在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

關于堆棧溢出技術你知道多少?

傳感器技術 ? 來源:電子發燒友網 ? 作者:工程師譚軍 ? 2018-07-04 16:42 ? 次閱讀

雖然溢出在程序開發過程中不可完全避免,但溢出對系統的威脅是巨大的,由于系統的特殊性,溢出發生時攻擊者可以利用其漏洞來獲取系統的高級權限root,因此本文將詳細介紹堆棧溢出技術……

在您開始了解堆棧溢出前,首先你應該了解win32匯編語言,熟悉寄存器的組成和功能。你必須有堆棧和存儲分配方面的基礎知識,有關這方面的計算機書籍很多,我將只是簡單闡述原理,著重在應用。其次,你應該了解linux,本講中我們的例子將在linux上開發。

1、首先復習一下基礎知識。

從物理上講,堆棧是就是一段連續分配的內存空間。在一個程序中,會聲明各種變量。靜態全局變量是位于數據段并且在程序開始運行的時候被加載。而程序的動態的局部變量則分配在堆棧里面。

從操作上來講,堆棧是一個先入后出的隊列。他的生長方向與內存的生長方向正好相反。我們規定內存的生長方向為向上,則棧的生長方向為向下。壓棧的操作push=ESP-4,出棧的操作是pop=ESP+4.換句話說,堆棧中老的值,其內存地址,反而比新的值要大。請牢牢記住這一點,因為這是堆棧溢出的基本理論依據。

在一次函數調用中,堆棧中將被依次壓入:參數,返回地址,EBP。如果函數有局部變量,接下來,就在堆棧中開辟相應的空間以構造變量。函數執行結束,這些局部變量的內容將被丟失。但是不被清除。在函數返回的時候,彈出EBP,恢復堆棧到函數調用的地址,彈出返回地址到EIP以繼續執行程序。

C語言程序中,參數的壓棧順序是反向的。比如func(a,b,c)。在參數入棧的時候,是:先壓c,再壓b,最后a。在取參數的時候,由于棧的先入后出,先取棧頂的a,再取b,最后取c。這些是匯編語言的基礎知識,用戶在開始前必須要了解這些知識。

2、現在我們來看一看什么是堆棧溢出。

運行時的堆棧分配

堆棧溢出就是不顧堆棧中數據塊大小,向該數據塊寫入了過多的數據,導致數據越界,結果覆蓋了老的堆棧數據。

例如程序一:

#includeintmain(){charname[8];printf("Pleasetypeyourname:");gets(name);printf("Hello,%s!",name);return0;}

編譯并且執行,我們輸入ipxodi,就會輸出Hello,ipxodi!。程序運行中,堆棧是怎么操作的呢?

在main函數開始運行的時候,堆棧里面將被依次放入返回地址,EBP。

我們用gcc -S 來獲得匯編語言輸出,可以看到main函數的開頭部分對應如下語句:

pushl%ebpmovl%esp,%ebpsubl$8,%esp

首先他把EBP保存下來,,然后EBP等于現在的ESP,這樣EBP就可以用來訪問本函數的局部變量。之后ESP減8,就是堆棧向上增長8個字節,用來存放name[]數組。最后,main返回,彈出ret里的地址,賦值給EIP,CPU繼續執行EIP所指向的指令。

堆棧溢出

現在我們再執行一次,輸入ipxodiAAAAAAAAAAAAAAA,執行完gets(name)之后,由于我們輸入的name字符串太長,name數組容納不下,只好向內存頂部繼續寫‘A’。由于堆棧的生長方向與內存的生長方向相反,這些‘A’覆蓋了堆棧的老的元素。 我們可以發現,EBP,ret都已經被‘A’覆蓋了。在main返回的時候,就會把‘AAAA’的ASCII碼:0x41414141作為返回地址,CPU會試圖執行0x41414141處的指令,結果出現錯誤。這就是一次堆棧溢出。

3、如何利用堆棧溢出

我們已經制造了一次堆棧溢出。其原理可以概括為:由于字符串處理函數(gets,strcpy等等)沒有對數組越界加以監視和限制,我們利用字符數組寫越界,覆蓋堆棧中的老元素的值,就可以修改返回地址。

