初识栈溢出及利用栈溢出的四种攻击方法

栈溢出

本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址
覆盖栈上的变量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode

以python语言举例，


运行报错。
在python中，函数调用一次，栈(stack)多加一层栈帧，由于栈帧的增加有上限，函数调用次数过多会导致栈溢出。（在c语言中，把数据放到缓冲区中，但没有机制来检测数据大小，数据过大则会导致溢出。）

解决方法：

尾递归优化

原程序return n*fact(n-1)中包含表达式，不属于尾递归方式。

优化成这样……我试了一下fact(1000)还是会报错，可能太大了（报错原因与之前相同）。
接下来讲一下栈溢出可能的危害

（以上参考百度百科）

栈溢出从入门到放弃（上）

众所周知，计算机程序的运行依赖于函数调用栈。栈溢出是指在栈内写入超出长度限制的数据，从而破坏程序运行甚至获得系统控制权的攻击手段。本文将以32位x86架构下的程序为例讲解栈溢出的技术详情。
为了实现栈溢出，要满足两个条件。第一，程序要有向栈内写入数据的行为；第二，程序并不限制写入数据的长度。如果想用栈溢出来执行攻击指令，就要在溢出数据内包含攻击指令的内容或地址，并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段，也可以利用系统内已有的函数及指令。
背景知识：函数调用栈
函数调用栈是指程序运行时内存一段连续的区域，用来保存函数运行时的状态信息，包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时，调用函数（caller）的状态被保存在栈内，被调用函数（callee）的状态被压入调用栈的栈顶；在函数调用结束时，栈顶的函数（callee）状态被弹出，栈顶恢复到调用函数（caller）的状态。函数调用栈在内存中从高地址向低地址生长，所以栈顶对应的内存地址在压栈时变小，退栈时变大。

函数状态主要涉及三个寄存器－－esp，ebp，eip。esp 用来存储函数调用栈的栈顶地址，在压栈和退栈时发生变化。ebp
用来存储当前函数状态的基地址，在函数运行时不变，可以用来索引确定函数参数或局部变量的位置。eip 用来存储即将执行的程序指令的地址，cpu
依照 eip 的存储内容读取指令并执行，eip 随之指向相邻的下一条指令，如此反复，程序就得以连续执行指令。
变化的核心任务是将调用函数（caller）的状态保存起来，同时创建被调用函数（callee）的状态。

变化过程：

首先将被调用函数（callee）的参数按照逆序依次压入栈内。如果被调用函数（callee）不需要参数，则没有这一步骤。这些参数仍会保存在调用函数（caller）的函数状态内，之后压入栈内的数据都会作为被调用函数（callee）的函数状态来保存。

注：低地址在最下方，即栈顶。参数入栈是从高地址向低地址增长。最后进入的最先弹出栈!!!
理解这个就好懂了。讲callee的参数逆序入栈，即return address最先入，然后argn->…arg1,
arg1栈内地址最低，但处在栈顶，弹出栈肯定也是最先弹出。然后这时候要再压入参数，是从栈顶开始压入。
然后将调用函数（caller）进行调用之后的下一条指令地址作为返回地址压入栈内。这样调用函数（caller）的 eip（指令）信息得以保存。

再将当前的ebp 寄存器的值（也就是调用函数的基地址）压入栈内，并将 ebp 寄存器的值更新为当前栈顶的地址。这样调用函数（caller）的
ebp（基地址）信息得以保存。同时，ebp 被更新为被调用函数（callee）的基地址。

（将调用函数的基地址（ebp）压入栈内，并将当前栈顶地址传到 ebp 寄存器内）

再之后是将被调用函数（callee）的局部变量等数据压入栈内。

（将被调用函数的局部变量压入栈内）

在压栈的过程中，esp
寄存器的值不断减小（对应于栈从内存高地址向低地址生长）。压入栈内的数据包括调用参数、返回地址、调用函数的基地址，以及局部变量，其中调用参数以外的数据共同构成了被调用函数（callee）的状态。在发生调用时，程序还会将被调用函数（callee）的指令地址存到
eip 寄存器内，这样程序就可以依次执行被调用函数的指令了。
函数调用结束时的变化，变化的核心任务是丢弃被调用函数（callee）的状态，并将栈顶恢复为调用函数（caller）的状态。
首先被调用函数的局部变量会从栈内直接弹出，栈顶会指向被调用函数（callee）的基地址。