利用堆栈溢出写入代码

最新推荐文章于 2021-05-25 06:55:15 发布
最新推荐文章于 2021-05-25 06:55:15 发布
阅读量1k 收藏
点赞数 1
分类专栏: C/C++ 文章标签: 堆栈溢出漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sjjwind/article/details/8660771
版权

总所周知,使用scanf,printf,strcpy等这些古老的函数会被VS警告,但是这有什么坏处呢?会造成堆栈溢出,不怀好意的人如果发现了这个漏洞就会写入自己的代码干坏事(VS2008以上已经修复该bug,不过还是不建议使用这些函数,而是使用_s版本的)。

下面是我刚弄出来的一个,还很简陋,就直接贴上来了。


#include <stdio.h>
#include <stdlib.h>
#define N 100

int Function()
{
	char str[N];
	freopen("1.txt", "r", stdin);
	gets(str);
	return 0;	
}

int main(int argc, char* argv[])
{
	Function();
	return 0;	
}

编译器:dev C++4.9.9.2

系统:Windows XP SP3


看似这段代码没啥问题,其实危机四起。

00401290  /$  55            PUSH EBP
00401291  |.  89E5          MOV EBP,ESP
00401293  |.  81EC 88000000 SUB ESP,88
00401299  |.  A1 D8504000   MOV EAX,DWORD PTR DS:[<&msvcrt._iob>]    ; ||
0040129E  |.  894424 08     MOV DWORD PTR SS:[ESP+8],EAX             ; ||
004012A2  |.  C74424 04 003>MOV DWORD PTR SS:[ESP+4],flow.00403000   ; ||
004012AA  |.  C70424 023040>MOV DWORD PTR SS:[ESP],flow.00403002     ; ||ASCII "1.txt"
004012B1  |.  E8 8A050000   CALL <JMP.&msvcrt.freopen>               ; |\freopen
004012B6  |.  8D45 88       LEA EAX,DWORD PTR SS:[EBP-78]            ; |
004012B9  |.  890424        MOV DWORD PTR SS:[ESP],EAX               ; |
004012BC  |.  E8 6F050000   CALL <JMP.&msvcrt.gets>                  ; \gets
004012C1  |.  B8 00000000   MOV EAX,0
004012C6  |.  C9            LEAVE
004012C7  \.  C3            RETN

这是上面的代码的反汇编代码。

由于gets函数不会管str的大小,也不管是不是超过了100,看见东西就往里面写,写完的数据的栈会变成这样。

0022FED0   0022FEE0  ASCII "User32.dll"
0022FED4   00403000  flow.00403000
0022FED8   77C2FC80  OFFSET msvcrt._iob
0022FEDC   7C9301E0  ntdll.7C9301E0
0022FEE0   72657355
0022FEE4   642E3233
0022FEE8   48006C6C
0022FEEC   6F6C6C65
0022FEF0   726F5720
0022FEF4   0021646C
0022FEF8   60EC8360
0022FEFC   22FEE068
0022FF00   1D7BB800
0022FF04   D0FF7C80
0022FF08   EB68016A
0022FF0C   680022FE
0022FF10   0022FEEB  ASCII "Hello World!"
0022FF14   EAB8006A
0022FF18   FF77D507
0022FF1C   006A61D0
0022FF20   81CB12B8
0022FF24   33D0FF7C
0022FF28   313131C0
0022FF2C   31313131
0022FF30   31313131
0022FF34   31313131
0022FF38   31313131
0022FF3C   31313131
0022FF40   31313131
0022FF44   31313131
0022FF48   31313131
0022FF4C   31313131
0022FF50   31313131
0022FF54   31313131
0022FF58   31313131
0022FF5C   0022FEF8
0022FF60   77C0AE00  msvcrt.77C0AE00
0022FF64   7C930228  ntdll.7C930228

从而覆盖了正常的堆栈数据,当执行到RETN的时候,堆栈里面的数据就变成了这样。 

0022FF5C   0022FEF8
0022FF60   77C0AE00  msvcrt.77C0AE00
0022FF64   7C930228  ntdll.7C930228
0022FF68   003F2C90
0022FF6C   004012ED  返回到 flow.004012ED 来自 flow.00401740

注意栈顶是0022FEF8,当执行RETN的时候,eip就会变成0022FEF8,这就意味着下一条代码就在你刚才写进去的堆栈里面,我发一下1.txt里面的内容。


里面的代码是这样:


可以看出,在里面调用了LoadLibraryA,MessageBoxA,ExitProcessA等API,使得一个看似没有弹窗能力的窗口弹出了一个hello world的消息窗。

