X86 栈溢出原理与实现

最新推荐文章于 2023-10-28 11:05:26 发布
最新推荐文章于 2023-10-28 11:05:26 发布
阅读量913 收藏 5
点赞数
分类专栏: x86栈 栈帧布局 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41487541/article/details/119961523
版权

前言

本篇旨在通过简单的例子来学习32位栈利用,随手散记。

一、函数栈帧

        每一个函数独占自己的栈帧空间。当前正在运行的函数栈帧总是在栈顶。Win32 系统提供两个特殊的寄存器用于表示位于系统栈顶端的栈帧:ESP(栈指针寄存器)和EBP(基址指针寄存器)。

       在函数栈帧中,一般包括以下几类重要信息:

        (1)局部变量:为函数局部变量开辟的内存空间。

        (2)栈帧状态值:保存前栈帧底部,用于在本栈帧被弹出后恢复上一个栈帧。

        (3)函数返回地址:保存函数调用前的指令位置。

                 ---------------- 0x00001234                                               
      /------- |      ebp      |             
      |          ----------------                                                                                                 
      |          |  ret_addr  |             
      |          ----------------                                                 
      |          |     data     |             
      |          ----------------        
      |          |     data     |             
      |          ----------------                                                    
      \------>|      ebp      |-----\          
                 ----------------       |                                                                                             
                 |  ret_addr  |       |         
                 ----------------       |                                              
                 |     data     |       |        
                 ----------------       | 
                 |     data     |       |        
                 ----------------       |                                               
                 |     ebp      |<----/        
                 ----------------                                                                                                  
                 |  ret_addr  |             
                 ---------------- 0x0000125c

函数调用时的系统栈结构如上所示。

二、修改邻接变量

1.原理

        如上,我们知道了函数调用时栈中数据分布情况。函数的局部变量在栈中一个挨一个排列(上图中两data部分)。如果这些局部变量中有数组之类的缓冲区,并且程序中存在数组越界的缺陷,那么越界的数组元素就有可能破坏栈中相邻变量的值,甚至破坏战阵中的保存的EBP值、返回地址等重要数据。利用简单的实验验证上述可能。

#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
#include <string.h>
#define PASSWORD "1234567"

int verify_password(char* password)
{
	int authenticated;
	char buffer[8];
	authenticated = strcmp(password, PASSWORD);  
	strcpy(buffer, password);
	return authenticated;
}
int main()
{
	int valid_flag = 0;
	char password[1024];
	while (1)
	{
		printf("please input password:		");
		scanf("%s", password);
		valid_flag = verify_password(password);
		if (valid_flag)
		{
			printf("incorrect password!\n\n");
		}
		else
		{
			printf("Congratulation! You have passed the verificaction!\n");
			break;
		}
	}
	return 0;
}

实验环境:

        Win10 + VS2019 + IDA + x86dbg

代码分析:

        通过的strcmp比较输入的密码与设置的密码,若两者相同则 authenticated = 0,反之authenticated = 1 。

实验目的:

        通过修改临界变量来突破密码验证。为了达到这一目的,在子函数中在 authenticated 之后设置了数组buffer 。

2.测试

        假如输入7个"q",按照字符串的序关系 "qqqqqqq" > "1234567",strcmp应返回1,既 authenticated = 1。x86dbg动态调试的实际内存情况如下:

(1)主函数:

(2)步入子函数verify_password:

(3)strcmp执行结束:

        此时可以看出 "qqqqqqq" 和 "1234567" 经strcmp比较后为1,保存在eax中。

(4)authenticated变量在栈中被分配:

        注:0x004115FA处: mov dword ptr ss:[ebp-4], eax 

        此时eax中存放的既是 authenticated = strcmp(password, PASSWORD) 的值。

        栈中0x0019FA04既是authenticated在栈中的地址,也是我们要修改的邻接变量的地址。

(5)strcpy执行结束

        此时eax中存放的地址0x0019F9FC,在栈中可以观察到如上所示,即为变量char buffer[8];

        如此是否可以通过strcpy函数造成缓冲区溢出,使得缓冲区buffer的邻接变量authenticated被覆盖为0,从而突破密码验证?

