选择显示字体大小

windows 2000缓冲区溢出技术原理


  面向初学者的,进行详细分析的缓冲溢出入门文章还是很少(我还没有看到),所以我下决心写了这篇文章,从c的局部变量分配以及它和堆栈的关系、返回地址和堆栈的关系、局部变量和返回地址以及堆栈的关系开始写起,并在讲述完原理后进行简单的应用,使理论和应用相结合, 以给广大初学缓冲溢出的朋友一点小小的帮助,本文还是具有典型性的,通过本文的学习,可以让我们从一个普通的c程序员,了解到更加底层的技术,本文虽是面向初学者(指初学缓冲溢出,而不是初学c语言),作者假定你(读者)已经是一位熟练的c程序员,并且了解一些asm编程技术。我也是刚学缓冲区溢出不久,这是我第一次写溢出技术,所以难免有错误的地方,还请大家指正,在ipxodi和袁哥的文章中我学到了很多东西,但ipxodi和袁哥和文章比较深比较专业,初学者学习起来有些困难,特别我又是非计算机专业的(我和绿盟的小四哥一样是电脑会计专业的,向小四哥学习,呵呵!).在这里把我学习时的一点理解,一点经验介绍给大家,希望对广大学习缓冲溢出的朋友有所帮助!

  一、存储分配,局部内存变量,堆栈和函数调用

  1、首先写一个简单的c字符串拷贝程序

//test.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void overflow(void)
{
 char buf[10];
 strcpy(buf,"aaaaaaaaaa");

}//end overflow

int main(void)
{
 overflow();
 return 0;
}//end main

  2、按f11进入"step into"调试模式,其实只需要留意对我们研究和学习有用的汇编程序段,如下:

1: #include <stdio.h>
2: #include <stdlib.h>
3: #include <string.h>
4:
5: void overflow(void)
6: {
00401020 55 push ebp
00401021 8b ec mov ebp,esp
00401023 83 ec 4c sub esp,4ch
00401026 53 push ebx
00401027 56 push esi
00401028 57 push edi
00401029 8d 7d b4 lea edi,[ebp-4ch]
0040102c b9 13 00 00 00 mov ecx,13h
00401031 b8 cc cc cc cc mov eax,0cccccccch
00401036 f3 ab rep stos dword ptr [edi]
7: char buf[10];
8: strcpy(buf,"aaaaaaaaaa");
00401038 68 1c f0 41 00 push offset string "aaaaaaaaaa" (0041f01c)
0040103d 8d 45 f4 lea eax,[ebp-0ch]
00401040 50 push eax
00401041 e8 6a 00 00 00 call strcpy (004010b0)
00401046 83 c4 08 add esp,8
9:
10: }//end overflow
00401049 5f pop edi
0040104a 5e pop esi
0040104b 5b pop ebx
0040104c 83 c4 4c add esp,4ch
0040104f 3b ec cmp ebp,esp
00401051 e8 4a 01 00 00 call __chkesp (004011a0)
00401056 8b e5 mov esp,ebp
00401058 5d pop ebp
00401059 c3 ret
11:
12: int main(void)
13: {
00401070 55 push ebp
00401071 8b ec mov ebp,esp
00401073 83 ec 40 sub esp,40h
00401076 53 push ebx
00401077 56 push esi
00401078 57 push edi
00401079 8d 7d c0 lea edi,[ebp-40h]
0040107c b9 10 00 00 00 mov ecx,10h
00401081 b8 cc cc cc cc mov eax,0cccccccch
00401086 f3 ab rep stos dword ptr [edi]
14: overflow();
00401088 e8 7d ff ff ff call @ilt+5(overflow) (0040100a)
15: return 0;
0040108d 33 c0 xor eax,eax
16: }//end main
0040108f 5f pop edi
00401090 5e pop esi
00401091 5b pop ebx
00401092 83 c4 40 add esp,40h
00401095 3b ec cmp ebp,esp
00401097 e8 04 01 00 00 call __chkesp (004011a0)
0040109c 8b e5 mov esp,ebp
0040109e 5d pop ebp
0040109f c3 ret

