栈溢出逆向实验

最新推荐文章于 2022-10-14 09:46:39 发布
最新推荐文章于 2022-10-14 09:46:39 发布
阅读量655 收藏 8
点赞数 1
分类专栏: 逆向 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45859485/article/details/120930530
版权
本文探讨了栈溢出的概念,解释了内存的四个主要区域:代码区、数据区、堆区和栈区。栈溢出发生在当小缓冲区被大缓冲区的数据填充超过其容量时,可能导致内存中其他数据的破坏。实验通过IDA静态分析和Ollydbg动态分析工具,展示了如何查找和理解栈溢出的发生。在示例程序中,溢出导致返回地址被篡改,影响程序执行流程。通过对溢出原因和后果的分析,加深了对栈溢出安全问题的理解。
摘要由CSDN通过智能技术生成

栈溢出逆向实验

一、实验背景

1.内存的不同用途

缓冲区溢出是在大缓冲区中的数据向小缓冲区复制的过程中,由于没有注意小缓冲区的边界,“撑爆”了较小的缓冲区,从而冲掉了和小缓冲区相邻内存区域的其他数据而引起的内存问题。缓冲溢出是最常见的内存错误之一,也是攻击者入侵系统时所用到的最强大、最经典的一类漏洞利用方式。成功地利用缓冲区溢出漏洞可以修改内存中变量的值,甚至可以劫持进程,执行恶意代码,最终获得主机的控制权。要透彻地理解这种攻击方式,我们需要回顾一些计算机体系架构方面的基础知识,搞清楚 CPU、寄存器、内存是怎样协同工作而让程序流畅执行的。

根据不同的操作系统,一个进程可能被分配到不同的内存区域去执行。但是不管什么样的操作系统、什么样的计算机架构,进程使用的内存都可以按照功能大致分成以下 4 个部分。

(1)代码区:这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指并执行。
(2)数据区:用于存储全局变量等。
(3)堆区:进程可以在堆区动态地请求一定大小的内存,并在用完之后归还给堆区。动态分配和回收是堆区的特点。
(4)栈区:用于动态地存储函数之间的调用关系,以保证被调用函数在返回时恢复到母函数中继续执行。

2.栈

从计算机科学的角度来看,栈指的是一种数据结构,是一种先进后出的数据表。栈的最常见操作有两种:压栈(PUSH)、弹栈(POP);用于标识栈的属性也有两个:栈顶(TOP)、栈底(BASE)。可以把栈想象成一操扑克牌。

·PUSH:为栈增加一个元素的操作叫做 PUSH,相当于在这螺扑克牌的最上面再放上一张。

·POP:从栈中取出一个元素的操作叫做 POP,相当于从这操扑克牌取出最上面的一张。

·TOP:标识栈顶位置,并且是动态变化的。每做一次 PUSH 操作,它都会自增 1;相反,每做一次 POP 操作,它会自减 1。栈顶元素相当于扑克牌最上面一张,只有这张牌的花色是当前可以看到的。

·BASE:标识栈底位置,它记录着扑克牌最下面一张的位置。BASE 用于防止栈空后继续弹栈(牌发完时就不能再去揭牌了)。很明显,一般情况下,BASE 是不会变动的。内存的栈区实际上指的就是系统栈。系统栈由系统自动维护,它用于实现高级语言中函数的调用。对于类似 C 语言这样的高级语言,系统栈的 PUSH、POP 等堆栈平衡细节是透明的。

一般说来,只有在使用汇编语言开发程序的时候,才需要和它直接打交道。

二、实验目的

探究发生栈溢出的原因以及导致的后果。

三、实验内容

1.IDA 静态分析

首先打开 IDA,将.exe 文件拖入 IDA,找到 main 函数,按快捷键 F5 查看其伪代码,如图。

在这里插入图片描述
再查看 verify_password 函数,如下图。
在这里插入图片描述
通过以上对伪代码分析可以对该程序有一个初步的认识。

2.ollydbg 动态分析

将程序拖到 od 中打开,找到 main 函数。

根据“常识”,在 GetCommandLineA 后不远处就是 main 入口,在 main 之前会有(三个)连续的压栈操作。

在这里插入图片描述

找到 scanf 函数。
在这里插入图片描述
进入函数,首先看见的就是常规操作,将前栈基址入栈,抬高栈顶(给局部变量申请空间),之后可以看到在调用 strcmp 函数之前将他的两个参数从右至左入栈,静态值“1234567”是写在程序的数据段中的,另一个是参数 password,在第一个(只有一个)参数即[arg.1]位置。strcmp 执行结果在 eax 寄存器中,然后将结果赋值给变量 authentication,即第一个变量,就是[local.1]位置(图里不小心画到 strcpy 参数入栈里了)。然后进行 strcpy 函数的参数入栈,从右至左是 password 和 buffer,buffer 就是第二个参数(因为长度是 8,所以[local.3]),将他们入栈之后调用 strcpy,将 password 内容拷贝到 buffer 里。然后(进行清理栈空间操作后)返回。

