函数栈及缓冲区溢出攻击(一)

最新推荐文章于 2023-06-11 22:06:33 发布
置顶 最新推荐文章于 2023-06-11 22:06:33 发布
阅读量638 收藏 1
点赞数 1
分类专栏: c\c++ 文章标签: 函数栈 缓冲区溢出 软件安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinyingzhong/article/details/15968919
版权

关于函数栈空间

栈是向下生长的,简单的说就是栈底地址大于栈顶地址。就x86体系的CPU而言,寄存器ebp指向的是栈底,而寄存器esp指向的是栈顶.

假设函数A调用函数B,我们称A函数为"调用者",B函数为“被调用者”则函数调用过程可以这么描述:

  (1)先将调用者(A)的堆栈的基址(ebp)入栈,以保存之前任务的信息。

  (2)然后将调用者(A)的栈顶指针(esp)的值赋给ebp,作为新的基址(即被调用者B的栈底)。

  (3)然后在这个基址(被调用者B的栈底)上开辟(一般用sub指令)相应的空间用作被调用者B的栈空间。

  (4) 函数B返回后,从当前栈帧的ebp即恢复为调用者A的栈顶(esp),然后调用者A再从恢复后的栈顶可弹出之前的ebp值。

在这里,我们写一个具体的例子,演示一下函数调用过程中,堆栈及寄存器ebp、esp的变化情况

void B(int a)
{
    int b = a;
}

void A()
{
    int a[10] = {0};
    B(a[1]);
}

void main()
{
    A();
}

使用vc6.0编译得到如下汇编代码

函数A:

  00000	55		 push	 ebp
  00001	8b ec		 mov	 ebp, esp
  00003	83 ec 68	 sub	 esp, 104
  00006	53		 push	 ebx
  00007	56		 push	 esi
  00008	57		 push	 edi
  00009	8d 7d 98	 lea	 edi, DWORD PTR [ebp-104]
  0000c	b9 1a 00 00 00	 mov	 ecx, 26
  00011	b8 cc cc cc cc	 mov	 eax, -858993460
  00016	f3 ab		 rep stosd
  00018	c7 45 d8 00 00
	00 00		 mov	 DWORD PTR _a$[ebp], 0
  0001f	b9 09 00 00 00	 mov	 ecx, 9
  00024	33 c0		 xor	 eax, eax
  00026	8d 7d dc	 lea	 edi, DWORD PTR _a$[ebp+4]
  00029	f3 ab		 rep stosd

  0002b	8b 45 dc	 mov	 eax, DWORD PTR _a$[ebp+4]
  0002e	50		 push	 eax
  0002f	e8 00 00 00 00	 call	 ?B@@YAXH@Z
  00034	83 c4 04	 add	 esp, 4
  00037	5f		 pop	 edi
  00038	5e		 pop	 esi
  00039	5b		 pop	 ebx
  0003a	83 c4 68	 add	 esp, 104
  0003d	3b ec		 cmp	 ebp, esp
  0003f	e8 00 00 00 00	 call	 __chkesp
  00044	8b e5		 mov	 esp, ebp
  00046	5d		 pop	 ebp
  00047	c3		 ret	 0

函数B: 

  00000	55		 push	 ebp
  00001	8b ec		 mov	 ebp, esp
  00003	83 ec 44	 sub	 esp, 68
  00006	53		 push	 ebx
  00007	56		 push	 esi
  00008	57		 push	 edi
  00009	8d 7d bc	 lea	 edi, DWORD PTR [ebp-68]
  0000c	b9 11 00 00 00	 mov	 ecx, 17
  00011	b8 cc cc cc cc	 mov	 eax, -858993460
  00016	f3 ab		 rep stosd
  00018	8b 45 08	 mov	 eax, DWORD PTR _a$[ebp]
  0001b	89 45 fc	 mov	 DWORD PTR _b$[ebp], eax
  0001e	5f		 pop	 edi
  0001f	5e		 pop	 esi
  00020	5b		 pop	 ebx
  00021	8b e5		 mov	 esp, ebp
  00023	5d		 pop	 ebp
  00024	c3		 ret	 0

