一、实验目的
1、了解栈溢出漏洞定义及原理;
2、使学生掌握如何使用栈溢出漏洞利用。
二、实验环境
VC++6.0、ollydbg逆向工具等。
三、实验内容及步骤:
1、了解栈的基本原理
2、对栈溢出漏洞进行模拟操作
3、栈溢出漏洞实战练习
四、实验过程
1. 什么是栈
栈是一种机制,计算机用它来将参数传递给函数,也可以用于放入局部函数变量,函数返回地址,它的目的是赋予程序一个方便的途径来访问特定函数的局部数据,并从函数调用者那边传递信息。栈的作用如同一个缓冲区,保存着函数所需的所有信息。在函数的开始时候产生栈,并在函数的结束时候释放它。栈一般是静态的,也意味着一旦在函数的开始创建一个栈,那么栈就是不可以改变的。栈所有保存的数据是可以改变的,但是栈的本身一般是不可以改变的
(1)缓冲溢出分为两种,一种是栈溢出,一种是堆溢出。
(2)如何找到栈?
2. 几个必须了解的指针
EIP:扩展指令指针。在调用函数时,这个指针被存储在栈中,用于后面的使用。在函数返回时,这个被存储的地址被用于决定下一个将被执行的指令的地址。
ESP:扩展栈指针。这个寄存器指向栈的当前位置,并允许通过使用push和pop操纵或者直接的指针操作来对栈中的内容进行添加和移除。
EBP:扩展基指针。这个寄存器在函数的执行过程中通常是保持不变的。它作为一个静态指针使用,用于只想基本栈的信息,例如,使用了偏移量的函数的数据和变量。这个指针通常指向函数使用栈底部
3、 VC++6.0的部分调试按钮
逐过程调试—F10
逐语句调试—F11
跳到光标处—Ctrl+F10
跳出本循环—Shift+F11
设定断点—F9
删除所有断点—Ctrl+Shift+F9
开始编译 F7
反汇编调试 Alt +8
重新编译 –Ctrl+F7
开始调试--F5
停止调试—Shift+F5
重新启动—Ctrl+Shift+F5:
4、通过实践来进行处理
(1)首先演示一下栈的形成:下面是以下代码
#include
int main()
{
_asm
{
push 0x12345678
pop eax
}
}
(2)分析及利用
我们可以在VC++6.0 进行调试来观察一下esp和eip以及ebp的状态变化;
我们编译后,开始逐过程调试,来观察ESP,EBP的位置
我们逐语句调试下,就会发现ESP栈顶指针会跟随变化,因为我们向栈中压人了12345678这样四个字节的数据,指针会减小4个字节的。
而我们pop的时候就会发现栈顶指针就变大成为了原来的样子。这就告诉我们一个道理栈中压人数据的时候栈顶指针是变小的,而弹出栈的时候栈顶指针是变大的。也就是栈底地址高于栈顶地址。
(3)接下来操作函数内栈的调用过程:
首先没有进入到stack_overflow函数里面的的时候EBP和ESP都是有值得,说明外面的main函数也有栈的实现。我们反汇编看一下具体栈的实现。单步走一下就会发现一个跳转jmp跳转到函数stack_overflow
这时候我们单步步入
就会看到如上代码,这时候我们来进一步分析一下。首先它将ebp指针压人栈内,将当前的esp指向的地址给了ebp,这时候esp减小了44h,这时候在堆栈中又开辟了一个长度为44h的一个新的栈空间。从我们分析可以得出dword ptr[ebp-4],0这个局部变量是存放在新的栈空间里面的。ebp-4远远小于44h空间大小。局部变量是存放在栈中的。
通过这个例子我们可以得出一个结论就是如果程序要调用某个函数,那么计算机就会自动将函数返回后执行的指令地址先压入栈里,等函数调用完之后再从中取出,跳转到该处执行。溢出的原因?
正式因为先放入栈的地址在前,而后放入栈的数据一旦过长,就会覆盖到前面的地址这就会导致程序发生错误。
(5)下面来操作下栈溢出现象;
1.#include
2.#include
3.#include
4.void overflow(char *buf)
5.{
6. char des[5]="";
7. strcpy(des,buf);
8. return;
9.}
10.void main(int argc,char *argv[])
11.{
12. LoadLibrary("user32.dll");
13. char longbuf[100]="aaaaaaaaaaaabbbbcccccccccccc";
14. overflow(longbuf);
15. return;
16.}
程序一运行就会停止工作:
(6)下面我们不妨来跟踪下程序:
首先先把函数下一个地址以及参数压入栈中:
这时候单步运行到了strcpy这里:这是我们会发现将参数的值出来放在寄存器edx里面了,请看下面图:00 12 FF 1C
然而,当我们继续单步的时候,发现代码已经一片空白
这是因为前面buf的值太长,吧返回地址覆盖到,使得程序无法获取到正确的返回地址,从而程序无法正常进行。
思考:
如果通过修改longbuf中的内容,使得返回地址到达自己预先设计的函数的函数头中,可以实现什么作用。
五、实验总结
通过这个实验让学生了解栈溢出漏洞简单了解,以及研究其产生的原因。
六、实验思考题
给出一段代码:
1.#include
2.#include
3.#define PASSWORD "qqqqqqq"
4.int verify_password(char *password)
5.{
6. int authenticated;
7. char buffer[8];
8. authenticated=strcmp(password,PASSWORD);
9. strcpy(buffer,password); //构造栈溢出
10. return authenticated;
11.}
12.
13.int main()
14.{
15. int valid_flag=0;
16. char password[1024];
17. while(1)
18. {
19. printf("please input password: ");
20. scanf("%s",password);
21. valid_flag=verify_password(password);
22. if(valid_flag)
23. {
24. printf("incorrect password!\n\n");
25. }
26. else
27. {
28. printf("Congratulation! you have passed the Verification !\n");
29. break;
30. }
31. }
32. getchar();
33. char i;
34. scanf("%s",&i);
35.}
如何在不知道密码的情况下通过栈溢出绕过密码验证环节得到答案?