当在缓冲区中输入过多的数据时,缓冲区溢出就会发生,C语言提供了多种方法,可以使在缓冲区中输入的数据比预期的多。
局部变量可以被分配到栈上。这就意味着在栈的某个地方有一个固定大小的缓冲区。
而栈是向下增长的,而且一些重要的信息被存储在栈中,那么当向栈分配的缓冲区中存储的数据比它所能容纳的数据多时,将会发生溢出,并将过剩的数据溢出到堆栈上的相邻空间里。
代码
zhan.c
#include
#include
#include
int bof()
{
char buffer[8]; /* 一个8字节的字符缓冲区*/
/*将20字节的A复制到缓冲区*/
strcpy(buffer,"AAAAAAAAAAAAAAAAAAAA");
/*返回,因为堆栈溢出将引起一个访问违例。得到EIP*/
return 1;
}
int main(int argc, char **argv)
{
bof();/*调用函数*/
/*打印一则短信息,因为溢出,执行将不会到达这个点*/
/*printf("Not gonna do it!n");
return 1; /*离开main函数*/
}
编译加深调试信息
#gcc -g -o zhan zhan.c
反汇编
#objdump -dS zhan
反汇编的结果很长,以下只列出我们关心的部分。
要查看编译后的汇编代码,其实还有一种办法是gcc -S XXX.c,这样只生成汇编代码XXX.s,而不生成二进制的目标文件。
整个程序的执行过程是main调用bof,我们用gdb跟踪程序的执行。
#gdb zhan
下一步:
下一步:
下一步:
下一步:
下一步:
溢出了!
41 41 41 41 AAAA ;缓冲区,装满了"A"
下一步:
这一步的$esp和$ebp没有变化,如同上一步中的。
下一步:
修改源代码将strcpy(buffer,"AAAAAAAAAAAAAAAAAAA");改为strcpy(buffer,"AAAAAAAAAAAAAAAAAAAAAAA");
对比之前的溢出我们可以看到溢出的方向
参考:《缓冲区溢出攻击——检测、剖析与预防》第五章