网络渗透技术入门篇.doc

网络渗透技术入门篇 2011-08-18 09:59:21????来源： 互联网 缓冲区溢出通常是向数组中写数据时，写入的数据的长度超出了数组原始定义的大小。 比如前面你定义了intbuff[10]，那么只有buff[0]-buff[9]的空间是我们定义buff时 申请的合法空间，但后来往里面写入数据时出现了 ... 缓冲区溢出通常是向数组中写数据时，写入的数据的长度超出了数组原始定义的大小。 比如前面你定义了intbuff[10]，那么只有buff[0]-buff[9]的空间是我们定义buff时 申请的合法空间，但后来往里面写入数据时出现了buff[12]0x10则越界了。C语言常用的 strcpy、sprintf、strcat等函数都非常容易导致缓冲区溢出问题。 ? ? 查阅C语言编程的书籍时通常会告诉你程序溢出后会发生不可预料的结果。在网络安 全领域，缓冲区溢出利用的艺术在于让这个“不可预料的结果”变为我们期望的结果。 看下面这个演示程序：buf.c /*buffer overflow exampleby 2133529@*/ #includestdio.h voidwhy_here(void) /*这个函数没有任何地方调用过*/ { ? ?? ???printf(whyu here?! ); ? ?? ???_exit(0); } intmain(intargc,char * argv[]) { ? ?? ???intbuff[1]; ? ?? ???buff[2] (int)why_here; ? ?? ???return 0; } 在命令行用VC的命令行编译器编译(在Linux下用gcc编译并运行也是同样结果）： C:\Tempclbuf.c 运行程序：C:\Tempbuf.EⅩE whyu here?! 仔细分析程序和打印信息，你可以发现程序中我们没有调用过why_here函数，但该函数却 在运行的时候被调用了！！ 这里唯一的解释是buff[2]why_here;操作导致了程序执行流程的变化。 要解释此现象需要理解一些C语言底层（和计算机体系结构相关）及一些汇编知识，尤其是 “栈”和汇编中CALL/RET的知识，如果这方面你尚有所欠缺的话建议参考一下相关书籍， 否则后面的内容会很难跟上。 假设你已经有了对栈的基本认识，我们来理解一下程序运行情况： 进入main函数后的栈内容下： [ eip ][ ebp ][buff[0]] 高地址??----? ?? ?? ?低地址 以上3个存储单元中eip为main函数的返回地址，buff[0]单元就是buff申明的一个int 空间。程序中我们定义intbuff[1]，那么只有对buff[0]的操作才是合理的（我们只申请 了一个int空间），而我们的buff[2]why_here操作超出了buff的空间，这个操作越界了， 也就是溢出了。溢出的后果是：对buff[2]赋值其实就是覆盖了栈中的eip存放单元的数 据，将main函数的返回地址改为了why_here函数的入口地址。这样main函数结束后返回的时候将这个地址作为了返回地址而加以运行。 上面这个演示是缓冲区溢出最简单也是最核心的溢出本质的演示，需要仔细的理解。如果还 不太清楚的话可以结合对应的汇编代码理解。 用VC的命令行编译器编译的时候指定FA参数可以获得对应的汇编代码（Linux平台可以用 gcc的-S参数获得）： C:\Tempcl/FA tex.c C:\Temptypetex.asm ? ?? ???TITLE??tex.c ? ?? ???.386P include listing.inc if@Version gt510 .modelFLAT else _TEXT??SEGMENTPARA USE32PUBLIC CODE _TEXT ENDS _DATA??SEGMENTDWORDUSE32PUBLIC DATA _DATA??ENDS CONST??SEGMENTDWORDUSE32PUBLIC CONST CONST ENDS _BSS??SEGMENTDWORDUSE32PUBLIC BSS _BSS??ENDS $$SYMBOLS? ?? ?? ? SEGMENTBYTEUSE32 DEBSYM $$SYMBOLS? ?? ?? ? ENDS _TLS??SEGMENTDWORDUSE32PUBLIC TLS _TLS??ENDS FLAT??GROUP_DATA,CONST,_BSS ? ?? ?? ?ASSUME CS:FLAT,DS:FLAT,SS:F