计算机安全技术TOOLS教程课件5.4.1 实例：缓冲区溢出及其原理.docVIP

5.4.1 实例：缓冲区溢出及其原理 1．缓冲区溢出实例一 实验环境：Linux操作系统。 第1步：编写源程序。编写C语言源程序，如图5-14所示，保存为buffer_flow.c文件。 第2步：编译源程序。如图5-15所示，执行# gcc buffer_flow.c -o buffer_flow.o命令，编译源程序。 图5-14 buffer_flow.c文件 图5-15 编译源程序 第3步：执行程序。如图5-15所示，执行# ./buffer_flow.o命令，输出结果99999。通过分析主函数的流程，应该输出1，可是为什么输出99999呢？原因在于funtion（）函数。 2．buffer_flow的分析 下面对buffer_flow.o程序在内存中的分布情况以及执行流程进行分析。 一个程序在内存中通常分为：程序段、数据段、堆和栈。 （1）程序段：存放着程序的机器码和只读数据。 （2）数据段：存放的是程序中的静态数据和全局变量。 （3）堆、栈：存放动态数据及局部变量。 x86平台的虚拟地址空间是0x0000 0000~0xffff ffff，前3GB（0x0000 0000~0xbfff ffff）是用户空间，后1GB（0xc000 0000~0xffff ffff）是内核空间，他们的位置如图5-16所示。 栈是一块保存数据的连续内存，一个名为栈指针（SP，指向栈顶部）的寄存器指向栈的顶部，栈的底部在一个固定的地址。除了SP之外，为了使用方便还有指向帧内固定地址的指针称做帧指针（FP）。从理论上说，局部变量可以用SP加偏移量来引用。栈由逻辑栈帧组成，一个函数对应一个栈帧，当调用函数时逻辑栈帧被压入栈中，栈帧包括函数的局部变量（如果函数有局部变量）、返回地址、EBP和被调函数的形参。程序执行结束后，局部变量的内容将会丢失，但是不会被清除。当函数返回时逻辑栈帧被从栈中弹出，然后弹出EBP，恢复栈到调用函数时的地址，最后弹出返回地址到EIP从而继续运行程序。 调用函数function（1, 2, 3）的过程如图5-17所示： 图5-16 进程地址空间 图5-17 调用函数function（1, 2, 3）的过程 首先把参数压入栈；在C语言中参数的压栈顺序是反向的，以从后往前的顺序将function的3个参数3、2、1压入栈中。 然后保存指令寄存器（IP）中的内容作为返回地址（return2）压入栈中；第3个放入栈的是基址寄存器EBP（即sfp）。 接着把当前的栈指针（SP）复制到EBP，作为新栈帧的基地址（sfp，栈帧指针）。 最后把SP减去适当的数值，将局部变量（buffer和ret）压入栈中。 执行第8行语句ret=(int*)(buffer1+16);后，指针ret指向return2所指的存储单元，执行第9行语句(*ret)+=7;后，调用函数function（）后的返回地址（return2所指的存储单元）指向了第17行，第16行被隔过去了，因此，该程序的输出结果是99999。 3．缓冲区溢出实例二 实验环境：Linux操作系统。 第1步：编写源程序。编写C语言源程序，如图5-18所示，保存为buffer_flow_2.c文件。 第2步：编译源程序。如图5-19所示，执行# gcc buffer_flow_2.c -o buffer_flow_2.o命令，编译源程序。 第3步：执行程序。如图5-19所示，执行# ./buffer_flow_2.o命令，输出结果“sh-3.2#”，表明溢出成功。 请读者结合图5-20对buffer_flow.o程序在内存中的分布情况以及执行流程进行分析。 图5-18 buffer_flow_2.c文件 图5-19 编译源程序 图5-20 程序执行流程