缓冲区溢出光速门.docVIP

缓冲区溢出光速入门 适用：对缓冲区溢出感兴趣但一直不得要领的广大人民群众 作者：watercloud@xfocus.org 日期：2006-2 月编写，2007-9月修订 缓冲区溢出基基础 缓冲区溢出通常是向数组中写数据时，写入的数据的长度超出了数组原始定义的大小。 比如前面你定义了 int buff[10]，那么只有buff[0] - buff[9]的空间是我们定义 buff时申请的合法空间，但后来往里面写入数据时出现了buff[12]=0x10 则越界了。C语言常用的 strcpy、sprintf、strcat 等函数都非常容易导致缓冲区溢出问题。 查阅C 语言编程的书籍时通常会告诉你程序溢出后会发生不可预料的结果。在网络安 全领域，缓冲区溢出利用的艺术在于让这个“不可预料的结果”变为我们期望的结果。 看下面这个演示程序：buf.c /* buffer overflow example by watercloud@xfocus.org */ #includestdio.h void why_here(void) /*这个函数没有任何地方调用过 */ { printf(why u here ?!\n); _exit(0); } int main(int argc,char * argv[]){ int buff[1]; buff[2]=(int)why_here; return 0; } 在命令行用 VC的命令行编译器编译(在 Linux下用 gcc编译并运行也是同样结果）： C:\Tempcl buf.c 运行程序：C:\Tempbuf.exe why u here ?! 仔细分析程序和打印信息，你可以发现程序中我们没有调用过 why_here函数，但该函数却 在运行的时候被调用了！！ 这里唯一的解释是 buff[2]=why_here;操作导致了程序执行流程的变化。 要解释此现象需要理解一些C语言底层（和计算机体系结构相关）及一些汇编知识，尤其是 “栈”和汇编中 CALL/RET的知识，如果这方面你尚有所欠缺的话建议参考一下相关书籍， 否则后面的内容会很难跟上。 假设你已经有了对栈的基本认识，我们来理解一下程序运行情况： 进入 main函数后的栈内容下： [ eip ][ ebp ][ buff[0] ] 高地址 ---- 低地址 以上 3个存储单元中 eip为 main函数的返回地址，buff[0]单元就是 buff申明的一个 int 空间。程序中我们定义 int buff[1]，那么只有对buff[0]的操作才是合理的（我们只申请 了一个int空间） ，而我们的buff[2]=why_here操作超出了buff的空间， 这个操作越界了， 也就是溢出了。溢出的后果是： 对 buff[2]赋值其实就是覆盖了栈中的 eip存放单元的数 据，将 main函数的返回地址改为了 why_here函数的入口地址。这样 main函数结束后返回 的时候将这个地址作为了返回地址而加以运行。 上面这个演示是缓冲区溢出最简单也是最核心的溢出本质的演示，需要仔细的理解。如果还 不太清楚的话可以结合对应的汇编代码理解。 用VC的命令行编译器编译的时候指定 FA参数可以获得对应的汇编代码（Linux平台可以用 gcc 的-S参数获得）： C:\Tempcl /FA tex.c C:\Temptype tex.asm TITLE tex.c .386P include listing.inc if @Version gt 510 .model FLAT else _TEXT SEGMENT PARA USE32 PUBLIC CODE _TEXT ENDS _DATA SEGMENT DWORD USE32 PUBLIC DATA _DATA ENDS CONST SEGMENT DWORD USE32 PUBLIC CONST CONST ENDS _BSS SEGMENT DWORD USE32 PUBLIC BSS _BSS ENDS $$SYMBOLS SEGMENT BYTE USE32 DEBSYM $$SYMBOLS ENDS _TLS SEGMENT DWORD USE32 PUBLIC TLS _TLS ENDS FLAT GROUP _DATA, CONST, _BSS ASSUME CS: FLAT, DS: FLAT, SS: FLAT endif INCLUDELIB LIBC INCLUDELIB OLDNAMES _DATA SEGMENT $SG775 DB why u here ?!, 0aH, 00H _DATA ENDS PUBLIC _why_here EXTRN _printf:NEAR EXTRN __e