Linux缓冲区溢出攻击详解
(一)当一个函数被调用后,它会:
-
移动栈指针ESP,EBP。开辟一段栈空间
-
在栈(堆)空间内分配程序申请的局部变量
(二)当一个函数去调用另一个函数时,它会:
- 准备入口参数(形参压栈)
- 调用CALL指令
(三)当call指令执行时会发生什么?
- CALL指令下一条指令的地址会被压入栈
- IP寄存器值发生改变,代码跳转至子程序*(IP如何变化?段间跳和跨段跳有所不同)*
(四)call完之后进入子程序,子程序会做什么?
显然,它会做和(一)一样的事情。
详解:
被调用者会将当前的栈底指针(当前的栈底指针还是属于调用者的,当然要帮它保存起来)压栈,然后将栈底指向当前的栈顶(把栈底移下来,往后的栈空间就是自己的了),接着根据局部变量的大小向低地址方向开辟一段栈空间(具体表现为ESP减去相应数值)。
这部分有三条非常重要的汇编代码!
PUSH EBP ;保存调用者的栈底
MOV EBP, ESP ;将EBP改为调用者栈顶
SUB ESP, (具体数值,由编译器计算) ;栈顶指针减,获取足够的栈空间
任何被调用的函数开始一定要执行这三条指令,这样函数才能运行在自己的栈空间内。
由于第一条指令就是PUSH EBP,所以一个函数栈帧的底部储存的数值往往是调用者的栈帧底(EBP值)。
函数拥有了自己的栈空间之后,会将自己函数体内的所有局部变量从低地址往高地址回填(比如先从EBP-12开始填,然后填EBP-8,EBP-4,EBP-0…)。
调用者的返回地址早已经在它调用CALL指令时被压入栈内了,一般它在call指令时被压入栈的,所以一般返回地址在调用者栈帧的顶部。
也就是被调用者栈帧底部+4所在的位置。
如果我们的局部变量从低地址往高地址回填的过程中发生了溢出,修改了EBP+4的值,函数返回地址将出现错误。如果这个返回地址是攻击者精心构造的恶意代码的入口,就形成了缓冲区溢出攻击。