堆栈溢出问题

最新推荐文章于 2024-07-21 13:14:27 发布
最新推荐文章于 2024-07-21 13:14:27 发布
阅读量1.3k 收藏
点赞数
分类专栏: C++ 文章标签: internet 汇编 语言 shell linux windows

通过堆栈溢出来获得root权限是目前使用的相当普遍的一项黑客技术。事实上这是一个黑客在系统

本地已经拥有了一个基本账号后的首选攻击方式。他也被广泛应用于远程攻击。通过对daemon进程

的堆栈溢出来实现远程获得rootshell的技术,已经被很多实例实现。

在windows系统中,同样存在着堆栈溢出的问题。而且,随着internet的普及,win系列平台上的

internet服务程序越来越多,低水平的win程序就成为你系统上的致命伤。因为它们同样会被远程

堆栈溢出,而且,由于win系统使用者和管理者普遍缺乏安全防范的意识,一台win系统上的堆栈溢

出,如果被恶意利用,将导致整个机器被敌人所控制。进而,可能导致整个局域网落入敌人之手。

本系列讲座将系统的介绍堆栈溢出的机制,原理,应用,以及防范的措施。希望通过我的讲座,大

家可以了解和掌握这项技术。而且,会自己去寻找堆栈溢出漏洞,以提高系统安全。

堆栈溢出系列讲座

入门篇

本讲的预备知识:

首先你应该了解intel汇编语言,熟悉寄存器的组成和功能。你必须有堆栈和存储分配方面的基础

知识,有关这方面的计算机书籍很多,我将只是简单阐述原理,着重在应用。

其次,你应该了解linux,本讲中我们的例子将在linux上开发。

1:首先复习一下基础知识。

从物理上讲,堆栈是就是一段连续分配的内存空间。在一个程序中,会声明各种变量。静态全局变

量是位于数据段并且在程序开始运行的时候被加载。而程序的动态的局部变量则分配在堆栈里面。

从操作上来讲,堆栈是一个先入后出的队列。他的生长方向与内存的生长方向正好相反。我们规定

内存的生长方向为向上,则栈的生长方向为向下。压栈的操作push=ESP-4,出栈的操作是

pop=ESP+4.换句话说,堆栈中老的值,其内存地址,反而比新的值要大。请牢牢记住这一点,因为

这是堆栈溢出的基本理论依据。

在一次函数调用中,堆栈中将被依次压入:参数,返回地址,EBP。如果函数有局部变量,接下

来,就在堆栈中开辟相应的空间以构造变量。函数执行结束,这些局部变量的内容将被丢失。但是

不被清除。在函数返回的时候,弹出EBP,恢复堆栈到函数调用的地址,弹出返回地址到EIP以继续

执行程序。

在C语言程序中,参数的压栈顺序是反向的。比如func(a,b,c)。在参数入栈的时候,是:先压c,

再压b,最后压a.在取参数的时候,由于栈的先入后出,先取栈顶的a,再取b,最后取c。(PS:如果

你看不懂上面这段概述,请你去看以看关于堆栈的书籍,一般的汇编语言书籍都会详细的讨论堆

栈,必须弄懂它,你才能进行下面的学习)

2:好了,继续,让我们来看一看什么是堆栈溢出。

2.1:运行时的堆栈分配

堆栈溢出就是不顾堆栈中分配的局部数据块大小,向该数据块写入了过多的数据,导致数据越界。

结果覆盖了老的堆栈数据。

比如有下面一段程序:

程序一:
#include
int main ( )
{
char name[8];
printf("Please type your name: ");
gets(name);
printf("Hello, %s!", name);
return 0;
}

编译并且执行,我们输入ipxodi,就会输出Hello,ipxodi!。程序运行中,堆栈是怎么操作的呢?

