LIBCINCLUDELIB OLDNAMES_DATA SEGMENT$SG775 DB why u here ?!, 0aH, 00H_DATA ENDSPUBLIC _why_hereEXTRN _printf:NEAREXTRN _exit:NEAR_TEX

6、T SEGMENT_why_here PROC NEARpush ebpmov ebp, esppush OFFSET FLAT:$SG775call _printfadd esp, 4push 0call _exitadd esp, 4pop ebpret 0_why_here ENDP_TEXT ENDSPUBLIC _main_TEXT SEGMENT_buff$ = -4 ; size = 4_argc$ = 8 ; size = 4_argv$ = 12 ; size = 4_main PROC NEARpush ebpmov ebp, esppush ecxmov DWORD PT

7、R _buff$ebp+8, OFFSET FLAT:_why_herexor eax, eaxmov esp, ebppop ebpret 0_main ENDP_TEXT ENDSEND这个例子中我们溢出 buff 后覆盖了栈中的函数返回地址,由于覆盖数据为栈中的数据,所以也称为栈溢出。对应的,如果溢出覆盖发生在堆中,则称为堆溢出,发生在已初始化数据区的则称为已初始化数据区溢出。实施对缓冲区溢出的利用(即攻击有此问题的程序)需要更多尚未涉及的主题:1. shellcode 功能2. shellcode 存放和地址定位3. 溢出地址定位这些将在以后的章节中详细讲解。SHELLCODE 基础溢

8、出发生后要控制溢出后的行为关键就在于 shellcode 的功能。 shellcode 其实就是一段机器码。因为我们平时顶多用汇编写程序,绝对不会直接用机器码编写程序,所以感觉shellcode 非常神秘。这里让我们来揭开其神秘面纱。看看程序 shell0.c:#includeint add(int x,int y) return x+y;int main(void) result=add(129,127);printf(result=%in,result);return 0;这个程序太简单了!那么我们来看看这个程序呢?shell1.c#include #include int add(int

9、 x,int y)return x+y;typedef int (* PF)(int,int);int main(void)unsigned char buff256;unsigned char *ps=(unsigned char *) /* ps 指向 add 函数的开始地址 */unsigned char *pd=buff;int result=0;PF pf=(PF)buff;while(1)*pd=*ps;printf(x%02x,*ps);if(*ps=0xc3)break;pd+,ps+;result=pf(129,127); /*此时的 pf 指向 buff */printf(

10、nresult=%in,result);return 0;编译出来运行,结果如下:shell:x55x89xe5x8bx45x0cx03x45x08x5dxc3result=25shell1 和 shell0 的不同之处在于 shell1 将 add 函数对应的机器码从代码空间拷贝到了 buff中(拷贝过程中顺便把他们打印出来了) ,然后通过函数指针运行了 buff 中的代码!关键代码解释:unsigned char * ps = (unsigned char *) 让 pf 函数指针指向 buff,以后调用 pf 函数指针时将会把 buff 中的数据当机器码执行。*pd = * ps;把机器

11、码从 add 函数开始的地方拷贝到 buff 数组中。if(*ps = 0xc3) break 每个函数翻译为汇编指令后都是以 ret 指令结束,ret 指令对应的机器码为 0xc3,这个判断控制拷贝到函数结尾时停止拷贝,退出循环。result=pf(129,127);由于 pf 指向 buff,这里调用 pf 后将把 buff 中的数据作为代码执行。shell1 和 shell0 做的事情一样,但机制就差别很大了。值得注意的是 shell1 的输出中这一行:shell:x55x89xe5x8bx45x0cx03x45x08x5dxc3直接以 C 语言表示字符串的形式将平时深藏不露的机器码给打

12、印了出来。其对应的 C 语言代码是:int add(int x,int y) return x+y;对应的汇编码(AT&T 的表示)为:pushl %ebpmovl %esp, %ebpmovl 12(%ebp), %eaxaddl 8(%ebp), %eaxpopl %ebpret接下来理解这个程序应该就很容易了 shell2.c:#includetypedef int (* PF)(int,int);int main(void)unsigned char buff=x55x89xe5x8bx45x0cx03x45x08x5dxc3;PF pf=(PF)buff;int result=0;r

13、esult=pf(129,127);printf(result=%in,result);return 0;我们直接把 add 函数对应的机器码写到 buff 数组中,然后直接从 buff 中运行 add 功能。编译运行结果为:result=256本 质 上 来 看 上 面 的 x55x89xe5x8bx45x0cx03x45x08x5dxc3就 是 一 段shellcode。shellcode 的名称来源和 Unix 的 Shell 有些关系,早期攻击程序中 shellcode的功能是开启一个新的 shell,也就是说溢出攻击里 shellcode 的功能远远不像我们演示中这么简单,需要完成更

14、多的功能。无论 shellcode 完成什么功能,其本质就是一段能完成更多功能的机器码。当然要做更多事情的 shellcode 的编写需要解决很多这里没有遇到的问题,如:1. 函数重定位2. 系统调用接口3. 自身优化4. 等等。程序进程空间地址定位这个标题比较长,得要解释一下。这里有一个经常会混淆的概念要澄清一下,程序的源代码称为程序源代码,源代码编译后的二进制可执行文件称为程序,程序被运行起来后内存中和他相关的内存资源和 CPU 资源的总和称为进程。 程序空间其实指的是进程中内存布局和内存中的数据。再通俗点就是程序被运行起来时其内存空间的布局。这点需要记住:一个程序被编译完成后其运行时内部

15、的内存空间布局就已经确定。这个编译好的二进制文件在不同时间,不同机器上(当然操作系统得是一样的)运行,其内存布局是完全相同的(一些特例除外,后面会说到) 。这就是内存空间地址定位的基础!写一程序 a.c 如下:#includechar * p=Hello;int a=10;int main(int argc,char * argv)int b0;char * f=malloc(8);printf(p content addr:%pn,p);printf(p point addr:%pn,printf(a addr:%pn,printf(b addr:%pn,printf(f content addr:%pn,f);printf(main fun addr:%pn,编译: gcc a.c -o a #Win 下用 cl a.c 编译,以下以 Linux 为例,Win 系统同样适用在我的 Ubuntu 7.04 上执行:clouddream:/Work/cloud$ ./ap content addr:0x804852cp point addr:0x80496a8a addr:0x80496acb addr:0xbffff9e4f content addr:0x804a008main fun addr:0x80483b4这里我们可以看到我们各变量在内存中的地址。过几分钟再执行一

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号