        字符串数据最后都有作为结束的NULL(0),当输入8个"q"时,按上述分析,buffer所拥有的8个字节将全部被 'q' 填满,而结尾的NULL将写入内存0x0019FA04。        

三、修改返回地址

        如上可以掌握函数栈帧中变量的位置。那么通过输入超长的字符串,从而覆盖函数返回地址便是有可能的。既然返回地址是手动覆盖的,那么我们所给出的返回地址从键盘不方便键入,改为从txt文件中读取。更改代码如下:

#define _CRT_SECURE_NO_WARNINGS 1
#include <stdio.h>
#include <string.h>
#include <iostream>
#define PASSWORD "1234567"

int verify_password(char* password)
{
	int authenticated;
	char buffer[8];
	authenticated = strcmp(password, PASSWORD);
	strcpy(buffer, password);
	return authenticated;
}
int main()
{
	int valid_flag = 0;
	char password[1024];
	FILE* fp;
	if (!(fp = fopen("C:\\password.txt", "r+")))
	{
		printf("1");
		exit(0);
	}
	fscanf(fp, "%s", password);
	valid_flag = verify_password(password);
	if (valid_flag)
	{
		printf("incorrect password!\n");
	}
	else
	{
		printf("Congratulation! You have passed the verificaction!\n");
	}
	return 0;
}

        c盘下txt文件内容如下:

         在x32dbg中观察 verify_password 函数 strcpy执行后的栈帧情况:

         思路:

        (1)若以 "4321" 为一个单位,则第三个 "4321" 将覆盖掉 authenticated,第四个将覆盖掉前栈帧ebp,第五个则将覆盖掉返回地址;

        (2)返回地址的选择问题,既然我们已经可以控制函数的执行流程,不妨在函数返回时直接跳转到验证成功的分支。

        实验验证

        在x32dbg中可以观察到,0x0041184c处为将输出的验证成功字符串压栈,0x00411851处为调用printf函数。则txt文件中第五个单元即为 "0x0041184c"。

         运行程序结果如下:

        由于栈内 EBP 等被覆盖为无效地址,从而导致程序在退出时堆栈无法平衡,导致崩溃。但我们成功地覆盖了返回地址并控制了执行流程。

        结束

        本篇复现《0day安全》中的简单实验,也是希望加深自己的理解。下一篇讨论x64栈帧以及x64缓冲区溢出:https://blog.csdn.net/weixin_41487541/article/details/119960765

