雖然溢出在程序開發過程中不可完全避免，但溢出對系統的威脅是巨大的，由于系統的特殊性，溢出發生時攻擊者可以利用其漏洞來獲取系統的高級權限root，因此本文將詳細介紹堆棧溢出技術……

在您開始了解堆棧溢出前，首先你應該了解win32匯編語言，熟悉寄存器的組成和功能。你必須有堆棧和存儲分配方面的基礎知識，有關這方面的計算機書籍很多，我將只是簡單闡述原理，著重在應用。其次，你應該了解linux，本講中我們的例子將在linux上開發。

1、首先復習一下基礎知識。

從物理上講，堆棧是就是一段連續分配的內存空間。在一個程序中，會聲明各種變量。靜態全局變量是位于數據段并且在程序開始運行的時候被加載。而程序的動態的局部變量則分配在堆棧里面。

從操作上來講，堆棧是一個先入后出的隊列。他的生長方向與內存的生長方向正好相反。我們規定內存的生長方向為向上，則棧的生長方向為向下。壓棧的操作push=ESP-4，出棧的操作是pop=ESP+4.換句話說，堆棧中老的值，其內存地址，反而比新的值要大。請牢牢記住這一點，因為這是堆棧溢出的基本理論依據。

在一次函數調用中，堆棧中將被依次壓入：參數，返回地址，EBP。如果函數有局部變量，接下來，就在堆棧中開辟相應的空間以構造變量。函數執行結束，這些局部變量的內容將被丟失。但是不被清除。在函數返回的時候，彈出EBP，恢復堆棧到函數調用的地址,彈出返回地址到EIP以繼續執行程序。

在C語言程序中，參數的壓棧順序是反向的。比如func(a,b,c)。在參數入棧的時候，是：先壓c，再壓b,最后a。在取參數的時候，由于棧的先入后出，先取棧頂的a，再取b,最后取c。這些是匯編語言的基礎知識，用戶在開始前必須要了解這些知識。

2、現在我們來看一看什么是堆棧溢出。

運行時的堆棧分配

堆棧溢出就是不顧堆棧中數據塊大小，向該數據塊寫入了過多的數據，導致數據越界，結果覆蓋了老的堆棧數據。

例如程序一：

#includeintmain(){charname[8];printf("Pleasetypeyourname:");gets(name);printf("Hello,%s!",name);return0;}

編譯并且執行，我們輸入ipxodi,就會輸出Hello,ipxodi!。程序運行中，堆棧是怎么操作的呢?

在main函數開始運行的時候，堆棧里面將被依次放入返回地址，EBP。

我們用gcc -S 來獲得匯編語言輸出，可以看到main函數的開頭部分對應如下語句：

pushl%ebpmovl%esp,%ebpsubl$8,%esp

首先他把EBP保存下來，，然后EBP等于現在的ESP，這樣EBP就可以用來訪問本函數的局部變量。之后ESP減8，就是堆棧向上增長8個字節，用來存放name[]數組。最后，main返回，彈出ret里的地址，賦值給EIP，CPU繼續執行EIP所指向的指令。

堆棧溢出

現在我們再執行一次，輸入ipxodiAAAAAAAAAAAAAAA,執行完gets(name)之后，由于我們輸入的name字符串太長，name數組容納不下，只好向內存頂部繼續寫‘A’。由于堆棧的生長方向與內存的生長方向相反，這些‘A’覆蓋了堆棧的老的元素。 我們可以發現，EBP，ret都已經被‘A’覆蓋了。在main返回的時候，就會把‘AAAA’的ASCII碼：0x41414141作為返回地址，CPU會試圖執行0x41414141處的指令，結果出現錯誤。這就是一次堆棧溢出。

3、如何利用堆棧溢出

我們已經制造了一次堆棧溢出。其原理可以概括為：由于字符串處理函數(gets，strcpy等等)沒有對數組越界加以監視和限制，我們利用字符數組寫越界，覆蓋堆棧中的老元素的值，就可以修改返回地址。

在上面的例子中，這導致CPU去訪問一個不存在的指令，結果出錯。事實上，當堆棧溢出的時候，我們已經完全的控制了這個程序下一步的動作。如果我們用一個實際存在指令地址來覆蓋這個返回地址，CPU就會轉而執行我們的指令。

在UINX/linux系統中，我們的指令可以執行一個shell，這個shell將獲得和被我們堆棧溢出的程序相同的權限。如果這個程序是setuid的，那么我們就可以獲得root shell。下一講將敘述如何書寫一個shell code。

如何書寫一個shell code

一：shellcode基本算法分析

在程序中，執行一個shell的程序是這樣寫的：

shellcode.c------------------------------------------------------------------------#includevoidmain(){char*name[2];name[0]="/bin/sh"name[1]=NULL;execve(name[0],name,NULL);}------------------------------------------------------------------------

execve函數將執行一個程序。他需要程序的名字地址作為第一個參數。一個內容為該程序的argv[i](argv[n-1]=0)的指針數組作為第二個參數，以及(char*) 0作為第三個參數。

我們來看以看execve的匯編代碼：

[nkl10]$Content$nbsp;gcc-oshellcode-staticshellcode.c[nkl10]$Content$nbsp;gdbshellcode(gdb)disassemble__execveDumpofassemblercodeforfunction__execve:0x80002bc<__execve>:pushl%ebp;0x80002bd<__execve+1>:movl%esp,%ebp;上面是函數頭。0x80002bf<__execve+3>:pushl%ebx;保存ebx0x80002c0<__execve+4>:movl$0xb,%eax;eax=0xb，eax指明第幾號系統調用。0x80002c5<__execve+9>:movl0x8(%ebp),%ebx;ebp+8是第一個參數"/bin/sh 主站蜘蛛池模板： 亚洲综合色婷婷中文字幕 | 五月婷婷丁香在线观看 | 中国一级做a爰片久久毛片 中韩日欧美电影免费看 | 午夜刺激爽爽视频免费观看 | 美女黄18| 国产网红主播精品福利大秀专区 | 一级片视频在线观看 | yy6080理aa级伦大片一级 | 天堂-bt种子 | 97久久天天综合色天天综合色hd | 天堂资源在线官网bt | 二级黄绝大片中国免费视频0 | 日韩亚洲欧洲在线com91tv | 婷婷色在线 | 国产在线欧美精品卡通动漫 | 妖精视频亚洲 | 国产女人18毛片水真多18精品 | 国产精品美女久久久久网站 | 深爱五月激情五月 | 日本免费一区视频 | 在线播放91灌醉迷j高跟美女 | 性色视频在线观看 | 67pao强力打造 | 拍拍拍无挡视频免费全程1000 | 夜夜gan| 国产热re99久久6国产精品 | 国产精品久久在线观看 | 色婷婷电影 | 韩国朴银狐诱感在线观看 | 伊人网视频 | 国产精品亚洲色图 | 久久亚洲国产午夜精品理论片 | 色综合亚洲天天综合网站 | 国产小视频网站 | 精品成人在线观看 | 一级毛片看真人在线视频 | 美女被视频网站在线看九色 | 国产成人优优影院 | 一区二区中文字幕亚洲精品 | 欧美婷婷| 国产亚洲精品aa在线看 |