什么是栈
栈是一种有限存储的数据结构–数据只能在栈的顶端进行添加或删除,遵循LIFO(后进先出)原则。栈支持两种操作push和pop。
push:在栈顶添加一个数据。
pop:从栈顶移除一个数据。
接下来我们看一下一段C程序的内存结构在函数调用和返回时内容是如何变化的。
内存结构
Text:包含将要执行的代码。
Data:包含程序的全局信息。
Stack:包含调用函数的入参,返回地址和函数局部变量。这是一个LIFO的结构,向下增长(从高地址向低地址增长)。
Heap:拥有动态分配的内存。当我们调用malloc动态内存时,就是从堆分配的。当请求分配内存时,堆在内存中是向上增长的(从低内存地址向高内存地址)。
接下来了解下基于intel的CPU寄存器
EIP:指令寄存器
ESP:栈寄存器
EBP:栈基址寄存器
ESI:源寄存器
EDI:目标寄存器
EAX:累加寄存器
EBX:基址寄存器
ECX:计数寄存器
EDX:数据寄存器
在这里我们主要关心EBP,EIP和ESP寄存器。EBP指向了栈底的高内存地址,ESP指向了栈顶的低内存地址,EIP存储下一个执行指令的地址。EIP是一个只读寄存器,所以我们不能直接修改它的值。
当一个函数被调用的时候,上下文信息(主要是寄存器值)会被入栈存储,一旦函数执行完成,相关的寄存哭喊会出栈恢复上下文。CPU需要知道从哪里继续执行指令,这个返回地址在函数调用时入栈,函数返回时出栈(ret或retn)。
为方便理解,假设有一个程序,main函数调用了func()函数,那么当程序启动时,main函数会被调用,并在栈开辟一段空间,然后再调用func()。而在执行func()函数前,main函数通过将返回地址入栈来标记当func()执行完毕后,将要从哪里继续执行。
缓冲内存溢出栈结构
示例代码
#include
#include
void function2() {
printf(“Execution flow changed\n”);
}
void function1(char *str){
char buffer[5];
strcpy(buffer, str);
}
void main(int argc, char *argv[])
{
function1(argv[1]);
printf(“Executed normally\n”);
}
(1)、main()函数调用用function1并打印消息”Executed normally”;
(2)、function1()分配一个长度为5的缓冲内存,然后将main()函数传递的字符串拷贝到这个内存。
(3)、function2()打印”Execution flow changed”,但并是通过main函数或function1函数调用。
我们的目的就是通过控制EIP劫持程序的执行顺序来执行function2函数。
编译程序:gcc -g -fno-stack-protector -z execstack -o bufferoverflow overflow.c
-g告诉gcc添加额外的调试信息
-fno-stack-protector 关掉内存保护机制
-z execstack 让栈空间可执行。
当执行程序并传递”AAAA”时,程序正常执行并显示Executed normally。
下一步试着让程序崩溃,传递参数”AAAAAAAAAAAAAAAAAAAA”
我们用GDB打开程序,使用list命令显示源代码,并function1调用,function1退出及strcpy函数设置断点。
添加完断点后传入参数”AAAA”执行程序,分析断点时ESP和EBP的值,试着找出AAAA(0x41414141)存储在哪里。
function调用时,EBP和ESP:
strcpy调用时,EBP和ESP:
回想下上面说的,”返回地址”就在EBP的下面。当返回地址被覆盖后,GDB会出现段错误提示消息0x414141 in ??()。这表示已经成功改写了函数返回地址了,即EIP的值。
接下来可以通过提供function2函数的地址进行劫持。function2()的地址可以通过下面的命令获取
disass function2
在进行下一步动作之前,我们再理一下,测试环境用的是intel cpu架构,在内存中是以小端进行存储的,所以生成的payload需要转换顺序。我们用python生成目标payload。命令:run $(python -c ‘print “A”*17 + “\x1b\x84\x04\x08″‘)
当跑完所有断点后,可以看到打印了消息”Execution flow changed”,然后程序崩溃。
为了再次检查确认是否成功劫持程序执行,退出gdb,并执行如下命令:
这样我们就成功利用了栈缓冲区溢出漏洞了。
1750
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
