1.缓冲区溢出原理
计算机中每一个运行中的程序都有相同的内存布局(逻辑布局),Linux/Unix的程序布局大体如下:
其中最重要的一点: 栈中保存了函数调用时的返回地址。
缓冲区溢出的目的就是要将栈中保存的返回地址篡改成成溢出的数据,这样就间接修改了函数的返回地址,当函数返回时,就能跳转到预设的地址中,执行植入的代码。
2.代码测试
运行如下代码:
/* Demonstration of buffer overflow */
#include <stdio.h>
#include <stdlib.h>
/* Implementation of library function gets() */
char *gets(char *dest)
{
int c = getchar();
char *p = dest;
while (c != EOF && c != '\n') {
*p++ = c;
c = getchar();
}
*p = '\0';
return dest;
}
/* Read input line and write it back */
void echo()
{
char buf[4]; /* Way too small! */
gets(buf);
puts(buf);
}
void call_echo()
{
echo();
}
/*void smash()
{
printf("I've been smashed!\n");
exit(0);
}
*/
int main()
{
printf("Type a string:");
call_echo();
return 0;
}
运行结果:
如图所示,操作系统在给buf分配栈空间时,看到buf的长度为4,即申请4个字节长的地址空间,然后按照倒序将buf的内容填充入栈地址中。如果将长度大于8的一个字符串赋值给buf,那么操作系统就会倒序一直填充栈地址,导致覆盖掉了原有的数据。导致运行结果错误。
缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。
所以在写C语言代码时需注意参数长度的检查,如果编程人员忽略了这一点,则会导致出现一系列不可预期的错误发生。
某些危险的库函数
以下分析常用的某些危险的库函数:
-
gets
该函数从标准输入读入用户输入的一行文本,在遇到EOF字符或换行字符前,不会停止读入文本。即该函数不执行越界检查,故几乎总有可能使任何缓冲区溢出(应禁用)。
gcc编译器下会对gets调用发出警告(the `gets’ function is dangerous and should not be used)。
-
strcpy
该函数将源字符串复制到目标缓冲区,但并未指定要复制字符的数目。若源字符串来自用户输入且未限制其长度,则可能引发危险。
-
sprintf
该函数使用控制字符串来指定输出格式,该字符串通常包括"%s"(字符串输出)。若指定字符串输出的精确指定符,则可通过指定输出的最大长度来防止缓冲区溢出(如%.10s将复制不超过10个字符)。也可以使用"*“作为精确指定符(如”%.*s"),这样就可传入一个最大长度值。精确字段仅指定一个参数的最大长度,但缓冲区需要针对组合起来的数据的最大尺寸调整大小。
注意,“字段宽度”(如"%10s",无点号)仅指定最小长度——而非最大长度,从而留下缓冲区溢出隐患。
-
scanf
scanf系列函数具有一个最大宽度值,函数不能读取超过最大宽度的数据。但并非所有规范都规定了这点,也不确定是否所有实现都能正确执行这些限制。若要使用这一特性,建议在安装或初始化期间运行小测试来确保它能正确工作。