Windows内存漏洞——栈溢出漏洞及其利用分析

已于 2023-05-26 10:53:42 修改
阅读量804 收藏 4
点赞数
分类专栏: 系统安全 信息安全 基础知识 文章标签: windows
于 2023-05-25 11:54:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/theglasssky/article/details/130864308
版权

栈溢出漏洞及其利用分析

栈帧的标识

  • ESP:扩展栈指针寄存器,其存放的指针指向栈顶
  • EBP:扩展基址指针寄存器,其存放的指针指向栈底
  • EIP:扩展指令指针寄存器,其存放的指针指向下一条要执行的指令

栈帧中的内容

一个函数栈帧中主要包含的信息:

  • 前一个栈帧的栈底位置,也就是前栈帧的EBP,用于在函数调用结束后恢复主调函数的栈帧
  • 该函数的局部变量
  • 函数调用的参数
  • 函数的返回地址RET,用于保存函数调用前指令的位置,以便函数返回时能恢复到调用前的代码区继续执行指令

栈溢出漏洞的基本原理

  • 在函数的栈帧中,局部变量是顺序排列的,局部变量下面紧跟着的是前栈帧EBP及函数返回地址RET。如果这些局部变量为数组,由于存在越界的漏洞,那么越界的数组元素将会覆盖相邻的局部变量,甚至覆盖前栈帧EBP及函数返回地址RET,从而造成程序的异常。

栈溢出修改相邻变量

void fun()
{
	char psaaword[6] = "ABCDE";
	char str[6];
	gets(str);
	srt[5] = '\0';
	if(strcmp(str,password)==0)
	{
		printf("OK.\n");
	}else
	{
		printf("NO.\n");
	}
}
int main()
{
	fun();
	return 0;
}
  • 由于c语言中没有越界检查,因此当用户输入的口令超过两个字节时,将会覆盖相邻的password数组。此时,password数组和str数组的内容就会是同一个字符串。因此,在不知道正确口令的情况下,只要输入13个字符,其中前五个字符与后五个字符相同,就可以绕过口令的验证了。
  • 如果用户增加输入字符串的长度,将会超过password数组的边界,从而覆盖前栈帧ESP,甚至是覆盖返回地址RET。当返回地址RET被覆盖后,将会造成进程跳转的异常。

栈溢出后修改返回地址RET

  • #include<stdio.h>
#include<string.h>
#include<stdlib.h>
void Attack()
{
	printf("Hello\n");//当该函数被调用成功时,说明溢出攻击成功
	exit(0);
}
void fun()
{
	char password[6] = "ABCDE";
	char str[6];
	FILE *fp;
	if(!fp=fopen("password.txt","r"))
	{
		exit(0);
	}
	fscanf(fp,"%s",str);
	
	str[5]='\0';
	if(strcmp(str,password)==0)
	{
		printf("OK.\n");
	}else
	{
		printf("NO.\n");
	}
}
int main()
{
	fun();
	return
}

  • 如果在password文件中存入23俄国字符,程序运行结果将与从键盘输入一致。为了让程序在调用fun()函数返回后去执行所希望的函数Attack(),必须将password文件中的最后四个字节改为Attack()函数的入口地址。(用OllyDbg工具查看得到地址为0x0040100F),利用十六进制编译软件UItraEdit打开password修改最后四个字节。

  • 这样,运行该程序,Attack函数被正常执行。

栈溢出攻击

  • 攻击者通过缓冲区改写的目标不再是一个变量,而是栈帧高地址的EBP和函数的返回地址等值。通过覆盖程序中的函数返回地址和函数指针等值,攻击者可以直接将程序跳转到其预先设定或已经注入到目标程序的代码上去执行。
JMP ESP覆盖方法

由于动态链接库的装入和卸载等原因,windows进程的函数栈帧可能发生移位,也就是说shellcode在内存中的地址是动态变化的,所以只采用简单方式链接进行跳转是极有可能出错的

  • 所以,可以在覆盖返回地址时用系统动态链接库中某条处于高地址且位置固定的跳转指令所在的地址进行覆盖,然后再通过这条指令指向动态变化的Shellcode地址。
  • 在这种方法中,输入被攻击程序的字符串格式为NN…NNRSS…SS,其中N表示可以填入的一些无关的数据,R表示JMP ESP的地址,S表示Shellcode。
  • 当函数返回时,取出JMP ESP覆盖法攻击,攻击者需要做如下工作
    • 分析调试有漏洞的被攻击程序,活得栈帧的状态
    • 获取本机JMP ESP指令的地址
    • 写出希望运行的Shellcode
    • 根据栈帧状态,构造输入字符串
SEH覆盖方法