在main函数开始运行的时候,堆栈里面将被依次放入返回地址,EBP。我们用gcc -S 来获得汇编语

言输出,可以看到main函数的开头部分对应如下语句:

pushl %ebp
movl %esp,%ebp
subl $8,%esp

首先他把EBP保存下来,,然后EBP等于现在的ESP,这样EBP就可以用来访问本函数的局部变量。之

后ESP减8,就是堆栈向上增长8个字节,用来存放name[]数组。现在堆栈的布局如下:

内存底部 内存顶部
name EBP ret
<------ [ ][ ][ ]
^&name
堆栈顶部 堆栈底部

执行完gets(name)之后,堆栈如下:

内存底部 内存顶部
name EBP ret
<------ [ipxodi\0 ][ ][ ]
^&name
堆栈顶部 堆栈底部

最后,main返回,弹出ret里的地址,赋值给EIP,CPU继续执行EIP所指向的指令。


2.2:堆栈溢出

好,看起来一切顺利。我们再执行一次,输入ipxodiAAAAAAAAAAAAAAA,执行完gets(name)之后,堆栈如下:

内存底部 内存顶部
name EBP ret
<------ [ipxodiAA][AAAA][AAAA].......
^&name
堆栈顶部 堆栈底部

由于我们输入的name字符串太长,name数组容纳不下,只好向内存顶部继续写‘A’。由于堆栈的

生长方向与内存的生长方向相反,这些‘A’覆盖了堆栈的老的元素。如图我们可以发现,EBP,

ret都已经被‘A’覆盖了。在main返回的时候,就会把‘AAAA’的ASCII码:0x41414141作为返回

地址,CPU会试图执行0x41414141处的指令,结果出现错误。这就是一次堆栈溢出。

3:如何利用堆栈溢出

我们已经制造了一次堆栈溢出。其原理可以概括为:由于字符串处理函数(gets,strcpy等等)没

有对数组越界加以监视和限制,我们利用字符数组写越界,覆盖堆栈中的老元素的值,就可以修改

返回地址。

在上面的例子中,这导致CPU去访问一个不存在的指令,结果出错。事实上,当堆栈溢出的时候,

我们已经完全的控制了这个程序下一步的动作。如果我们用一个实际存在指令地址来覆盖这个返回

地址,CPU就会转而执行我们的指令。在UINX系统中,我们的指令可以执行一个shell,这个shell

将获得和被我们堆栈溢出的程序相同的权限。如果这个程序是setuid的,那么我们就可以获得root

shell。

fengzhishang2019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win10基于堆栈的缓冲区溢出_Windows内存破坏漏洞的现代探索:堆栈溢出(一)
weixin_32002013的博客
01-22 1万+
介紹内存损坏漏洞这个话题,对于初学者来说是一道坎。当我第一次开始在Windows操作系统上探索这个话题时,我立刻被现代的、公开的、专门针对这个话题的信息的奇缺震惊了。因此,这篇文章的目的并不是提供新奇的内容,而是要记录自己在探索这个话题时踩过的坑,同时,也是为相关问题的探索过程做个记录。除此之外,还有一个目的为了整合和更新与漏洞缓解系统演变相关的信息,因为这些信息通常散落在不同的地方,并且有些已经...
堆栈溢出一般是由什么原因导致的?
fightingtingting的博客
06-22 2493
堆栈是一个特定的存储区或寄存器,它的一端是固定的,另一端是浮动的 ,也就是所有操作均在堆栈顶端进行,遵循“先进后出”的特征。·栈顶的地址和栈的最大容量是由系统预先规定的,只要栈的剩余空间大于所申请空间,系统将为程序提供内存,否则将报异常来提示栈发生溢出。·堆区是由程序员自己申请,指明大小,程序最后进行释放,若程序员不释放,程序结束时可能由操作系统回收(注意,如果是C/C++语言,程序不进行对空间回收,而Java语言中有专门的垃圾回收器进行回收)。 堆栈溢出是说堆区和栈区的溢出,二者同属于缓冲区
win10系统 explorer.exe系统错误
Hello_world_XXL的博客
10-26 2万+
win10
windows折腾日记】解决电脑提示系统错误弹窗:系统在此应用程序中检测到基于堆栈的缓冲区溢出
热门推荐
u010560236的博客
03-04 12万+
解决电脑提示系统错误弹窗:系统在此应用程序中检测到基于堆栈的缓冲区溢出 这个问题我也碰到过,其时很容易解决 按下面的操作步骤,就可以解决这个问题~ 步骤: 1,按下键盘Win+R键,打开运行 2,输入 msconfig ,点击确定 3,在启动选择中,选择 正常启动 ,点击应用 ,在点击 确定 即可。 ...