回到 IDA,点击 verify_password 中的 dest

在这里插入图片描述
看一下 Dest 在 ebp-0xC 的地址空间,而用于返回的临时变量是在 ebp-0x4的栈空间,这样如过复制的内存长于 8 个字节,则会溢出一个\x00 字节到临时变量的空间,因为 strcpy 会在复制后补上一个\x00 结束符。strcmp 函数的返回值有 0,1,-1 三种情况。
1.如果是 1,溢出的\x00 刚好覆盖了最后一个字节,使得临时变量变为 0。
2.如果是-1,由于是负数,有最高位符号位的存在,是无法变成 0 的。
这里就会出现栈溢出。栈溢出就是指栈中的(缓冲区)内容被写入了大于原本(申请的)大小的内容,导致多余的内容覆盖了缓冲区后面的其他地址空间内原有的内容。

在这里插入图片描述
打开程序测试:
在这里插入图片描述
可知需要输入的密码长度等于 8,并且与 1234567 的 strcmp 结果是正数即可通过测试

Champhoenix
关注
专栏目录
对StackOverFlow.exe的逆向栈溢出实验报告
EloflyS的博客
04-04 637
逆向工程第一次作业 对StackOverFlow.exe的逆向栈溢出渗透实验报告 一、StackOverFlow.exe简述 StackOverFlow.exe程序为用户提供了一个可以向内存键入数据的端口,本身是一个检验输入的数据与默认的数据是否一致的检测数据的程序,可是由于键入数据的过程程序并没有检测键入的字符串的长度,导致用户可以通过输入超出规定范围的字符串来恶意覆盖内存的一些数据,导致出现安全问题 下面是这个程序的C语言源代码 #include<stdio,h> #include&l
逆向栈溢出漏洞学习过程(一)通过字符串验证的简单程序分析
lanlanla的成长历程
01-08 3377
目录 前言: 1 准备程序 PS:翻车现场: 2 分析程序执行流程(栈溢出原理) 2.1 看代码忘记的知识补充一下: 2.1.1 主函数涉及的寄存器相关知识: 2.1.2 涉及到的指令 地址传送指令LEA PTR REP STOS int 3断 段超越指令前缀 2.2 main函数的初始化部分 2.3 scanf()函数部分 2.4 函数verify_pas...
windows堆栈溢出简易测试代码 逆向分析
weixin_30695195的博客
12-14 197
本文是对前面发的“windows堆栈溢出简易测试代码”里的代码进行逆向分析,还是逆向一下比较完善。工具:OD 1.main函数的反汇编代码 Code 100401120|55pushebp 200401121|.8BECmovebp,esp 300401123|.83EC40...
逆向工程-栈
crkres9527
01-15 476
为什么栈会逆增长 多数的栈是逆增长的,它会从高地址向低地址增长。 历史原因。当计算机尚未小型化的时候,它还有数个房间那么大。在那个时候,内存就分为两个部分,即"堆/heap"和栈/stack。当然,在程序执行过程,堆和栈到底会增长到什么地址并不好说,所以人们干脆把它们分开: 栈的用途 1)保存函数结束时的返回地址 x86 当程序使用call指令调用其他函数时,call指令结...
逆向分析-栈溢出原理与实践(修改邻接变量)
最新发布
weixin_57421069的博客
10-14 945
0day安全:软件漏洞分析技术,用非法超长密码去修改buffer的临界变量authenticated从而绕过密码验证程序
[逆向栈溢出]《0day安全:软件漏洞分析技术》2.3.2控制程序的执行流程 复现
天马行空
05-02 370
记录一下。 程序使用dev-cpp编译运行,注意要修改为32位debug,安装的ollydbg只能调试32位的应用程序。 C源代码,来自书上。多了两个头文件string.h和stdlib.h。 #include <stdio.h> #include <string.h> #include <stdlib.h> #define PASSWORD "1234...
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 962
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
C++缓冲区溢出实验
11-13
在编程领域,特别是系统安全和逆向工程,缓冲区溢出是一种常见的编程错误,它可能导致程序崩溃、数据丢失,甚至被恶意利用执行任意代码。C++作为一门静态类型的语言,由于其对内存管理的特性,也存在缓冲区溢出的...
seed缓冲区溢出实验报告1
08-03
《seed缓冲区溢出实验报告解析》 缓冲区溢出是一种常见的软件安全漏洞,它发生在程序尝试向固定大小的缓冲区内写入超过其容量的数据时。在这个实验,我们将深入理解这一概念,以及如何利用它来获取不同级别的权限...
简单实现栈溢出实验(IDA)
fightte的博客
10-10 6046
有关栈溢出的相关知识 最近学校讲到了栈溢出,并有一道很基础的题,在此可以记录一下,感兴趣的人可以了解了解
IDA逆向分析缓冲区溢出攻击漏洞实例.rar
03-12
很好的逆向分析的学习资料!!! https://blog.csdn.net/wlwdecs_dn/article/details/114708775
