软件漏洞分析（附件）.docVIP

软件漏洞分析入门_2_初级栈溢出A_初识数组越界 本想来点大道理申明下研究思路啥的，看到大家的热情期待，稍微调整一下讲课的顺序。从今天开始，将用3～4次给大家做一下栈溢出的扫盲。栈溢出的文章网上还是有不少的（其实优秀的也就两三篇），原理也不难，读过基本上就能够明白是怎么回事。本次讲解将主要集中在动手调试方面，更加着重实践。经过这3～4次的栈溢出扫盲，我们的目标是：领会栈溢出攻击的基本原理能够动手调试简易的栈溢出漏洞程序，并能够利用漏洞执行任意代码（最简易的shellcode）最主要的目的其实是激发大家的学习兴趣——寡人求学若干年，深知没有兴趣是决计没有办法学出名堂来的。本节课的基本功要求是：会C语言就行（大概能编水仙花数的水平）我会尽量用最最傻瓜的文字来阐述这些内存中的二进制概念。为了避免一开始涉及太多枯燥的基础知识让您失去了兴趣，我并不提倡从汇编和寄存器开始，也不想用函数和栈开头。我准备用一个自己设计的小例子开始讲解，之后我会以这个例子为基础，逐步加码，让它变得越来越像真实的漏洞攻击。您需要的就是每天晚上看一篇帖子，然后用十分钟时间照猫画虎的在编译器里把例子跟着走一遍，坚持一个星期之后您就会发现世界真奇妙了。不懂汇编不是拒绝这门迷人技术的理由——今天的课程就不涉及汇编——并且以后遇到会随时讲解滴所以如果你懂C语言的话，不许不学，不许说学不会，也不许说难，哈哈开场白多说了几句，下面是正题。今天我们来一起研究一段暴简单无比的C语言小程序，看看编程中如果不小心出现数组越界将会出现哪些问题，直到这个单元结束您能够用这些数组越界漏洞控制远程主机。#include?stdio.h#define?PASSWORD?1234567int?verify_password?(char?*password){??int?authenticated;??char?buffer[8];??//?add?local?buff?to?be?overflowed??authenticated=strcmp(password,PASSWORD);??strcpy(buffer,password);牋//over爁lowed爃ere!牋牋return燼uthenticated;}main(){牋int爒alid_flag=0;牋char爌assword[1024];牋while(1)牋{牋牋printf(please爄nput爌assword:牋牋牋?);牋牋scanf(%s,password);牋牋valid_flag?爒erify_password(password);牋牋if(valid_flag)牋牋{牋牋牋printf(incorrect爌assword!\n\n);牋牋}牋牋else牋牋{牋牋牋printf(Congratulation!燳ou爃ave爌assed爐he爒erification!\n);牋牋牋break;牋牋}牋}}对于这几行乱简单无比的程序，我还是稍作解释。程序运行后将提示输入密码用户输入的密码将被程序与宏定义中的“1234567”比较密码错误，提示验证错误，并提示用户重新输入密码正确，提示正确，程序退出（真够傻瓜的语言）所谓的漏洞在于verify_password（）函数中的strcpy(buffer,password)调用。由于程序将把用户输入的字符串原封不动的复制到verify_password函数的局部数组char?buffer[8]中，但用户的字符串可能大于8个字符。当用户输入大于8个字符的缓冲区尺寸时，缓冲区就会被撑暴——即所谓的缓冲区溢出漏洞。缓冲区给撑暴了又怎么样？大不了程序崩溃么，有什么了不起！此话不然，如果只是导致程序崩溃就不用我在这里浪费大家时间了。根据缓冲区溢出发生的具体情况，巧妙的填充缓冲区不但可以避免崩溃，还能影响到程序的执行流程，甚至让程序去执行缓冲区里的代码。今天我们先玩一个最简单的。函数verify_password（）里边申请了两个局部变量int?authenticated;char?buffer[8];?当verify_password被调用时，系统会给它分配一片连续的内存空间，这两个变量就分布在那里（实际上就叫函数栈帧，我们后面会详细讲解），如下图?变量和变量紧紧的挨着。为什么紧挨着？当然不是他俩关系好，省空间啊，好傻瓜的问题，笑：）用户输入的字符串将拷贝进buffer[8]，从示意图中可以看到，如果我们输入的字符超过7