在上面的例子中,這導致CPU去訪問一個不存在的指令,結果出錯。事實上,當堆棧溢出的時候,我們已經完全的控制了這個程序下一步的動作。如果我們用一個實際存在指令地址來覆蓋這個返回地址,CPU就會轉而執行我們的指令。

在UINX/linux系統中,我們的指令可以執行一個shell,這個shell將獲得和被我們堆棧溢出的程序相同的權限。如果這個程序是setuid的,那么我們就可以獲得root shell。下一講將敘述如何書寫一個shell code。

如何書寫一個shell code

一:shellcode基本算法分析

在程序中,執行一個shell的程序是這樣寫的:

shellcode.c------------------------------------------------------------------------#includevoidmain(){char*name[2];name[0]="/bin/sh"name[1]=NULL;execve(name[0],name,NULL);}------------------------------------------------------------------------

execve函數將執行一個程序。他需要程序的名字地址作為第一個參數。一個內容為該程序的argv[i](argv[n-1]=0)的指針數組作為第二個參數,以及(char*) 0作為第三個參數。

我們來看以看execve的匯編代碼:

[nkl10]$Content$nbsp;gcc-oshellcode-staticshellcode.c[nkl10]$Content$nbsp;gdbshellcode(gdb)disassemble__execveDumpofassemblercodeforfunction__execve:0x80002bc<__execve>:pushl%ebp;0x80002bd<__execve+1>:movl%esp,%ebp;上面是函數頭。0x80002bf<__execve+3>:pushl%ebx;保存ebx0x80002c0<__execve+4>:movl$0xb,%eax;eax=0xb,eax指明第幾號系統調用。0x80002c5<__execve+9>:movl0x8(%ebp),%ebx;ebp+8是第一個參數"/bin/sh\0"0x80002c8<__execve+12>:movl0xc(%ebp),%ecx;ebp+12是第二個參數name數組的地址0x80002cb<__execve+15>:movl0x10(%ebp),%edx;ebp+16是第三個參數空指針的地址。;name[2-1]內容為NULL,用來存放返回值。0x80002ce<__execve+18>:int$0x80;執行0xb號系統調用(execve)0x80002d0<__execve+20>:movl%eax,%edx;下面是返回值的處理就沒有用了。0x80002d2<__execve+22>:testl%edx,%edx0x80002d4<__execve+24>:jnl0x80002e6<__execve+42>0x80002d6<__execve+26>:negl%edx0x80002d8<__execve+28>:pushl%edx0x80002d9<__execve+29>:call0x8001a34<__normal_errno_location>0x80002de<__execve+34>:popl%edx0x80002df<__execve+35>:movl%edx,(%eax)0x80002e1<__execve+37>:movl$0xffffffff,%eax0x80002e6<__execve+42>:popl%ebx0x80002e7<__execve+43>:movl%ebp,%esp0x80002e9<__execve+45>:popl%ebp0x80002ea<__execve+46>:ret0x80002eb<__execve+47>:nopEndofassemblerdump.

經過以上的分析,可以得到如下的精簡指令算法:

movl$execve的系統調用號,%eax

movl"bin/sh\0"的地址,%ebxmovlname數組的地址,%ecxmovlname[n-1]的地址,%edxint$0x80;執行系統調用(execve)

當execve執行成功后,程序shellcode就會退出,/bin/sh將作為子進程繼續執行。可是,如果我們的execve執行失敗,(比如沒有/bin/sh這個文件),CPU就會繼續執行后續的指令,結果不知道跑到哪里去了。所以必須再執行一個exit()系統調用,結束shellcode.c的執行。

我們來看以看exit(0)的匯編代碼:

(gdb)disassemble_exitDumpofassemblercodeforfunction_exit:0x800034c<_exit>:pushl%ebp0x800034d<_exit+1>:movl%esp,%ebp0x800034f<_exit+3>:pushl%ebx0x8000350<_exit+4>:movl$0x1,%eax;1號系統調用0x8000355<_exit+9>:movl0x8(%ebp),%ebx;ebx為參數00x8000358<_exit+12>:int$0x80;引發系統調用0x800035a<_exit+14>:movl0xfffffffc(%ebp),%ebx0x800035d<_exit+17>:movl%ebp,%esp0x800035f<_exit+19>:popl%ebp0x8000360<_exit+20>:ret0x8000361<_exit+21>:nop0x8000362<_exit+22>:nop0x8000363<_exit+23>:nopEndofassemblerdump.