如果把这段代码换成你写的其他功能的,就有可能在你不知情的情况下干坏事。


附:VS2008及以上解决此漏洞的方法。

00401000  /$  83EC 68       SUB ESP,68
00401003  |.  A1 00304000   MOV EAX,DWORD PTR DS:[403000]
00401008  |.  33C4          XOR EAX,ESP
0040100A  |.  894424 64     MOV DWORD PTR SS:[ESP+64],EAX
0040100E  |.  FF15 A0204000 CALL DWORD PTR DS:[<&MSVCR90.__iob_func>>;  MSVCR90.__p__iob
00401014  |.  50            PUSH EAX                                 ; /stream
00401015  |.  68 F4204000   PUSH Overflow.004020F4                   ; |mode = "r+"
0040101A  |.  68 F8204000   PUSH Overflow.004020F8                   ; |path = "1.txt"
0040101F  |.  FF15 A8204000 CALL DWORD PTR DS:[<&MSVCR90.freopen>]   ; \freopen
00401025  |.  8D4424 0C     LEA EAX,DWORD PTR SS:[ESP+C]
00401029  |.  50            PUSH EAX
0040102A  |.  68 00214000   PUSH Overflow.00402100                   ; /format = "%s"
0040102F  |.  FF15 9C204000 CALL DWORD PTR DS:[<&MSVCR90.scanf>]     ; \scanf
00401035  |.  8B4C24 78     MOV ECX,DWORD PTR SS:[ESP+78]
00401039  |.  83C4 14       ADD ESP,14
0040103C  |.  33CC          XOR ECX,ESP
0040103E  |.  33C0          XOR EAX,EAX
00401040  |.  E8 04000000   CALL Overflow.00401049
00401045  |.  83C4 68       ADD ESP,68
00401048  \.  C3            RETN

在里面有一个Call Overflow.00401049,在操作str之前,会在尾部写入一个标记,这个标记和当前系统的时间有关,然后保存,最后操作完堆栈里面比较这个标记是否被改变,如果改变就直接结束进程,这就使得eip不能指向你写入的堆栈了。