Sin hx
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
<深入浅出>根据函数调用过程谈栈回溯原理
一泓清水
06-07 5771
通过分析函数调用过程的堆栈变化,可以看出在被调函数的EBP寄存器地址存放的是调用函数的EBP寄存器地址,EBP地址+4存放的是函数调用完成后的下一条指令存放地址,该指令的前一条指令则是调用函数的指令。说起来有点拗口,接下来代码分析一下: 分析使用的源码如下:
arm下的栈回溯经验总结
jmdvirus
10-12 1188
摘要 arm下出现段错误,却没有回溯到具体的函数,一直在寻找这个问题的原因,在x86 之类的模式下同样的代码是有回溯的。 arm 32 位设备下测试 分析 尝试了很多方法,最终找到一些线索 基础知识 这里就是栈布局的基本原因,网上有很多说这个的,这个可以去尝试搜索一下,这边暂时不讲这方面的知识,网上太多了 主要说一下区别,x86模式下能回溯,arm下不能回溯,主要原因就是在于对栈布局的格式不同,x86模式下有全面的入栈顺序,寄存器的值是可能详细追踪具体位置的。 但是在arm下,可能因为速度等方面的追求,
x86-32-Linux下栈溢出攻击原理
_llc的博客
10-28 287
需要根据反汇编代码来查看函数的变量的布局,然后根据栈变量布局再来构造溢出字符串。
Linux x86 栈溢出
Reshahar 的博客
12-02 578
无防护下的栈溢出
linux进程栈溢出,Linux(x86)栈溢出exploit开发技巧“return-to-libc”
weixin_32864391的博客
05-10 216
原标题:Linux(x86)栈溢出exploit开发技巧“return-to-libc”序言:早期的栈溢出是利用溢出点将shellcode(一段实现特定功能的二进制代码)写入栈内,再将函数的返回地址修改为jmpesp的指令地址上去,进而控制eip寄存器执行我们的shellcode。后来linux系统使用不可执行位(NX bit)的加固技术(Windows操作系统与之对应的就是DEP(Data Ex...
栈回溯
我的博客
01-19 4188
首先必须明确一点也是非常重要的一点,栈是向下生长的,所谓向下生长是指从内存高地址->低地址的路径延伸,那么就很明显了,栈有栈底和栈顶,那么栈顶的地址要比栈底低。对x86体系的CPU而言,其: ---> 寄存器ebp(base pointer )可称为“帧指针”或“基址指针”,其实语意是相同的。 ---> 寄存器esp(stack pointer)可称为“ 栈指针”。 要知...
linux 64位 函数栈帧回溯,也谈栈和栈帧(二)续——x86栈帧布局实践
weixin_36483050的博客
05-04 419
[原创文章不易,转载请注明出处链接]通过一个简单实用的程序实例和调试过程,打印出变量和代码在内存的分配位置,分析x86架构CPU下程序运行时汇编级指令的表现,并推导出各级调用函数栈帧内存布局。1. 打印内存布局示例程序源代码如下所示。1 #include 2 #include 3 #include 45 int gb = 0x50505050;6 char *gb_string = "/bin...
栈回溯----X86
商少
06-19 1064
首先来看一个简单的函数调用对应的汇编代码 #include int __stdcall temp(int m , int n) {     m++;     return m; } int main() {     temp(1,2);     getchar();     getchar();  
精通Windows.API-函数、接口、编程实例.pdf
01-27
5.1.4 虚拟内存布局、内存的分工、堆与栈 127 5.1.5 内存的保护属性和存取权限 127 5.1.6 本章API列表 127 5.2 堆管理 129 5.2.1 获取堆句柄、分配与再分配堆 129 5.2.2 获取堆内存块的大小信息 133 ...
linux操作系统内核技术-uestc课件
09-13
 1掌握处理器在进程地址空间上的三种运行位置,了解内核编程不能使用C库函数和FPU,以及可能产生内存故障、核心栈溢出和四种内核竞争情形的原因。(2学时)  2熟悉进程描述符的组织,进程上下文和进程状态转换,和...
DBG x86 windows程序调试工具
09-26
WinDbg是一个功能非常强大的调试器。它支持多种调试任务,如用户态调试、内核态调试、转储文件调试和远程调试。与此同时WinDbg还具有很好的灵活性和可扩展性。虽然是一个典型的GUI应用程序,但是它的大多数调试功能还是以手工输入命令的方式来工作的。目前版本的WinDbg提供了130多条标准命令,140多条元命令和难以计数的扩展命令。 WinDbg使用工作空间来描述和存储调试项目的属性、参数及调试器设置等信息。工作空间与vc的项目文件很相似。WinDbg定义了两种工作空间,一种为默认工作空间,另一种为命名的工作空间。当没有明确使用某个命名空间时,WinDbg总是使用默认工作空间。 WinDbg在安装后就有预先创建了一些列默认空间。分别为基础工作空间、默认内核工作空间、默认远程调试工作空间、特定处理器工作空间、默认用户态工作空间。它们分别定义了在WinDbg在各种条件下的一些配置、参数设置等。
