浅析栈溢出原理

最新推荐文章于 2024-05-07 18:09:02 发布
最新推荐文章于 2024-05-07 18:09:02 发布
阅读量1.2w 收藏 39
点赞数 16
文章标签: linux shell 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/najdhdfh/article/details/109150956
版权

说明

本文主要讲解简单栈溢出的基本原理, 如果有什么不对的地方或者更好的建议, 还请大佬指正.

工具准备

  1. linux系统
  2. 调试工具gdb
  3. gdb插件:pwndbg
  4. pwntools工具包
    关于pwndbg插件和pwntools可以在github搜索并下载安装,需要python环境

函数栈帧与ESP、EBP寄存器

C语言中,每个栈帧对应一个未运行完的函数. 栈帧中保存了函数的局部变量和返回地址, 即保存着函数的执行环境.
------摘自百度百科

ESP寄存器保存着栈帧的栈顶地址, EBP寄存器保存着当前函数栈帧的栈底地址. (32位系统为ESP、EBP, 64位系统为RSP、RBP, 其它寄存器同理)

call指令、leave指令与ret指令

汇编语言中, 用call指令来实现函数的调用, 指令格式: call address;
call指令效果相当于"push eip; jump address;". 不仅是跳转到指定函数地址执行指令, 在跳转之前还将当前IP寄存器中的值(下一条指令的地址)压入到了栈中. 从而可以在被调函数执行完之后, 继续执行当前函数.
在被调函数执行完毕后, 程序要准备退出函数, 需要leave指令来释放函数栈帧, 并使EBP寄存器恢复旧值, 执行的操作相当于"mov esp,ebp; pop ebp; “, 之后ret指令将程序执行流返回上层函数. 有点c语言中return语句的意味. ret指令效果相当于"pop eip;”. 即将栈顶保存的值出栈, 作为下一条将要执行指令的地址赋值给IP寄存器.

造成栈溢出的原因

系统栈是由高地址往低地址增长的, 而数据的写入是按低地址到高地址的顺序写入. 如果程序没有对输入的字符数量做出限制, 就存在数据溢出当前栈帧以及覆盖返回地址的可能, 从而实现控制程序的执行流.

溢出原理

以32位可执行程序为例, 我们将通过调试分析下面这段简单的代码来理解栈溢出.

#include<stdio.h>
#include<unistd.h>

void shell(){
   
    system("/bin/sh");
}

void vulnerable(){
   
    char buf[16];
    gets(buf);
}

int main(){
   
    vulnerable();
}

可以看到buf大小只有16字节,而gets()函数却可以无限输入,不检查字符上限, 直到遇到’\n’字符为止.
我们将c文件编译链接成可执行文件:

# 编译参数先不讲解,在后面讲解保护机制时解释
# 只需知道-m32是将.c文件编译成32位程序即可
gcc -m32 -fno-stack-protector -no-pie main.c -o stack

我们用objdump 来反汇编一下生成的可执行文件(部分反汇编代码):

08049172 <shell>:
 8049172:       55                      push   ebp
 8049173:       89 e5                   mov    ebp,esp
 8049175:       83 ec 08                sub    esp,0x8
 8049178:       83 ec 0c                sub    esp,0xc
 804917b:       68 08 a0 04 08          push   0x804a008
 8049180:       e8 bb fe ff ff          call   8049040 <system@plt>
 8049185:       83 c4 10                add    esp,0x10
 8049188:       90                      nop
 8049189:       c9                      leave  
 804918a:       c3                      ret    

0804918b <vulnerable>:
 804918b:       55                      push   ebp
 804918c:       89 e5                   mov    ebp,esp
 804918e:       83 ec 18                sub    esp,0x18
 8049191:       83 ec 0c                sub    esp,0xc
 8049194:       8d 45 e8                lea    eax,[ebp-0x18]
 8049197:       50                      push   eax
 8049198:       e8 93 fe ff ff          call   8049030 <gets@plt>
 804919d:       83 c4 10                add    esp,0x10
 80491a0:       90                      nop
 80491a1:       c9                      leave  
 80491a2:       c3                      ret    