看來exit(0)〕的匯編代碼更加簡單:

movl$0x1,%eax;1號系統調用movl0,%ebx;ebx為exit的參數0int$0x80;引發系統調用

那么總結一下,合成的匯編代碼為:

movl$execve的系統調用號,%eax

movl"bin/sh\0"的地址,%ebxmovlname數組的地址,%ecxmovlname[n-1]的地址,%edxint$0x80;執行系統調用(execve)movl$0x1,%eax;1號系統調用movl0,%ebx;ebx為exit的參數0int$0x80;執行系統調用(exit)

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 堆棧
    +關注

    關注

    0

    文章

    182

    瀏覽量

    19994
  • 堆棧溢出
    +關注

    關注

    0

    文章

    9

    瀏覽量

    7981

原文標題:堆棧溢出技術從入門到精通

文章出處:【微信號:WW_CGQJS,微信公眾號:傳感器技術】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    Embedded Studio堆棧溢出預防功能

    為了識別運行的嵌入式系統中的堆棧溢出問題,SEGGER編譯器通過為每個函數生成檢測代碼的方式來檢查堆棧溢出。該功能可以使用命令行開關-mstack-overflow-check來使能。
    發表于 07-14 11:08 ?753次閱讀

    什么是堆棧溢出?如何分配堆棧空間大小?

    前些日子bug交流群里的小哥調試了一個堆棧溢出的bug,動不動數據就被篡改了,應該也是搞得焦頭爛額,頭皮發麻!當時bug菌看了下,于是拋出了自己的一些調試經驗,一般這樣的問題80%是越界和堆棧
    的頭像 發表于 11-08 09:52 ?5568次閱讀
    什么是<b class='flag-5'>堆棧</b><b class='flag-5'>溢出</b>?如何分配<b class='flag-5'>堆棧</b>空間大小?

    TLE9893如何配置堆棧溢出檢測?

    我需要了解如何配置堆棧溢出檢測。 我從 TLE9893 用戶手冊中收集到的 需要啟用用戶堆棧溢出保護 (USOP), 需要通過上限和下限 DSRAM 地址來建立所謂的保護頻段。 我
    發表于 01-19 06:11

    freertos中的堆棧溢出

    ,所有的任務都運行良好,但經過一段時間后,VApvestStCuffFuffHooCo()發生了,即堆棧溢出,有可能錯誤地處理內存嗎?謝謝您。 以上來自于百度翻譯 以下為原文 Hello,I'm
    發表于 03-06 15:00

    了解堆棧分配避免堆棧溢出環境

    一、通過map文件了解堆棧分配(STM32、MDK5)--避免堆棧溢出環境:STM32F103C8T6,MDK5在最近的一個項目的開發中,每當調用到一個函數,程序就直接跑飛。debug跟進去
    發表于 08-24 07:26

    FreeRTOS中的任務堆棧溢出檢測機制

    在FreeRTOS中,每個任務都擁有自己的堆棧,該堆棧的大小由創建任務時xTaskCreate函數的函數參數所決定。但當任務所使用的堆棧空間超出分配給它的空間時,則會發生堆棧
    發表于 10-15 13:51

    MSP430 C語言編程的程序堆棧溢出分析

    MSP430 C語言編程的程序堆棧溢出分析
    發表于 05-16 15:04 ?40次下載

    網絡安全中的堆棧溢出技術解析

    網絡安全日益為人們所重視,其關鍵就是緩沖溢出問題,幾乎所有的操作系統都避免不了緩沖溢出漏洞的威脅。網絡安全中的堆棧溢出技術是一種含量較高的計
    發表于 08-26 10:46 ?14次下載

