【C++】汇编角度分析栈攻击

已于 2025-05-15 09:56:41 修改
阅读量428 收藏 3
点赞数 10
分类专栏: c++之路 文章标签: c++ 汇编 开发语言
于 2025-05-15 09:38:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54984588/article/details/147971017
版权

栈攻击

介绍原理

核心原理是通过 缓冲区溢出(Buffer Overflow) 等漏洞,覆盖栈上的关键数据(如返回地址、函数指针),从而改变程序执行流程;

在 C++ 中,每个函数调用都会在栈上创建一个栈帧(Stack Frame),包含:

  • 局部变量:函数内定义的变量。
  • 函数参数:调用函数时传递的参数。
  • 返回地址:函数执行完后返回的地址(保存在 EIP 寄存器)。
  • 帧指针(EBP):指向当前栈帧的基址。
    栈内存是向下增长的(从高地址向低地址)

缓冲区溢出攻击
当程序向缓冲区写入数据时,若未检查输入长度,可能导致数据超出缓冲区边界,覆盖相邻的栈内存区域。攻击者可利用这一点:

  1. 覆盖返回地址为恶意代码的地址。放置攻击者指定的地址(如 shellcode 的起始地址
  2. 在栈上注入恶意代码(如 shellcode)。
  3. 触发溢出:当函数返回时,程序ret到攻击者指定的地址执行;

示例代码

下面示例代码就是通过缓冲区溢出覆盖掉栈的ret返回的地址从而改变函数返回后程序执行的地址(篡改为攻击函数地址);
大致流程:

  1. 先得到攻击函数Hack地址
  2. 调用count函数时候通过数组溢出方式,通过分析汇编代码,将汇编ret的地址修改为我们的Hack函数的地址
  3. 如此,count函数返回后程序就会沿着我们修改的Hack方向运行;
#include <iostream>
#include <iomanip>

void Hack()
{
    unsigned long long x = 0;
    for (int i = 0; true; i++)
    {
        if (i % 100000000 == 0)
        {
            system("cls");
            std::cout << "\n■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■\n";
            std::cout << "\n 你的系统已经被我们拿下! hacked by 黑兔档案局:[ID:000001 ]\n";
            std::cout << "\n\\>正在传输硬盘数据....已经传输" << x++ << "个文件......\n\n";

            std::cout << std::setfill('>')<< std::setw(x % 60) << "\n";

            std::cout << "\n\\>摄像头已启动!<==============\n\n";

            std::cout << std::setfill('#') << std::setw(x % 60) << "\n";

            std::cout << "\n\\>数据传输完成后将启动自毁程序!CPU将会温度提升到200摄氏度\n";
            std::cout << "\n■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■\n";
        }
    }
}

int GetAge()
{
    int rt;
    std::cout << "请输入学员的年龄:";
    std::cin >> rt;
    return rt;
}

int count()
{
    int i{};
    int total{};
    int age[10]{};
    do
    {
        age[i] = GetAge();
        total += age[i];
        //将AGE[I]保存到数据库中
    } while (age[i++]);
    return total;
}

int main()
{
    std::cout << "======= 驴百万学院 学员总年龄统计计算系统 =====\n";
    std::cout << "\n                API:"<<Hack<<std::endl;
    std::cout << "\n[说明:最多输入10个学员的信息,当输入0时代表输入结束]\n\n";
    std::cout << "\n驴百万学院的学员总年龄为:" << count();
}

汇编分析

直接从count函数汇编入手:

int count()
    42: {
00061200  push        ebp  //当前函数调用前的基址指针(Base Pointer,通常用来指向当前函数的栈帧)压入栈中,以便后续在函数结束时能够恢复到调用前的状态。
00061201  mov         ebp,esp  //将当前栈指针(Stack Pointer,指向当前栈顶)的值赋给基址指针 ebp,这样 ebp 现在指向当前函数count的栈帧
00061203  sub         esp,34h  //esp=esp-52,这条指令将栈指针 esp 减去 0x34h(52 的十进制值),这样就为当前函数的栈帧分配了 52 字节的空间。在函数执行过程中,局部变量和其他数据将会存储在这段空间中。
    43: 	int i{};
00061206  mov         dword ptr [i],0  // 0移动到变量 i 所在的内存位置。dword ptr 来指示操作数(内存里的数据)的大小为双字(32 位,4字节),这是因为 i 是一个整数类型变量。
    44: 	int total{};
0006120D  mov         dword ptr [total],0  
    45: 	int age[10]{};
00061214  xor         eax,eax  //将寄存器 eax 与自身进行异或操作,结果存储回 eax。这个操作的目的是将 eax 清零,因为在这段代码中,eax 被用来存储数组 age 的起始地址。
00061216  mov         dword ptr [age],eax  
00061219  mov         dword ptr [ebp-30h],eax  //48字节偏移量
0006121C  mov         dword ptr [ebp-2Ch],eax //44 
0006121F  mov         dword ptr [ebp-28h],eax  
00061222  mov         dword ptr [ebp-24h],eax  
00061225  mov         dword ptr [ebp-20h],eax  
00061228  mov         dword ptr [ebp-1Ch],eax  
0006122B  mov         dword ptr [ebp-18h],eax  
0006122E  mov         dword ptr [ebp-14h],eax  
00061231  mov         dword ptr [ebp-10h],eax  //16

在这里插入图片描述
栈底ebp存的就是count函数的下一条地址,我们目的是修改这一个地址;

这段代码对应函数栈如下:

在这里插入图片描述

46: 	do
    47: 	{
    48: 		age[i] = GetAge();
00061234  call        GetAge (0611D0h)  //调用了一个函数 GetAge,并将返回值存储在寄存器 eax 中。
00061239  mov         ecx,dword ptr [i]  //将变量 i 的值加载到寄存器 ecx 中  ecx=i =0  ecx=i=1
0006123C  mov         dword ptr age[ecx*4],eax  //此时将寄存器 eax 中的年龄age存储到 age[ecx*4] 中,age[ecx*4]将age数组的内存地址偏移ecx*4个字节。此时ecx*4 是因为 age 是一个数组,每个元素占据 4 个字节。 age[0] = eax =age0 age[1] = eax =age1
    49: 		total += age[i];
00061240  mov         edx,dword ptr [i]  //将变量 i 的值加载到寄存器 edx 中  edx =i= 0   edx =i= 1
00061243  mov         eax,dword ptr [total] // 将变量 total 的值加载到寄存器 eax 中  eax = total
00061246  add         eax,dword ptr age[edx*4]  //[]里的理解为字节的位置,而不是元素,将 age[i] 的值加到 total 中     eax = eax+age[0]+age[1]
0006124A  mov         dword ptr [total],eax //将寄存器 eax 中的值存储回变量 total 中。    total = eax
    50: 		//将AGE[I]保存到数据库中
    51: 	} while (age[i++]);  //就是让i++并且判断是否这次输入的age[i]==0
0006124D  mov         ecx,dword ptr [i]  //将变量 i 的值加载到寄存器 ecx 中    ecx=i=0
00061250  mov         edx,dword ptr age[ecx*4]  //V将 age[i] 的值加载到寄存器 edx 中  edx = age[0]
    //edx值放在[ebp-0Ch]这篇内存应该是专门为了与0比较开辟的内存
00061254  mov         dword ptr [ebp-0Ch],edx  //将寄存器 edx 中的值存储到内存中的位置 [ebp-0Ch]。ebp-12 
00061257  mov         eax,dword ptr [i]  //将变量 i 的值加载到寄存器 eax 中   eax = i =0
0006125A  add         eax,1  //将寄存器 eax 中的值加 1		eax = eax+1
0006125D  mov         dword ptr [i],eax  //将寄存器 eax 中的值存储回变量 i 中   i = eax
00061260  cmp         dword ptr [ebp-0Ch],0 //将内存中的位置 [ebp-0Ch]ebp-12 的值与 0 比较    age[0]与0比较
00061264  jne         count+34h (061234h)  //如果不相等,则跳转到 count+34h(52) 处执行  
   //查询 count  0x00061200h  +34h后是0x00061234。跳到了call GetAge处
    52: 	return total;
00061266  mov         eax,dword ptr [total]  // total 变量的值加载到寄存器 eax 中
    53: }
//函数清尾
00061269  mov         esp,ebp  
0006126B  pop         ebp  //在pop ebp指令中,ebp是一个操作数,指示将栈顶元素弹出并将其存储到ebp寄存器中
0006126C  ret  //此时已经返回了[total]算出了正确total,运行结束!

