栈溢出攻击c语言_栈溢出攻击学习与实践

栈结构及形成过程

一个进程可能被加载到内存中不同的区域执行。进程运行所使用的内存空间按照功能，大致都能分成以下 4 个部分：

数据区：用来存储全局变量等。

栈区：用来存储函数之间的调用关系，以保证被调用函数在返回时恢复到母函数中继续执行。

堆区：动态分配与回收是堆区的最大特点，进程能够动态的申请一定大小的缓冲，并在用完之后归还给堆区。

代码区：存储 CPU 所执行的机器码，CPU 会到这个区域来读取指令并执行。

其中栈区由系统自动维护，它实现了高级语言中的函数调用。对于 C 语言等高级语言，栈区的 PUSH、POP 等平衡堆栈细节是透明的。请看如下代码：

intfunction_b(intargument_B1,intargument_B2)

{

intvariable_b1,variable_b2;

variable_b1=argument_B1+argument_B2;

variable_b2=argument_B1-argument_B2;

returnvariable_b1variable_b2;

}

intfunction_a(intargument_A1,intargument_A2)

{

intvariable_a;

variable_a=function_b(argument_A1,argument_A2)+argument_A1;

returnvariable_a;

}

intmain(intargumentc,charargumentv,charenvp)

{

intvariable_main;

variable_main=function_a(4,3);

returnvariable_main;

}

同一文件不同函数的代码，在内存代码区中的分布可能先后有序也可能无序，相邻也可能相离甚远。

当 CPU 执行调用 function_a 函数时，会从代码区中 main 方法对应的二进制代码的区域跳转到 function_a 函数对应的二进制代码区域，在那里获取指令并执行；当 function_a 函数执行完闭，需要返回时，又会跳回到 main 方法对应的指令区域，紧接着调用 function_a 后面的指令继续执行 main 方法的代码。

这些代码区中精确的跳转都是通过与栈区巧妙的配合完成的。当函数调用发生时，栈区会为这个函数开辟一个新的栈区单元，并将它压入栈中。这个栈区单元中的内存空间被它所属的函数独占，正常情况下是不会和别的函数共享的。当函数返回时，栈区会弹出该函数所对应的栈区单元。

在函数调用的过程中，伴随的栈区中的操作如下：

在 main 方法调用 function_a 时，先在自己的栈区单元中压入函数返回地址，而后为 function_a 创建新栈区单元压入栈区。

在 function_a 调用 function_b 时，同样先在自己的栈区单元中压入函数返回地址，然后为 function_b 创建新栈区单元并压入栈区。

在 function_b 返回时，function_b 的栈区单元被弹出栈区，function_a 栈区单元中的返回地址“露”出栈顶，此时处理器按照这个返回地址重新跳到 function_a 代码区中执行。

在 function_a 返回时，function_a 的栈区单元被弹出栈区，main 方法栈区单元中的返回地址“露”出栈顶，此时处理器按照这个返回地址跳到 main 方法代码区中执行。

每一个函数独占自己的栈区单元空间，当前正在运行的函数的栈区单元总是在栈顶。

Win32 系统提供两个特殊的寄存器用来标识位于栈区栈顶的栈区单元。

ESP：栈指针寄存器，其内存放着指向栈区最上面一个栈区单元的栈顶的指针。

EBP：基址指针寄存器，其内存放着指向栈区最上面一个栈区单元的底部的指针。

函数栈区单元：ESP 和 EBP 之间的内存空间为当前栈区单元，EBP 标识了当前栈区单元的底部，ESP 标识了当前栈区单元的顶部。在函数栈区单元中一般包含以下几类重要信息：

局部变量：为函数局部变量开辟内存空间。

栈区单元状态值：保存前栈区单元的顶部和底部(实际上只保存前栈区单元的底部，前栈区单元的顶部能够通过平衡堆栈计算得到)，用来在本帧被弹出后，恢复上一个栈区单元。

函数返回地址：保存当前函数调用前的“断点”信息，也就是函数调用前的指令位置，以便函数返回时能够恢复到函数被调用前的代码区中继续执行指令。函数调用发生时用到的指令大致如下：调用前 push 参数 C;push 参数 Bpush 参数 A

call 函数地址;call 指令完成两项工作：向栈中压入返回地址；跳转;

函数开始处代码形式

pushebp;保存旧栈区单元的底部

movebp，esp;栈区单元切换

subesp，xxx;抬高栈顶，开辟新栈区单元空间

函数调用大约包括以下几个步骤：

1)参数入栈：将参数从右向左依次压入栈区中。

2)返回地址入栈：将当前代码区调用指令的下一条指令地址压入栈中，供函数返回时继续执行。

3)代码区跳转：处理器从当前代码区跳转到被调用函数的入口处。

4)栈区单元调整：具体包括保存当前栈区单元状态值，EBP 入栈；将当前栈区单元切换到新栈区单元，将 ESP 值装入 EBP，更新栈区单元底部；给新栈区单元分配空间，将 ESP 减去所需空间的大小，抬高栈顶。