080491a3 <main>:
 80491a3:       55                      push   ebp
 80491a4:       89 e5                   mov    ebp,esp
 80491a6:       83 e4 f0                and    esp,0xfffffff0
 80491a9:       e8 dd ff ff ff          call   804918b <vulnerable>
 80491ae:       b8 00 00 00 00          mov    eax,0x0
 80491b3:       c9                      leave  
 80491b4:       c3                      ret    
 80491b5:       66 90                   xchg   ax,ax
 80491b7:       66 90                   xchg   ax,ax
 80491b9:       66 90                   xchg   ax,ax
 80491bb:       66 90                   xchg   ax,ax
 80491bd:       66 90
最低0.47元/天 解锁文章
李四先生
关注
  • 16
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
栈溢出原理
cm_zl
04-28 689
了解栈溢出,首先要了解什么是是一种典型的先进后出( First in Last Out )的数据结构,其操作主要有压(push)与出(pop)两种操作。
浅析栈溢出使用时,地址超出了的合法范围
06-24
栈溢出详解 栈溢出是指在使用时,地址超出了的合法范围,而出现的一种异常。这种异常很容易出现在 C/C++ 语言中,原因是编译器不对数组的访问进行越界检查,而数组变量通常申请在上。 栈溢出的两种情况: ...
栈溢出基本原理的简单讲解
热门推荐
yan_star的博客
03-31 3万+
栈溢出基本原理的简单讲解 (新手上路,大牛还请自行跳过,不足之处,欢迎批评指正) 一 、预备知识: 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在,堆溢出发生在堆,其实都是一样的。 的简单介绍 是一种计算机系...
PWN入门--栈溢出
最新发布
yjh_fnu_ltn的博客
05-07 982
将原main函数的ebp值低入保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的帧:通常使用与生成帧相反的指令。最后,在main函数中删除(在调用者还是在被调用者中清除,取决于函数的调用规定)。这次从的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
栈溢出几种情况及解决方案
让学习成为一种习惯
08-02 2769
递归函数在运行时会执行压操作,当压次数太多时,也会导致堆栈溢出。这种情况最常见,例如进行字符串拷贝,或处理用户输入等等。当函数内部的数组过大时,有可能导致堆栈溢出
栈溢出
Tianqinse的博客
08-18 3209
栈溢出概念: 栈溢出指的是程序向中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致中与其相邻的变量的值被改变。 栈溢出的原因: 局部数组过大。当函数内部的数组过大时,有可能导致堆栈溢出。局部变量是存储在中的,因此这个很好理解。解决这类问题的办法有两个,一是增大空间,二是改用动态分配,使用堆(heap)而不是(stack)。 递归调用层次太多。递归函数在运行时会执行压操作,当压次数太多时,也会导致堆栈溢出。 指针或数组越界。这种情况最常见,例如进行字符串拷贝,或处理用
详解栈溢出
dongdong7_77的博客
05-28 5586
前言 在我们平时开发的过程中,经常会出现stack overflow的情况导致程序崩溃,通常的原因都是无限的递归调用导致的,也就是无限的调用函数,导致空间用完,可是为什么非要使用呢,它内部是怎么运行的,的空间一共有多大呢,在下面会一一的详解 为什么要使用程序? 我们先来看一段代码 // function_example.c #include <stdio.h> int static add(int a, int b) { return a+b; } int main() {
栈溢出简述
MumuziD的博客
07-18 2456
作者:YoungChen__ 链接:https://www.jianshu.com/p/2104d11ee0a2 来源:简书 著作权归作者所有,任何形式的转载都请联系作者。 本文关于删除部分有些异议,可以看这个Counting Bloom Filter 的原理和实现 在进入正文之前,之前看到的有句话我觉得说得很好: Data structures are nothing different. They are like the bookshelves of your application where.
Cordova浅析架构原理
02-24