在这里插入图片描述

注意:下面这张图的代码age数组是改为5的,对应下面图片,最后输入的就是Hack的API地址,此时替换为了原来ret指向的地址;
在这里插入图片描述

腾讯微信C++面试题及参考答案
大模型大数据攻城狮的专栏
12-11 559
虚函数是在基类中声明的函数,通过在函数声明前加上virtual关键字来标识。其主要作用是实现多态性,允许通过基类指针或引用调用派生类中重写的函数。例如,有一个基类Animal,有一个虚函数,然后派生类Dog和Cat分别重写了这个函数来发出不同的声音。当通过Animal*指针(指向Dog或Cat对象)调用makeSound函数时,会根据指针实际指向的对象类型(是Dog还是Cat)来调用对应的makeSound。
CVE-2012-0158:Microsoft Office MSCOMCTL.ocx 溢出漏洞调试分析
墨鱼菜鸡
02-18 214
0x01 Lotus Blossom 行动 在 2015 年 6 月,国外安全厂商 Palo Alto Networks 的威胁情...
从x86-64汇编角度c++代码
mumu
07-02 3186
汇编角度看c代码
引用的使用和原理 -- 从汇编角度看引用的实现
chituhuan的专栏
09-09 1031
引用作为函数返回值 引用可以作为函数的返回值,但返回的引用必须指向一个在函数外部仍然存在的对象,通常是函数外的静态对象或全局对象,或者是作为参数传递给函数的对象。常引用 常引用(const reference)是引用的一种特殊形式,它不允许通过引用修改数据,但可以引用一个常量。本质上,引用是某个变量的一个别名,对引用的所有操作都是直接作用于它所引用的变量。引用作为函数参数 引用常用于函数参数列表中,使得函数能够修改传入的参数本身,而不仅仅是它们的副本,这样可以提高效率,尤其是在传递大型数据结构时。
汇编角度分析C语言的过程调用
weixin_41632560的博客
10-09 176
汇编角度分析C语言的过程调用 2016年09月20日 15:00:45 iteye_197 阅读数:9 标签: C语言 更多 个人分类: C/C++ 注:本文中带颜色的文字是读者自己转载后特别标注或添加的,添加部分不一定正确 原文出自【听云技术博客】:http://blog.tingyun.com/web/article/detail/1132 基本术语定义 1.系统(system...
c/c++ 溢出、越界、泄漏
kevin的博客
05-24 1万+
转载:https://blog.csdn.net/lanximu/article/details/18259829 转载:作者:独自等待出处:IT专家网2007-12-18 09:56 虽然溢出在程序开发过程中不可完全避免,但溢出对系统的威胁是巨大的,由于系统的特殊性,溢出发生时攻击者可以利用其漏洞来获取系统的高级权限roo...
用反汇编分析c++RVO开启和关闭时的底层原理以及C++prvalue,xvalue和lvalue的相关知识
Howl_1的博客
01-28 1686
用反汇编分析c++RVO开启和关闭时的底层原理 前言 本篇文章主要讲述C++prvalue,xvalue和lvalue的相关知识,会用到部分intel式和ATT式汇编的知识。我会在文章末尾给出测试代码的反汇编代码以及右值引用(Rvalue references)官方文档 。
C++面经八股文
热门推荐
XiaoFengsen的博客
07-22 4万+
C++面经八股文,知识点总结。
从指令角度理解函数调用堆详细过程
FANTASY44的博客
02-21 463
调试复杂的内存错误分析程序崩溃的core dump进行底层性能优化理解面向对象语言的this指针实现掌握协程/闭包等高级特性的基础通过本文的汇编层析分析,我们可以建立起从高级语言到底层执行的完整认知链条,为后续学习虚函数、异常处理、多线程等高级主题奠定坚实基础。
C++面试题准备
weixin_43541510的博客
10-02 3400