由上面的汇编代码可以看出,函数A和函数B在调用之前都做了如下处理: 

  00000	55		 push	 ebp
  00001	8b ec		 mov	 ebp, esp
这两句代码分别对应函数调用过程的(1)、(2),即保存当前的栈底地址(edp),将当前的栈顶地址(esp)作为该函数的栈底。在保持完这些状态之后,开始开辟函数的栈空间,代码如下 

  00003	83 ec 44	 sub	 esp, 68           ;开辟68字节的栈空间: 44H = 68D

而在函数执行完之后,又做了如下处理:

  00021	8b e5		 mov	 esp, ebp
  00023	5d		 pop	 ebp
这两句代码对应的是 调用过程的(4),即还原调用函数前的栈状态。

单步跟踪运行,在调用B之前,查看此时的寄存器状态如下图:



 根据EBP的值,我们可看到此时函数栈的状态如下图:


单步执行 call @ILT+10(B)(0040100f) 后,堆栈状态如下:


我们注意到Call指令已经将函数B的返回地址(0x401094)压入了栈,在函数返回时,将该地址赋于寄存器EIP,使得程序能正确返回并继续往下执行。如果我们修改这个地址的值,那么在函数返回时,程序将跳到你指定的地址继续执行。缓冲区溢出攻击的原理就是如此,通过越界访问缓冲区以修改函数返回地址,从而获得程序控制权。

当程序进入函数B之后,寄存器的状态如下:


栈空间状态如下:


可以看出,函数B的栈底地址指向的值(4字节)是函数A的栈底地址,函数B的栈底地址指向的下一个值(4字节)是函数B的返回地址,我们只要能定位到这个返回地址并将之修改为我们自己的函数地址,那我们就掌握了程序的控制权。