sjjwind
关注
专栏目录
堆栈溢出的攻击实现
a7458969的专栏
08-12 3852
一:基础知识   计算机内存运行分配的区域分为3个   程序段区域:不允许的   数据段区域:静态全局变量是位于数据段并且在程序开始运行的时候被加载   栈区域:放置程序的动态的用于计算的局部和临时变量则分配在栈里面和在过程调用中压入的返回地址数据。栈是一个先入后
STM32L051单片机堆栈溢出现象
Rise_Sun_1的博客
12-28 2110
堆栈溢出 代码
qq_33451502的博客
04-12 455
public class TestCode { public void testHeap(){//溢出 List<byte[]> list = new ArrayList<>(); int i=0; while (true){ list.add(new byte[5*1024*1024]); System.out.println("count is: "+(++i)); .
一段代码:运行就堆栈溢出,呵呵。
leechung的专栏
09-01 424
TASGridForm = class(TForm)   private     FMainFormInf: IMainFormIntf;   publc property FrmMainIntf: IMainFormIntf read GetMainFormInf   write SetMainFormInf;  end; procedure TASGridFor
代码实现溢出栈溢出、永久代溢出、直接内存溢出
热门推荐
根号三
03-18 2万+
1. 栈溢出(StackOverflowError) 2. 溢出(OutOfMemoryError:Java heap space) 3. 永久代溢出(OutOfMemoryError: PermGen space) 4. 直接内存溢出
一个堆栈溢出的例子
projl的专栏
04-18 2037
1.DLL libLIBRARY      "XXX.DLL"EXPORTS    Initialize               @1 PRIVATE     void __stdcall Initialize(int nParam1,int nParam2,int nParam3=0)...{       ......} 2. 宿主程序 typed
IAR编译器堆栈溢出问题查找
03-21
堆栈溢出发生时,程序会中断在断点处,你可以通过单步执行来确定导致问题的代码位置。在STM32中,处理方式类似,只是具体的启动文件和函数名称可能有所不同。 4. **分析栈使用情况**: 使用IAR编译器的调试...
堆栈溢出技术从入门到精通
01-11
堆栈溢出漏洞通常发生在使用了不安全的字符串处理函数(如gets、strcpy等)时,这些函数没有检查数组边界,允许攻击者向局部变量数组写入超出其分配空间的数据,从而导致栈中的其他数据被覆盖,比如之前的返回地址...
stack_overflow_dwt_protection:使用观察点的Cortex-M堆栈溢出保护
03-13
总结来说,"stack_overflow_dwt_protection"项目展示了如何利用Cortex-M处理器的DWT功能来实现堆栈溢出保护,这是一个有效的安全措施,尤其对于资源受限的嵌入式系统。通过监控栈底部的写入操作,可以及时发现并...
linux 堆栈溢出的问题
08-16
3. **堆栈溢出原理**:当向一个有限大小的栈空间写入过多数据时,超出范围的数据会覆盖相邻的栈元素,包括返回地址。攻击者可以通过这种方式篡改返回地址,使其指向攻击者指定的代码,从而在函数返回时执行恶意...
堆栈溢出调试-gdb-例子
03-26
通过列举linux平台下的例子,并结合gdb描述了栈溢的过程。
递归遍历指定目录所有的文件优化版本(不会栈溢出
08-01
递归遍历指定目录所有的文件优化版本,自测无堆栈溢出,可直接拿来使用,如有问题,联系我
用c语言堆栈溢出的简单例子,求助,关于堆栈溢出,急
weixin_26833139的博客
05-25 158
该楼层疑似违规已被系统折叠隐藏此楼查看此楼求大神们帮忙啊!我在菜单,就是刚开始要scan一个数字选择要进入的功能然后如果输入错误就会重新显示菜单重新显示菜单我用的是重新调用这个函数menu调试时显示堆栈溢出问这个要怎么解决。如其中一个片段void menu_input(){printf("☆* * * * * * * * * * * * 录入学生信息* * * * * * * * * * ...
windows堆栈溢出利用的七种方式
u011809276的专栏
11-02 1277
文本由 www.169it.com 收集 windows下的堆栈溢出攻击和unix下的,原理基本相同。但是,由于windows用户进程地址空间分配和栈处理有其独立的特点,导致了windows 环境下堆栈溢出攻击时,使用的堆栈溢出字符串,与unix下的,区别很大。另外,windows的版本也导致了windows下的exploit不具有通用性。windows版本不同,而exploit使用了很多
C语言黑客编程教学(2)--溢出实验
azraelxuemo的博客
05-25 817
缓冲区是内存中存放数据的地方,一般来说,它是“包含相同数据类型的实例的一个连续计算机内存块”,它保存了给定类型的数据。应用最多的缓冲区类型是字符数组。 缓冲区溢出(Buffer Overflow)是指向固定长度的缓冲区中写入超出其预先分配长度的内容,造成缓冲区中数据的溢出,从而覆盖缓冲区相邻的内存空间。就象一个杯子只能盛一定量的水,如果倒入太多的水到杯子中,多余的水就会溢出到杯外。 一般来说,单单的缓冲区溢出,比如覆盖的内存空间只是用来存储普通数据的,并不会产生安全问题。但如果覆盖的是一个函数的返回地址空间
C#调试过程中如何将栈信息写入文件
jw2016的博客
03-22 1324
在C#开发的程序过程中,经常遇到崩溃问题,而调试这些问题又非常的棘手,此文给出了调试过程中生成栈办法,为调试,特别是远程调试提供了方便。 修改程序入口文件Program.cs,参考如下代码: using System; using System.IO; using System.Collections.Generic; using System.Windows.Forms; u
堆栈溢出技术从入门到高深(一)
baiseda
09-09 189
堆栈溢出技术从入门到高深(一) 转载:作者:独自等待出处:IT专家网2007-12-18 09:56 虽然溢出在程序开发过程中不可完全避免,但溢出对系统的威胁是巨大的,由于系统的特殊性,溢出发生时攻击者可以利用漏洞来获取系统的高级权限root,因此本文将详细介绍堆栈溢出技术……   在您开始了解堆栈溢出前,首先你应该了解win32汇编语言,熟悉寄存器的组成和功能。你必须有栈和存储分配方面的基础...
解决关于stack溢出的问题
weixin_30703911的博客
12-22 141
开发中经常遇到: 前端遇到Uncaught RangeError: Maximum call stack size exceeded错误 后台遇到java.lang.OutOfMemoryError: PermGen space问题 都是因为对象类型(节点类型)转为字符串类型(或者json类型)引起的错误。具体原理我还没搞清楚,稍后搞清楚了再来更新 开发中尽量避免这些问题吧。 转载于...
Java代码分别使溢出,栈溢出
weixin_33728708的博客
04-05 185
转自:http://fxlzs2000.iteye.com/blog/1786407 转自:http://my.oschina.net/sdrkyj/blog/143410 前言 primitive type: 基本类型,像int、double就是。wrapped type:包装类型,int—&gt;Integer,double—&gt;Decimal基本类型跟就是不可实例化的,可以直接初始...
理解堆栈溢出:从基础到实战
堆栈溢出攻击常常利用这一机制,故意注入额外的字节来篡改返回地址,使得程序执行恶意代码而不是预期的下一条指令。为了防范堆栈溢出,可以采用若干策略,如使用安全的输入函数(如`fgets()`代替`gets()`)、启用栈...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值