进程:是并发执行的程序在执行过程中分配和管理资源的基本单位。线程:处理器任务的基本单位。线程也被称为轻量级进程。协程:是一种比线程更加轻量级的存在。C++ 20的协程是一个特殊函数。只是这个函数具有挂起和恢复的能力,可以被挂起(挂起后调用代码继续向后执行),而后可以继续恢复其执行。进程之间是独立的地址空间,线程共享本进程的地址空间。健壮性:一个进程崩溃后,在保护模式下不会对其他进程产生影响,但是一个线程崩溃整个进程都死掉。执行过程或者切换时:进程执行开销大。线程执行开销小。
C++】基础知识和编程总结
发现问题,并解决问题,批判性思维
03-21 2409
C++面试重点 1.STL 容器相关实现 2.C++新特性的了解 3.多态和虚函数的实现 4.指针的使用 文章目录C++面试重点1.私有属性和保护属性2.C++程序的组成3.C++程序的编写思路4.const说明5.OOP的基本概念6.参数传递方式7.OOP的基本特征8.辨析重载9.对象数组和对象指针10.继承:公有、私有、保护11.this指针12.面向对象的机制:13.派生类与继承14.static静态成员(数据&函数)15.const常引用:16.派生类对基类成员的其他访问方法:17.构造函数
汇编语言中的数据结构深度探索】:、队列、链表等的汇编实现
首先,概述了数据结构在汇编语言中的作用,随后详细讨论了、队列和链表在汇编中的实现方法,包括操作指令、数学模型和案例分析。此外,文章还研究了数据结构与算法结合的实践,强调了在汇编语言环境下算法实现的...
汇编和底层的角度看c和类c语言
jggyyhh的博客
12-29 4298
版权所有John Black,转载时记得附上标上原文地址,写那么多我也不容易。。    写这篇文章的目的是对近期底层学习的总结,也算是勉励自己吧,毕竟是光靠兴趣苦逼自学不是自己专业的东西要承受很多压力。  要想深入理解C语言就不得不要知道几个知识点: 1.众所周知用任意一高级语言(不是脚本语言)写的代码都要经过类似:预处理->编译成汇编代码(compilation)->汇编(as
c++编程规范和范例
weixin_40214545的博客
01-23 1211
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
C++ string小记
xmu_cjs的博客
05-16 108
【代码】C++ string小计。
学习笔记(C++篇)—— Day 6
最新发布
2406_83392683的博客
05-17 704
int main()//申请空间//申请空间+构造函数//只释放空间free(p1);//析构函数 + 释放空间delete p2;delete p3;return 0;注意:在申请自定义类型的空间时,new会调用构造函数,delete会调用析构函数,而malloc与free不会。由于C++的这些用法,用C++写链表会使得过程更加简便。
深入理解C++智能指针:shared_ptr、unique_ptr与weak_ptr
Chinese_chen_的博客
05-13 906
C++11引入的智能指针(std::shared_ptr、std::unique_ptr和std::weak_ptr)通过RAII机制简化了内存管理,减少了内存泄漏和悬垂指针的风险。std::shared_ptr允许多个指针共享对象所有权,基于引用计数自动释放资源,但需注意循环引用问题。std::unique_ptr独占所有权,不可复制但可通过移动语义转移所有权,适合单一作用域内的资源管理。std::weak_ptr作为shared_ptr的观察者,不增加引用计数,用于解决循环引用问题。最佳实践包括优先使用
深入浅出:C++数据处理类与计算机网络的巧妙类比
weixin_56334307的博客
05-13 830
在计算机编程中,我们常常会遇到一些看似简单的代码结构,却能巧妙地映射到复杂的计算机网络概念中。本文将通过一个简单的C++数据处理类,探讨其与计算机网络中硬件设备和协议的类比关系,帮助读者更好地理解抽象的网络概念。
C++八股——平衡树总结
m0_46329175的博客
05-17 735
简要总结了数据结构中常见的平衡树
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值