    堆棧溢出怎么解決方式

     堆棧是一個在計算機科學中經常使用的抽象數據類型。堆棧中的物體具有一個特性: 最后一個放入堆棧中的物體總是被最先拿出來, 這個特性通常稱為后進先出(LIFO)隊列。 堆棧中定義了一些操
    發表于 11-28 11:16 ?3w次閱讀
    <b class='flag-5'>堆棧</b><b class='flag-5'>溢出</b>怎么解決方式

    cad堆棧溢出的原因及解決方式

    近期有用戶反饋在打開AutoCad 2007的時候頻繁出現卡死的情況,并提示還提示0x00000FD堆棧溢出,重啟電腦和重裝軟件都無法解決。針對該問題小編整理了一些方法供大家參考。
    發表于 11-28 14:19 ?2.8w次閱讀
    cad<b class='flag-5'>堆棧</b><b class='flag-5'>溢出</b>的原因及解決方式

    堆棧溢出技術從入門到精通

    雖然溢出在程序開發過程中不可完全避免,但溢出對系統的威脅是巨大的,由于系統的特殊性,溢出發生時攻擊者可以利用其漏洞來獲取系統的高級權限root
    的頭像 發表于 05-03 14:18 ?2807次閱讀
    <b class='flag-5'>堆棧</b><b class='flag-5'>溢出</b><b class='flag-5'>技術</b>從入門到精通

    STM32 堆棧溢出檢測

    釋放,存放函數調用,局部變量等數據。堆heap用于動態內存分配。堆棧可以在啟動文件或者鏈接腳本中指定大小,但在實際開發中,尤其工程量較大的項目中難以確定堆棧使用量,容易造成堆棧溢出,造
    發表于 12-27 18:32 ?22次下載
    STM32 <b class='flag-5'>堆棧</b><b class='flag-5'>溢出</b>檢測

    Embedded Studio堆棧溢出預防簡析

    為了識別運行的嵌入式系統中的堆棧溢出問題,SEGGER編譯器通過為每個函數生成檢測代碼的方式來檢查堆棧溢出
    的頭像 發表于 07-14 11:07 ?1135次閱讀

    堆棧和內存的基本知識

    本文主要聊聊關于堆棧的內容。包括堆棧和內存的基本知識。常見和堆棧相關的 bug,如棧溢出,內存泄漏,堆內存分配失敗等。后面介紹軟件中
    的頭像 發表于 08-29 14:10 ?806次閱讀
    <b class='flag-5'>堆棧</b>和內存的基本知識

    TMS320C28x DSP上的在線堆棧溢出檢測

    電子發燒友網站提供《TMS320C28x DSP上的在線堆棧溢出檢測.pdf》資料免費下載
    發表于 10-18 11:16 ?1次下載
    TMS320C28x DSP上的在線<b class='flag-5'>堆棧</b><b class='flag-5'>溢出</b>檢測
    主站蜘蛛池模板: 亚洲春色在线 | 深爱五月网 | 经典三级一区在线播放 | 美女免费观看一区二区三区 | 一级特黄aa大片免费 | 欧美性极品高清 | 国产一级特黄特色aa毛片 | 黄色视网站 | 99热色| 日本特级视频 | 午夜免费视频网站 | 色偷偷88欧美精品久久久 | 九九热九九 | 午夜性影院| 夜夜摸视频网 | 久操精品在线观看 | 国产在线播放成人免费 | 久操操| 四虎免费影院4hu永久免费 | 中文字幕色网站 | 在线人成精品免费视频 | 国产精品久久久久影视不卡 | 国产日本久久久久久久久婷婷 | 萌白酱白丝护士服喷水铁牛tv | 天天草天天爽 | 久久久午夜精品理论片 | 宅男666在线永久免费观看 | 老头天天吃我奶躁我的动图 | 国产精品福利午夜h视频 | 国产亚洲一区二区三区啪 | 国产在线欧美精品卡通动漫 | 久久亚洲欧美成人精品 | 亚洲欧美日本视频 | 欧美三级色图 | 18满xo影院视频免费体验区 | 俺去啦网婷婷 | 97夜夜澡人人爽人人喊一欧美 | 亚洲国产成人精彩精品 | 欧美黄又粗暴一进一出抽搐 | 国产小视频在线高清播放 | 午夜影皖 |