因为项目使用了Cordova,也使用了很长时间。...Cordova的基本架构如下图:Cordova看了架构图,大家也对Cordova有了一些了解,是的,Cordova的原理和其他的hybride很相似。核心的东西就是H5与Native的交互原理
浅析有机EL发光原理
01-19
原理跟LED大致相同,只不过使用的是具有二极管功能的有机化合物。所以,简单的说二者的区别:  有机EL的发明及发光原理  现在,主流有机EL技术是由美国大手胶卷企业柯达的郑青云(Steven Van Slyke )于19年...
GPS定位基本原理浅析
01-19
网络上介绍GPS原理的资料很多,而本文试图从编程人员的角度出发,以一种程序员易于理解的方式来简单介绍一下GPS定位的基本原理,希望对做GPS开发的朋友有所启发。当然,本文并没有涉及具体的开发方面的技术。  一...
栈溢出分析-stackoverfow-Segmentation fault: 11
春夜喜雨的专栏
08-22 451
stack:,也常常称作堆; stack vs heap:(堆)与堆,从stack翻译来看一叠,一摞,一堆,感觉和heap翻译差不多,不过heap表达的是凌乱的一堆,stack表达的也是一堆,但是一层层叠放的、一摞一摞的,有规律的一堆:-)
栈溢出攻击
Debroon
07-17 2046
《目录》 的初始大小及修改 栈溢出攻击原理 判断的增长方向 栈溢出攻击实例 换算公式 ,是一种数据结构(后进先出)。 程序的运行都需要用到,图中的 FP 是帧,通过帧的指引可以实现函...
栈溢出原理和利用学习
sinat_31054897的博客
09-05 1万+
做PWN题经常遇到栈溢出,有时一些的基础知识总是记不清楚,脑子卡顿,所以整理一番,让自己彻底记住它! 1. 什么是,即堆,是一种具有一定规则的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入底,最后的数据在顶。 堆数据结构的两种基本操作: PUSH:将数据压入顶 POP :将顶数据弹出 知道了什么是,我们看看在内存中是怎样一个分布情况。 以Linu...
栈溢出原理与实现
挖树
10-23 991
结构: 1.方向:高地址(底)->低地址(顶) 2.加载完成pe后,系统会为这个pe分配一个,这个用于 实现(类似C)高级语言中函数的调用。 3.(2)所说的分配的是系统自动维护,并且push pop等平衡细节都是透明的。一般来说只有在使用汇编代码的时候,心会和它直接打交道。 函数调用与 #include<stdio.h> void fuc_B() { pr...
EIP & EBP & ESP
f413933206的专栏
12-20 7128
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2 ;   //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。ECX 是计
栈溢出问题分析
juyin2015的博客
02-03 3199
栈溢出问题分析 近日,程序总是莫名其妙的coredump,而且还是在变量定义的时候(如 int a=1),百思不得其解。在这种情况下,只有几种情况可能出现:内存踩踏、栈溢出。 在经过长时间的分析确认,肯定不是内存踩踏。剩下的就是栈溢出了。Linux下一般单个程序大小为10M,可用ulimit -s查阅。一般情况下,10M的大小足够用,怎会出现栈溢出。再次对代码进行了详细的分析,发现有一处
[原理分析]Linux下的栈溢出案例分析-GDB调试操练[3]
bigbug_zju的专栏
10-20 2822
摘要: 本文主要在之前系列1的代码基础上,分析下gcc如何进行保护以避免栈溢出攻击的。
Java内存溢出与栈溢出
hu1991die的专栏
01-23 2万+
一、背景知识 1、JVM体系结构 2、JVM运行时数据区 3、JVM内存模型 JVM运行时内存 = 共享内存区 + 线程内存区 3-1、共享内存区 共享内存区 = 持久带 + 堆 持久带 = 方法区 + 其他 堆 = Old Space + Young Space Young Space = Eden +
SLB健康检查原理浅析
07-25
SLB(Server Load Balancer)健康检查是对后端服务器的健康状态进行监控和评估的一种机制。它的原理是通过定期向后端服务器发送探测请求,并根据服务器的响应来判断服务器的健康状态。 具体来说,SLB会周期性地向后端服务器发送探测请求,常见的探测方式有Ping、TCP连接、HTTP GET等。当服务器收到探测请求后,会根据配置的规则进行处理,并返回相应的响应。 SLB会根据后端服务器返回的响应来评估服务器的健康状态。通常情况下,如果服务器能够正常响应探测请求,SLB会将其视为健康服务器,并将流量转发给它;如果服务器无法正常响应探测请求,SLB则会将其视为不健康服务器,并停止将流量转发给它。 除了基本的健康状态判断外,SLB还可以根据具体的需求进行更复杂的健康检查配置。例如,可以设置探测请求的超时时间、重试次数、探测间隔等参数,以及定义响应码范围、响应内容等规则来判断服务器的健康状态。 总的来说,SLB健康检查通过周期性地发送探测请求并根据服务器的响应来评估服务器的健康状态,从而实现对后端服务器的健康监控和负载均衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值