Windows异常处理机制所依赖的便是SEH结构体,他包含两个DWORD指针

  • SHE链表指针prev,用于指向下一个SEH结构
    • 异常处理函数句柄handler,用于指向一场函数处理的指针。
  • 当线程初始化时,会自动向栈中安装一个异常处理结构,作为线程默认的异常处理,这样多个异常处理程序就连结成了一个由栈顶向栈底延申的单链表,链表头部位置通过TEB(线程控制块)0字节偏移处的指针标识。
  • 如果发生异常,OS会中断程序,并且首先从TEB的0字节处去除最顶端的SEH结构地址,使用异常处理函数句柄所指向的代码来处理异常。如果该异常函数运行失败,则顺着SHE链表依次尝试其他的异常处理函数。(如果程序预先安装的所有异常处理函数均无法处理,系统将采用默认的异常处理函数,弹出错误对话框并强制关闭程序)
  • SEH覆盖方法就是覆盖异常处理程序地址的一种攻击方式。由于SHE结构存放在栈中,因此攻击者可以利用栈溢出漏洞设计特定的溢出数据,将SEH结构中异常函数入口地址覆盖为Shellcode的其实地址或可以跳转到Shellcode的跳转指令地址,从而导致程序发生异常时,Windows异常处理机制执行的不是预设的异常处理函数,而是Shellcode。
Theglassessky
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
经典的栈溢出漏洞分析
09-27 545
c源码如下: #include<stdio.h> #include<string.h> int main(int argc,char* argv[]){ char buf[256]; strcpy(buf,argv[1]); printf("Input:%s\n",buf); return 0; } 系统是Ubuntu20.04,使用gdb-peda调试。 1.相关知识 首先,我们解释 首先,有个预备知识,c程序是通过__libc_start_mai..
缓冲区溢出——栈溢出
08-04
4. **代码审查**:定期进行源代码审计,找出潜在的溢出漏洞,并及时修复。 5. **编译器选项**:利用编译器的防护特性,如GCC的 `-fstack-protector`,来检测栈溢出并防止攻击。 总之,理解栈溢出的原理和防范措施...
PWN简单利用堆栈溢出漏洞
weixin_43891422的博客
07-16 1283
PWN简单利用堆栈溢出漏洞PWN简单利用堆栈溢出漏洞0x01 栈的介绍栈是什么栈的特点栈中如何存储数据0x02 函数调用栈寄存器分配0x03 栈帧结构例题:堆栈溢出漏洞利用0x01.运行程序、查看文件类型 和 保护措施0x02.反汇编分析0x03.调试分析payload0x04.payload生成脚本0x05.总结 PWN简单利用堆栈溢出漏洞 0x01 栈的介绍 栈是什么 栈都是一种数据项按序排列的数据结构。 栈的特点 先入先出,先后放入栈中的数据要先取出来。 栈的地址从高处向低处增长,且栈是一块连续区
栈溢出漏洞
03-30
湖湘杯2016网络安全技能大赛pwnme
栈溢出漏洞介绍与利用
这里没人
05-14 4364
简介 栈溢出,0day漏洞中最简单的一种漏洞。相比起其它漏洞栈溢出最容易被出现,也最容易利用。是一种非常常见的漏洞。一般如果服务器程序出现了栈溢出漏洞,那么这台服务器距离被pwn也不远了。 原理 栈溢出的主要产生原因是因为程序对用户输入字符串的长度检查不严格,或者有逻辑漏洞,或者一些菜鸟根本没有进行长度检查而产生的漏洞。相信新手程序员一般都写过这样的代码。 char dest[...
栈溢出漏洞学习与剖析
njh18790816639的博客
03-13 301
0x00 刚开始接触pwn,但是pwn呢!不应该只会做题,应该理解里面的原理,所以我们来看看程序里面究竟蕴含着什么神秘! 0x01 程序的执行就是一种线性的"纸",上面有许多内容。 就是一张"纸",在上面写了很多内容,Stack是栈,Heap是堆,这两个是最为关键的,因为接下来我们利用的就是有关这两个的漏洞。 程序在上面执行,code代码段(其实就是汇编指令)利用这里面的指令一步一步的运行。你可能有疑问?while和if和for等其实就是jmp等跳转指令,从一张"纸"的第一行开始"写",到了第三行(假设)有