类似的，函数返回时的汇编指令序列大致如下：

addxxx,esp;回收当前的栈区单元 popebp;恢复上一个栈区单元底部位置 retn;有两个功能：即弹出栈区单元中的返回地址，让处理器恢复调用前的代码区函数返回的步骤如下：

1)通常将返回值保存在 EAX 中。

2)弹出当前栈区单元，恢复上一个栈区单元。具体包括平衡堆栈的基础上，给 ESP 加上栈区单元的大小，回收当前栈区单元的空间；将保存的前栈区单元 EBP 值弹入 EBP 寄存器，恢复出上一个栈区单元；将函数返回地址弹给 EIP 寄存器；跳转：按照函数返回地址继续执行母函数。

栈区结构就是按照这样的函数调用约定组织起来的。

栈溢出攻击实践

本实践是我自己手写了一个简单的 C 语言程序(VC6.0 编译)，然后通过溢出栈区，覆盖函数的返回地址，从而改变程序的执行流程，以达到攻击效果。

程序代码如下：

#include

#definePWD"1234567"

intverify_pwd(charpwd)

{

intright;

charbuf[8];

right=strcmp(pwd,PWD);

strcpy(buf,pwd);//overflowedhere!

returnright;

}

main()

{

intflag_valid=0;

charpwd[1024];

FILE*fp;

if(!(fp=fopen("pwd.txt","rw+")))

{

exit(0);

}

fscanf(fp,"%s",pwd);

flag_valid=verify_pwd(pwd);

if(flag_valid)

{

}

printf("incorrectpwd!\n");

Else

{

printf("GoodJob!Verificationpassed!\n");

}

fclose(fp);

}

首先用 OD 加载得到的可执行 PE 文件，如图 1 所示。

栈溢出攻击学习与实践 入侵检测 第 1 张

阅读反汇编代码，能够知道通过验证的程序分支的指令地址为 0x00401122。

0x00401102 处的函数调用就是 verify_pwd 函数，之后在 0x0040110A 处将 EAX 中的函数返回值取出，在 0x0040110D 处与 0 比较，然后决定跳转到提示验证错误的分支或提示通过验证的分支。提示通过验证的分支，从 0x00401122 处的参数压栈开始。

通过用 OD 调试，发现栈区单元中的变量分布情况基本没变，这样就能够按照如下方法构造 pwd.txt 中的数据了。

为了字节对齐并且方便辨认，将“4321”作为一个串块。buf[8]共需要 2 个这样的单元，第 3 个串块将 right 覆盖，第 4 个串块将前栈区单元 EBP 值覆盖，第 5 个串块将函数返回地址覆盖。

为了将第 5 个串块的 ASCII 码值(0x34333231)改为通过验证分支指令的地址(0x00401122)，借助十六进制编辑工具来完成(我用的 UltraEdit)，因为部分 ASCII 码所对应符号无法用键盘输入。

Step1：新建一个名称为 pwd.txt 的文件，并使用记事本程序打开，输入 5 个“4321”，

栈溢出攻击学习与实践 入侵检测 第 2 张

图 2

Step2：保存，关闭记事本并用 UltraEdit 打开，如图 3 所示。

栈溢出攻击学习与实践 入侵检测 第 3 张

图 3

Step3：将 UltraEdit 的编辑模式切换到十六进制，如图 4 所示。

栈溢出攻击学习与实践 入侵检测 第 4 张

Step4：将最后 4 个字节改为新的函数返回地址，如图 5 所示。

栈溢出攻击学习与实践 入侵检测 第 5 张

Step5：此时再切换回文本编辑模式，最后的 4 个字节的对应字符显示结果为乱码，如图 6 所示。

栈溢出攻击学习与实践 入侵检测 第 6 张

将 pwd.txt 保存后，用 OD 加载程序并调试，程序运行结果如图 7 所示。

栈溢出攻击学习与实践 入侵检测 第 7 张

学习心得

能看懂二进制是研究安全技术所必需的技能。信息安全技术不仅需要计算机理论基础很扎实，更需要优秀的动手、实践能力，是一个对技术性要求很高的领域。

缓冲区溢出攻击的理论我很早就已经学习了，以为只是修改返回地址将 CPU 指到缓冲区中的恶意代码而已，但当自己动手实践时，才发现实际情形原来比原理要复杂很多。信息安全需要有强烈的兴趣做动力，还需要有能够为了梦想持之以恒的坚定意志。

欢迎大家来我的博客：http://www.weixianmanbu.com/