栈溢出实践
qq_44301170的博客
11-16 517
一、实验目的 完成栈溢出的两种情况:修改相邻变量和修改返回地址。 二、实验原理 在函数的栈帧,局部变量是顺序排列的,局部变量下面紧跟着的是前栈帧EBP及函数返回地址RET。如果这些局部变量为数组,由于存在越界的漏洞,那么越界的数组元素将会覆盖相邻的局部变量,甚至覆盖前栈帧EBP及函数返回地址RET,从而造成程序的异常。 三、实验过程 例3.2 1.将程序代码输入后进入调试界面,输入正确密码后查看EBP=0019fedc,往内存的地址寻找可以发现我们输入的密码41 42 43 44 45 2.前面步骤一样,
栈溢出实验
混子
04-11 1514
前言 由于不想做点鼠标的猴子,于是就自己尝试一下利用,结果拐弯就是一坑,这不是在踩坑的路上,就是在坑里摸爬滚打,太艰难了,幸亏有卓佬和晨佬指点,不然还在坑里 # 栈溢出原理 程序内存栈是从高地址往低地址分配内存的,正因如此,当程序在栈,某个变量写入的字节超过了这个变量本身所申请的字节数时,会改变其他相邻变量的值,轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。
数据结构学习(栈与队列:二(栈的典型应用(逆序输出)))
weixin_43723259的博客
07-26 1015
栈的典型应用 逆序输出 栈很适合解决了一类问题,这类问题的特点是:1.虽有明确的算法,但其解答却以线性序列的形式给出。2.无论是递归还是迭代实现,该序列都是以逆序计算输出的。3.输入和输出规模不确定,难以实现确定盛放输出数据的容器大小。 进制转换 进制转换就是一种逆序输出问题,现在要将十进制数进行其它进制的转换。比如要将十进制转换为二进制,首先将这个十进制的数除以2,然后得到一个商和一个余数,之后再将这个商除以2,得到新的商和一个余数,之后不断进行迭代,直至商为0,之后将得到的一个余数从后往前排列,这个得到
栈溢出的简单实验
weixin_43894468的博客
09-17 1349
实验用到first和first.c文件,first的代码如下,可以看到用于攻击的wuwu()函数是永远不会被调用执行的;但是gets()是一直读取输入的字符直到读取\n才停止,由于gets()没有读取长度的限制,可以通过读取超出规定长度的字符来修改栈帧的返回地址,从而达到攻击目的; 右键first,使用IDA打开,打开之后可以看到是这样的汇编指令,按Tab键可以看地址,空格可以看反编译代码; main()函数 wuwu()函数 进入运行vbox虚拟机,打开虚拟机后先挂载共享文件夹,挂载后才能使用共
缓冲区溢出(栈溢出实验 之 改变栈内的变量
大头的博客
07-25 2181
注:本文属于个人原创,错误处请各位指正 一、缓冲区溢出 百度百科“缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。” 在缓冲区填充超过变量所属内存的长度的字符,超出目标变量内存,可能导致程序出错或不可预知的结果。...
堆栈缓冲区溢出实验
yellow_fish_flag的博客
10-30 2688
实验堆栈缓冲区溢出实验 一、 实验目的  了解堆栈缓冲区溢出原理  掌握vc++6.0使用方法  熟悉堆栈缓冲区溢出防范常用的方法 二、 实验原理 堆栈的概念 堆栈是一个在计算机科学经常使用的抽象数据类型。堆栈的物体具有一个特性:最后一个放入堆栈的物体总是被最先拿出来,这个特性通常称为后进先处(LIFO)队列。堆栈定义了一些操作,两个最重要的是PUSH和POP。PUSH操作在堆栈的顶部加入一个元素。POP操作相反,在堆栈顶部移去一个元素,并将堆栈的大小减一。 堆栈缓冲区溢出原理 函数调用
内存跟踪___栈溢出
WUDAIJUN的博客
11-01 1664
实例: int main() {      char p[] ="123456";      char s[2];      strcpy(s, p);      cout      return 0; } 得到输出: 56 结果讨论:      关于栈:三个特性:      1. 函数栈内存以一个地址即四个字节对齐      2. 地址从高地址到低地址分配
逆向工程——缓冲区溢出(CSAPP Project)
weixin_34232617的博客
06-09 200
信息 = 位 + 上下文 CSAPP的开篇就明确地强调了这一点,而这次的缓冲区溢出的实验将这句话发挥到了极致。(实验文件见这里) 举个例子:菜刀可以用来切菜,也可以用来砍人。对于厨师菜刀就是切菜工具,对于罪犯就是杀人工具。这里的菜刀就是位,菜刀还是那把菜刀,但上下文(厨师、罪犯)不同了,那么信息(切菜、砍人)也就不同了。断章取义的理解一样事物必然不能看到全貌。 那么放在计算机里的解释就...
栈溢出利用详解:从原理到实战
实验的核心在于利用strcpy函数导致的栈溢出,通过修改返回地址,使得计算机执行自定义的shellcode代码。关键点包括函数返回时ESP+4的位置、64位系统user32.dll的使用以及寻找jmp esp指令来跳转到shellcode。实验...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值