在下一章,将给出一个例子,讨论如何准备一些特殊的数据,将这些数据传给没有做溢出检测的函数,从而获得程序的控制权。





影中踪影
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-缓冲区溢出攻击原理与防范的研究.pdf
07-22
在分析缓冲区溢出攻击原理的基础上,说明了攻击的成因,然后描述了目前常见的攻击类型,最后给出了现有的防范措施,进而提出了一种新的通过对编译器及相关系统级函数进行修改来解决该问题的方案。
浅析函数
小菜的OnePiece的博客
07-21 1142
浅析函数,协程原理
函数详解
猛犸象
11-08 1721
函数详解
函数调用
weixin_44108830的博客
12-18 2098
1、函数调用的基本概念 (FIFO):在数据结构中是一个特殊的容器,遵守先入的数据后出。在计算机系统中是一个具有以上属性的动态内存区域。总是向下增长,压操作使顶地址减小,弹出操作使顶地址增大。 每个进程都会有自己的空间,而进程中的各个函数也会维护自己本身的一个的区域,这个区域包含了函数调用所需要维护的信息,这个区域常常被称为帧或活动记录,堆帧一般包含如下几个方面: 1、函数返回地址和参数 2、临时变量:包含函数的非静态局部变量以及编译器自动生成的其他临时变量 3、保存存的上下文:包
函数调用 剖析+图解
热门推荐
wangyezi19930928的专栏
11-25 5万+
: 在函数调用时,第一个进的是主函数函数调用后的下一条指令(函数调用语句的下一条可执行语句)的地址,然后是函数的各个参数,在大多数的C编译器中,参数是由右往左入的,然后是函数中的局部变量。注意静态变量是不入的。 当本次函数调用结束后,局部变量先出,然后是参数,最后顶指针指向最开始存的地址,也就是主函数中的下一条指令,程序由该点继续运行。 当发生函数调用的时候,
区数据被飞踩问题定位手段
sydyh43的博客
01-25 2589
1、栈溢出或者数据被踩时,继续运行就会出现segmentation fault。可以尝试着接管SIGSEGV信号,在信号处理函数中保存一些出现异常时候的信息。 2、基于栈溢出场景,空间被破坏,也就没法使用区,当然就没法执行SIGSEGV信号的处理函数。因此需要开辟额外的空间用于空间使用,系统提供了sigaltstack接口。 2.1、开辟第二区的代码 void create_alt_stack(void) { stack_t sigstack; memset(&sigsta
缓冲区溢出利用实验(详细步骤)
02-23
由于程序的运行机制,假设利用 strcpy()函数进行字符串赋值,因定义的字符 串及输入字符串长度不一致或过长,从而占用了 ebp(底)和 call(函数)返回地址的 区。基于此可利用修改的函数调用结束后的返回地址...
缓冲区溢出攻击.pdf
04-15
介绍linux系统下,gcc编译的c代码如何利用缓冲区溢出修改函数返回地址和参数,实现攻击,含函数帧的分析。
PHP5.0 TIDY_PARSE_FILE缓冲区溢出漏洞的解决方案
12-19
我给出的poc是一个可以触发php漏洞的,问题出现在php_tidy.dll扩展中,对tidy_parse_file的第二个参数,也就是文件绝对路径没有进行长度控制和内容校验,导致在fopen失败后进入失败处理逻辑引发缓冲区溢出,下面对此...
论文研究-一种抗地址淹没的缓冲区栈溢出算法.pdf
07-22
通过分析缓冲区溢出攻击的方法和特点,提出一种基于StackShield改进的RetProtect算法。首先利用IDA Pro对源程序反汇编分析,然后建立新的库函数,并通过修改GCC源代码来实现程序执行时对函数返回地址的备份的方法来...
函数帧详解
m0_74268677的博客
11-06 1819
函数帧详解
【C语言】你必须知道的区细节—函数帧(动态详解)
m0_75219751的博客
06-11 1205
该文章通过讲解函数帧的创建和销毁带你了解局部变量为什么是随机值,参数调用顺序等一系列问题
函数简单解释
天才樱木
04-24 806
我们知道内存空间大致可以用下图表示: 而函数在调用的时候都是在空间上开辟一段空间以供函数使用,所以下面来详细谈一谈函数帧结构。 如图示,是由高地址向地地址的方向生长的,而且有其顶和底,在x86系统的CPU中,寄存器ebp保存的是底地址,称为帧指针,寄存器esp保存的是顶地址,称为指针。而且还...
函数帧深度剖析(一篇带你牢牢掌握函数帧)
春人.的博客
11-13 2878
本篇深度剖析了函数帧的创建和销毁在内存中的具体操作过程,让你对函数调用、函数传参、函数返回值等有更深入的理解。
【C语言进阶】函数帧与可变参数列表(函数调用,函数帧,可变参数列表,递归调用)
芥末虾的博客
11-30 1176
函数调用,函数帧,可变参数列表,递归调用
【C语言的栈溢出问题以及部分解决】
qq_64318258的博客
08-10 1万+
本文也提到尾递归优化,怎么扩大空间大小,VS优化选项修改的方法,以及解决“/O1”和“/RTC1”命令行选项不兼容问题。缓冲区溢出(Buffer overflow);内存溢出(memory overflow);数据溢出(data overflow)。本文只谈及缓冲区溢出的——栈溢出,即五种原因的介绍:①函数递归层次太深。②局部变量体积太大。③动态申请空间使用之后没有释放。④数组访问越界。⑤指针非法访问。...
栈溢出的常见情况
DHL1234567的专栏
09-04 3740
一、局部数组过大。当函数内部的数组过大时,有可能导致堆栈溢出。 例如:
栈溢出一般是由什么原因导致
路过的熊的博客
03-19 1万+
背景 全局变量存放在静态存储区,位置是固定的。 局部变量在空间,地址是不固定的。 :就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 堆:就是那些由new分配的内存块,他们的释放编译器不去管,由我们的应用程序去控制,一般一个new就要对应一个delete。如果程序员没有释放掉,那么在程序结束后,操作系统会自动回收。 自由存储区:就是那些由malloc等分配的内存块,他和堆是十分相似的,不过它是用free来结束自己的生命的。 全局存储区(静态
pyton基于缓冲区溢出攻击代码
最新发布
09-07
Python是一种高级编程语言,不容易受到基于缓冲区溢出攻击,因为它提供了一些内建的安全功能来对抗此类攻击。但是,如果我们编写了不安全的代码,可能会出现这种情况。 基于缓冲区溢出攻击是指当程序尝试将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值