精通WindowsAPI 函数 接口 编程实例
01-08
5.1.4 虚拟内存布局、内存的分工、堆与栈 127 5.1.5 内存的保护属性和存取权限 127 5.1.6 本章API列表 127 5.2 堆管理 129 5.2.1 获取堆句柄、分配与再分配堆 129 5.2.2 获取堆内存块的大小信息 133 ...
x86-64 下函数调用及栈帧原理
奔跑的企鹅
06-10 1万+
一蓑一笠一扁舟,一丈丝纶一寸钩。 一曲高歌一樽酒,一人独钓一江秋。 ——题秋江独钓图缘起在 C/C++ 程序函数调用是十分常见的操作。那么,这一操作的底层原理是怎样的?编译器帮我们做了哪些操作?CPU 各寄存器及内存堆栈在函数调用时是如何被使用的?栈帧的创建和恢复是如何完成的?针对上述问题,本本文进行了探索和研究。通用寄存器使用惯例函数调用时,在硬件层面我们
ESP,EBP,栈回溯基本原理
zwb139615210的博客
07-23 5751
[软件调试].张银奎           我们看到,尽管可以使用相对于栈顶(ESP寄存器)的偏移来引用局部变量,但是因为ESP寄存器经常变化,所以用这种方法引用同一个局部变量的偏移值是不固定的。这种不确定性对于CPU来说不成什么问题,但在调试时,如果要跟踪这样的代码,那么很容易就被转得头晕眼花,因为现实的函数大多有多个局部变量,可能还有层层嵌套的循环,栈指针变化非常频繁。        为了解
x86汇编orb指令_linux 栈回溯(x86_64 )
weixin_39905624的博客
11-21 886
前序前面几个章节我们了解了《ELF文件格式》、《ELF文件加载过程》、《x86通用寄存器》、《x86栈帧原理》和《linux 进程内核栈》,对x86平台上程序运行和调试机制有了一定认识。接下来我们从程序调试的角度,来一同学习下x86栈回溯的原理和使用。栈回溯发展我们在在调试的时候,经常需要获取CFI(Call Frame Information),进行堆栈回溯。在《x86栈帧原理》一文,我们知道...
C函数调用过程原理函数栈帧分析
weixin_34267123的博客
12-31 270
x86的计算机系统,内存空间的栈主要用于保存函数的参数,返回值,返回地址,本地变量等。一切的函数调用都要将不同的数据、地址压入或者弹出栈。因此,为了更好地理解函数的调用,我们需要先来看看栈是怎么工作的。 栈是什么? 简单来说,栈是一种LIFO形式的数据结构,所有的数据都是后进先出。这种形式的数据结构正好满足我们调用函数的方式: 父函...
【linux】什么是栈回溯
汽车电子开发
05-18 1822
1 什么是栈帧? (栈帧的定义)“栈帧也叫过程活动记录,是编译器用来实现过程/函数调用的一种数据结构。”实际上,可以简单理解为:栈帧就是存储在用户栈上的每一次函数调用所涉及的相关信息的记录单元。 (函数调用的定义)函数的每次调用,都有它自己独立的一个栈帧,这个栈帧维持着所需要的各种信息。因此栈作用就是用来保持栈帧的活动记录。 (每个栈帧大小相同吗?)栈帧表示程序的函数调用记录,而栈帧又是记录在栈上面,很明显栈上保持了N个栈帧的实体,那就可以说栈帧将栈分割成了N个记录块,但是这些记录块大小不是固定的,
Unwind 栈回溯详解
热门推荐
pwl999的博客
07-24 1万+
1. 历史背景 1.1 frame pointers 在调试的时候经常需要进行堆栈回溯。最简单的方式是使用一个独立的寄存器(ebp)来保存每层函数调用的堆栈栈顶(frame pointer): pushl%ebp movl%esp,%ebp ... popl%ebp ret x86_64的frame point模式 arm64的frame point模式 这种方式在堆栈回溯时非常方便快捷。但是这种方法也有自己的不足: 需要一个专门寄存器ebp来保存frame poniter。 保存e
基于backtrace_symbols的栈回溯
qq_38414495的博客
08-17 127
本文不介绍栈回溯的原理,只对如何实现以及使用栈回溯来定位问题做一个简单的介绍,纯属个人理解!!!编译命令可以上上图代码的"gcc signal_test.c -rdynamic -fexceptions -g -o signal_test",编译完之后生成signal_test之后直接运行,有如下打印:上图的打印可以看到三个"./signal_test()",从上至下的第一个表示signal_func执行backtrace的地址第二个就是导致出问题的地址。
x86 cpu的微机原理书籍
最新发布
01-31
2. 《x86汇编与C语言高级编程》:通过讲解x86汇编和C语言编程结合的方式,深入介绍x86指令集、寄存器、内存访问、函数调用等微机原理知识。适合初学者和有一定编程基础的读者。 3. 《IA-32汇编语言程序设计》:详细...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值