计算机内部如何防止溢出,电脑提示堆栈溢出是什么意思 该怎么解决
weixin_39769703的博客
07-23 2395
如何解决电脑提示堆栈溢出问题?我们在使用电脑过程中,常常会碰到各种各样的问题,例如最近有用户表示操作电脑过程遇到了浏览器网页弹出“来自网页的消失”对话框,并且系统出现提示“堆栈溢出”,那么堆栈溢出是什么意思呢?又应该怎么解决呢?下面小编就为大家带来解决电脑提示堆栈溢出的方法介绍,一起来看看吧!一、堆栈溢出的含义堆栈溢出就是不顾堆栈中分配的局部数据块大小,向该数据块写入了过多的数据,导致数据越界,...
stack overflow的 问题
ZIV555的博客
04-21 1059
在做cpu和GPU运行(同样的程序)时间对比时,增大数组长度时,会出现stack overflow的问题,然后百度找到了解决办法,包括vc和VS,总体来说,就是改变堆栈保留的大小,如下图所示 下面是参考文献: http://www.cnblogs.com/xlw1219/archive/2013/03/15/2961352.html 在解释原因前我们先看一下一个由C/C+
IAR编译器堆栈溢出问题查找
03-21
堆栈溢出问题在嵌入式开发中是一个常见的问题,特别是在使用IAR编译器进行STM32或LPC系列微控制器编程时。堆栈溢出通常发生在程序中分配的堆栈空间不足以存储所有局部变量、函数参数和返回地址时。这可能导致数据...
stackoverflow-1134894:堆栈溢出问题“Maven2
06-28
标题中的"stackoverflow-1134894:堆栈溢出问题“Maven2”"指的是在使用Maven2构建企业级应用时遇到的堆栈溢出问题堆栈溢出是程序运行过程中,由于递归过深或动态分配内存过多导致的栈空间耗尽现象,通常会导致程序...
Quercitools:解决堆栈溢出问题-开源
04-16
它有助于解决堆栈溢出问题。 这样的缺陷会破坏堆栈中的内容,并且很难找到问题的根源。 这是stackcheck.py提供帮助的地方。 它运行由gdb测试的程序,并保护堆栈的某些部分。 如果程序覆盖了这些部分,stackcheck.py...
soq:堆栈溢出问题与解答
05-14
SOQ-堆栈溢出问题问题和答案有关的资料库,主要是所贡献的内容。 这绝不是所提出问题或答案的完整列表; 这些只是比较有趣的部分贡献,它们的一部分置于版本控制之下。 请注意,某些问题已被删除,因此Stack ...
22623013:帮助解决该堆栈溢出问题
05-17
标题 "22623013:帮助解决该堆栈溢出问题" 提到的是一个与编程相关的技术挑战,特别是涉及到C#语言中的堆栈溢出错误。堆栈溢出通常发生在程序调用栈过载,即当函数递归调用过深或者分配的栈空间不足以存储新的局部...
代码运行出现了堆栈溢出错误及解决方法
clover_oreo的博客
08-22 3279
将对象预先创建并初始化后放入对象池中,对象提供者就能利用已有的对象来处理请求,减少频繁创建对象所占用的内存空间和初始化时间。创建了一个对象池模式(Object Pool Pattern),是。使用时直接从对象池中调用即可,这样就不会出现堆栈溢出的错误啦!形成了一个完整的闭环,不停地循环,超出了堆栈空间,造成了溢出。
请小心栈溢出
培纪的博客
05-28 3963
写这篇文章本意是帮助萌新们对栈溢出能够有一个较为直观的理解,可能废话有点多,让各位大佬见笑了,还望不喜勿喷。 阅读本文前,建议掌握一定汇编基础 接下来我们进入正题。 或许你在平常时有在老师、朋友、或是其他的程序员的口中听过“栈溢出”这个词,那到底什么是栈溢出呢?为什么栈会溢出呢? 我们先来看看百度百科的描述: 栈溢出就是缓冲区溢出的一种。由于缓冲区溢出而使得有用的存...
win10基于堆栈的缓冲区溢出_Windows内存破坏漏洞的现代探索,Part I:堆栈溢出(一)...
weixin_39785858的博客
01-22 2560
介紹内存损坏漏洞这个话题,对于初学者来说是一道坎。当我第一次开始在Windows操作系统上探索这个话题时,我立刻被现代的、公开的、专门针对这个话题的信息的奇缺震惊了。因此,这篇文章的目的并不是提供新奇的内容,而是要记录自己在探索这个话题时踩过的坑,同时,也是为相关问题的探索过程做个记录。除此之外,还有一个目的为了整合和更新与漏洞缓解系统演变相关的信息,因为这些信息通常散落在不同的地方,并且有些已经...
