缓冲溢出入门课件.pdfVIP

缓冲区溢出光速入门 适用：对缓冲区溢出感兴趣但一直不得要领的广大人民群众 作者：watercloud@ 日期：2006-2月编写，2007-9月修订 缓冲区溢出基基础 缓冲区溢出通常是向数组中写数据时，写入的数据的长度超出了数组原始定义的大小。 比如前面你定义了int buff[10]，那么只有buff[0] - buff[9]的空间是我们定义buff时 申请的合法空间，但后来往里面写入数据时出现了buff[12] 0x10则越界了。C语言常用的 strcpy、sprintf、strcat等函数都非常容易导致缓冲区溢出问题。 查阅C语言编程的书籍时通常会告诉你程序溢出后会发生不可预料的结果。在网络安 全领域，缓冲区溢出利用的艺术在于让这个 “不可预料的结果”变为我们期望的结果。 看下面这个演示程序：buf.c /* buffer overflow example by watercloud@ */ #includestdio.h void why_here(void) /*这个函数没有任何地方调用过 */ { printf(why u here ?!\n); _exit(0); } int main(int argc,char * argv[]) { int buff[1]; buff[2] (int)why_here; return 0; } 在命令行用VC的命令行编译器编译(在Linux下用gcc编译并运行也是同样结果）： C:\Tempcl buf.c 运行程序： C:\Tempbuf.exe why u here ?! 仔细分析程序和打印信息，你可以发现程序中我们没有调用过why_here函数，但该函数却 在运行的时候被调用了！！ 这里唯一的解释是buff[2] why_here;操作导致了程序执行流程的变化。 要解释此现象需要理解一些C语言底层 （和计算机体系结构相关）及一些汇编知识，尤其是 “栈”和汇编中CALL/RET的知识，如果这方面你尚有所欠缺的话建议参考一下相关书籍， 否则后面的内容会很难跟上。 假设你已经有了对栈的基本认识，我们来理解一下程序运行情况： 进入main函数后的栈内容下： [ eip ][ ebp ][buff[0] ] 高地址 低地址 以上3个存储单元中eip为main函数的返回地址，buff[0]单元就是buff 申明的一个 int 空间。程序中我们定义int buff[1]，那么只有对buff[0]的操作才是合理的 （我们只申请 了一个int空间），而我们的buff[2] why_here操作超出了buff的空间，这个操作越界了， 也就是溢出了。溢出的后果是： 对buff[2]赋值其实就是覆盖了栈中的eip存放单元的数 据，将main函数的返回地址改为了why_here函数的入口地址。这样main函数结束后返回 的时候将这个地址作为了返回地址而加以运行。 上面这个演示是缓冲区溢出最简单也是最核心的溢出本质的演示，需要仔细的理解。如果还 不太清楚的话可以结合对应的汇编代码理解。 用VC的命令行编译器编译的时候指定FA参数可以获得对应的汇编代码 （Linux平台可以用 gcc 的-S参数获得）： C:\Tempcl /FA tex.c C:\Temptype tex.asm TITLE tex.c .386P include listing.inc if @Version gt 510 .model FLAT else _TEXT SEGMENT PARA USE32 PUBLIC CODE _TEXT ENDS _DATA SEGMENT DWORD USE32 PUBLIC DATA _DATA ENDS CONST SEGMENT DWORD USE32 PUBLIC CONST CONST ENDS _BSS SEGMENT DWORD USE32 PUBLIC BSS _BSS ENDS $$SYMBOLS SEGMENT BYTE USE32 DEBSYM $$SYMBOLS ENDS _TLS SEGMENT DWORD USE32 PUBLIC TLS _TLS ENDS FLAT GROUP _DATA, CONST, _BSS ASSUME CS: FLAT, DS: F