堆栈溢出漏洞:原理、利用与防范
最新发布
weixin_42130310的博客
08-18 977
堆栈溢出漏洞是一种常见的安全漏洞,通常发生在程序使用不安全的字符串处理函数时。当程序尝试将超过预定大小的数据写入栈上分配的内存区域时,就会导致堆栈溢出。这种漏洞可能被攻击者利用,以覆盖返回地址或其他重要数据,从而控制程序的执行流。堆栈溢出漏洞是一种严重的安全风险,攻击者可以利用它来控制程序的执行流。通过使用安全的字符串处理函数和启用多种安全机制,可以有效地防止此类漏洞的发生。定期使用工具如checksec来检查程序的安全特性,将有助于提高系统的整体安全。
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验
07-07
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验 该实验报告的主要目的是了解缓冲区溢出漏洞的原理和实验过程。缓冲区溢出漏洞是一种常见的安全漏洞,攻击者可以通过溢出缓冲区来 inject恶意代码,从而控制...
漏洞分析报告-office.docx
10-24
CVE-2012-0158 漏洞是一种经典的缓冲区溢出漏洞中的栈内存拷贝溢出类型。具体来说,当 Microsoft Office 2003 SP3 解析包含特殊构造的 ActiveX 控件(例如 ListView 列表控件)时,MSCOMCTL.OCX 库中的 `sub_275C876...
MySQL数据库渗透及漏洞利用总结
02-25
各种Mysql注入,Mysql提权,Mysql数据库root账号webshell获取等的,但没有一个对Mysql数据库渗透较为全面对总结,针对这种情况我们开展了研究,虽然我们团队今年正在出版《网络攻防实战研究——漏洞利用与提权》,但...
二进制漏洞挖掘-栈溢出-开启NX开启ASLR1
08-04
在描述中提到,程序在运行过程中,buf与保留的eip(指令指针)之间的距离发生变化,这是栈溢出漏洞利用的关键。攻击者可以通过精心构造的payload来覆盖eip,使其指向内存中预先准备好的shellcode(恶意代码)的起始...
软件安全实验——栈溢出漏洞利用
Fng的博客
08-29 2501
已知目标主机(Microsoft Windows XP SP3)运行着CCProxy 6.2(演示版),且Microsoft Windows XP SP3内存0x7FFA4512处有一条JMP ESP指令,要求以"JMP ESP"为攻击跳板利用栈溢出漏洞,攻击目标主机,在目标主机上创建一个用户(用户名为a)。
Linux栈溢出漏洞利用详解
ShadowBlade
09-04 4070
本节主要讲解了linux 32位系统栈溢出利用原理。以一个实例,详细描述了linux栈溢出的原理和应用。 1.栈溢出背景知识 栈 栈又称堆栈,由编译器自动分配释放,行为类似数据结构中的栈(先进后出)。堆栈主要有三个用途: 为函数内部声明的非静态局部变量(C语言中称“自动变量”)提供存储空间。 记录函数调用过程相关的维护性信息,称为栈帧(Stack Frame)或过程活动记录(Procedure Activation Record)。它包括函数返回地址,不适合装入寄...
CVE-2012-0158栈溢出漏洞分析
鬼手的博客
08-04 1842
文章目录漏洞描述分析环境漏洞分析寻找漏洞函数验证漏洞函数缩小漏洞范围探究漏洞本质漏洞修复漏洞修复 漏洞描述 该漏洞发生在MSCOMCTL.OCX模块中,在一段内存拷贝时,由于检查条件错误造成基于栈的缓冲区溢出 分析环境 环境 版本 操作系统 W7 x64 调试器 windbg 反汇编器 IDA Pro 漏洞软件 Office 2003 SP3 Office格式分析工...
栈溢出漏洞实践教程:从零开始学习软件漏洞挖掘
"该教程是‘从零开始学习软件漏洞挖掘系列教程’的第二篇,主要聚焦于栈溢出漏洞的实践,旨在帮助学生或信息安全专业人员理解栈溢出的成因并掌握利用栈溢出漏洞的技术。教程适用于本科或专科信息安全专业的实践实验...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值