你真的了解栈溢出么?
AI与算法都要通俗易懂
01-23 1万+
记得之前看过一篇文章说,最好查的bug是语法错误,因为编译器会告诉你,最不好查的bug是栈溢出,因为啥,因为不仅编译器不会告诉你,连你自己有可能都找不到原因出在哪。 经过了一段时间的摸索,算是基本搞清楚了栈溢出的原理,写下来以防日后出现问题无从下手。 前言 开发过单片机的同学应该不陌生这个名词,一般我们也说堆栈,其实这里有两个意思:一般我们说堆栈其实指的就是帧本身,而说堆指的就是堆。这是两个
linux如何防止堆空间被覆盖,如何让更多的内存和避免大量递归堆栈溢出
weixin_33525298的博客
05-07 225
虽然其他答案谈谈如何要么避免递归完全,或如何使用尾递归,或如何简单地设置一个较大的堆栈大小,我认为完整性,这是值得考虑的内存使用模式(以回答“如何让更多的内存...在很多递归上”)。出于习惯,许多程序员将分配缓冲区递归函数里面,并重新分配新的缓冲区,当函数被递归调用:int recursive_function(int x){if (1 == x)return 1;int scratchpad[1...
EIP & EBP & ESP
f413933206的专栏
12-20 7134
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2 ;   //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。ECX 是计
Keil C51 8051汇编函数参数和返回值放在哪里,C语言调用汇编函数时汇编函数如何处理参数?
最新发布
qq582880551的博客
07-21 702
Keil C51 C语言中调用汇编函数时,最多使用三个参数,默认第一个参数从R7开始放,第二个参数从R5开始放,第三个参数从R3开始放,如果是2字节的int,那么遵循8051的大端模式,高字节放在R2、R4、R6,低字节放在R3、R5、R7;汇编函数将返回值返回给C语言时,返回值需要放在R7开始的位置,char就放在R7,int是0xR6R7,long和float是0xR4R5R6R7,指针是类型在R3,指针值0xR2R1;汇编里的函数如果要给C语言用,那么函数名(标号)前要叫下划线,例如。
linux堆栈溢出实例,如何在Linux中发现堆栈溢出问题
05-24
1. 堆栈溢出实例: ```c #include <stdio.h> #include <stdlib.h> void function(int a, int b, int c) { char buffer1[5]; char buffer2[10]; int *ret; ret = buffer1 + 21; (*ret) += 8; } int main() { int x; x = 0; function(1,2,3); x = 1; printf("%d\n",x); return 0; } ``` 上述代码中,`function` 函数中声明了两个缓冲区 `buffer1` 和 `buffer2`,它们的大小分别为 5 和 10 字节。在 `function` 函数中,我们试图通过 `(*ret) += 8;` 来修改返回地址,从而实现栈溢出攻击。运行此程序时,会发现输出结果为 1,也就是说攻击成功。 2. 如何在 Linux 中发现堆栈溢出问题? 在 Linux 中,我们可以使用 `gdb` 来调试程序,以检查是否存在堆栈溢出问题。具体步骤如下: - 编译程序时添加 `-g` 选项,以便在调试时可以获取更多的信息。 - 使用 `gdb` 打开可执行文件。 - 使用 `run` 命令运行程序,程序会在 `function` 函数中出现段错误并崩溃。 - 使用 `backtrace` 命令查看函数调用栈,可以看到 `function` 函数中的返回地址已经被修改。 - 使用 `info frame` 命令查看当前帧的信息,可以看到修改后的返回地址。 - 使用 `info registers` 命令查看寄存器的值,可以看到 `eip` 寄存器的值已经被修改。 - 使用 `x/20x $esp` 命令查看栈的内容,可以看到返回地址已经被修改。 通过以上步骤,我们可以发现程序存在堆栈溢出问题,并进一步分析和修复这个问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值