  3、返回vstudio ide,在调用overflow函数处设置断点,再次选择"run"菜单项,这时程序在调用overflow前停止。(下面的学习你需要不断地翻看上面的asm程序段)现在看一下在调用overflow之前的几个需要注意的参数,把它们加入"watch"窗口。

esp 0x0012ff34(注意:这些值在不同的机器上运行时可能会不一样)
ebp 0x0012ff80
buf 变量尚未分配
overflow 0x00401020
main 0x00401070

  4、按f11跟踪进入overflow,让程序停在6:

  现在再看一下几个主要参数:

  esp=0x0012ff30,其它未变(指我们watch的几个标识符,这时eip一定是会变化的)很显然堆栈里压了一个dword(4字节)数据,看看它是什么,打开memory窗口,输入esp,右击窗口内容,选"long hex format",当前的堆栈顶内容0x0040108d,现在请看一下call overflow的下一行,如果找不到请从头搜索"15:"字符串,看到了吗!压入的是call overflow的下一指令地址,也就是我们通常说的"函数返回地址".

  再按f11(执行push ebp),再看一下几个主要参数

  esp=0x0012ff2c,现在堆栈顶中是ebp的值0x0012ff80,

  再按f11(执行下面的语句),程序将当前esp值保存在ebp中: mov ebp,esp

  然后就开始分配局部变量了

  sub esp,4ch;分配了76(0x4c)个字节这个地方我不太清楚为什么始终要保留64(0x40)个字节,其实只有12(0x0c)字节可用,随后的7句指令:

00401026 53 push ebx
00401027 56 push esi
00401028 57 push edi
00401029 8d 7d b4 lea edi,[ebp-4ch]
0040102c b9 13 00 00 00 mov ecx,13h
00401031 b8 cc cc cc cc mov eax,0cccccccch
00401036 f3 ab rep stos dword ptr [edi]

  将这76个字节以dword(4)为单位填充为0xcccccccc,共填充76/4=19(0x13)次让我们在执行完rep stos dword ptr [edi]时先停下来.在watch窗口里加入eip和一个表达式"ebp-0ch",会发现在"ebp-0ch"和buf的地址一样,这就是编译程序在堆栈中为我们分配的局部内存变量的起始地址(如果你懂编译原理,这里很容易理解),在memory窗口里输入ebp-0ch(变量起始地址),右击窗口选"byte format",可以看到里面有12个字节是被0xcc填充过的.

  好!现在跟踪执行完call strcpy,再看看memory窗口的内容,有11个字节被填充,前10个填充为0x61即ascii字符'a',后一个字节为0这验证了c字符串操作函数总是产生一个空终止字符。

  再往下看,右击选"long hex format"看到它们分别是 0x0012ff80和0x0040108d,什么?有点熟?对啊!我也觉得有点面熟,为什么呢?请回头看一下第4小节的开始部分,找到答案了?对!是"老的ebp"和"函数返回地址",继续跟踪将执行以下几个动作,恢复主要寄存器内容,add esp 4ch销毁了局部内存变量恢复老的ebp(这时堆栈顶的内容为0x0040108d),再ret返回(其实ret相当于执行了一次"pop eip",但并没有这样的指令)执行完这条指令后eip的内容变为0x0040108d,这时已经回到了主函数中,在主函数中将执行几乎同样的动作,最后完成程序执行。

  有人可能会问overflow需要回到main所以用了一个ret,可是main中的ret是做什么用的呢?其实初学者可能并不知道我们的c程序编译后程序的空间结构(简化后的)是这么一个样子的.

----------------------------------
//程序入口点(program entry point)
.
.
.
call _main
push eax
call _exitprocess
.
----------------------------------
//void overflow(void)
push ebp
.
.
.
call _strcpy
.
.
.
ret
----------------------------------
//int main(void)
push ebp
.
.
.
call _overflow
.
.
.
ret
----------------------------------

  overflow中的ret让程序回到main,而main中的ret是为了回到入口点那段程序,以返回操作系统

  小结:

  在这一部分里我们学习到了一些为理解缓冲区溢出打基础的东西,如局部内存变量是如何分配的,它于堆栈的关系以及函数调用、函数返回地址与堆栈的关系,把这些东西搞懂了以后我们可以进行一些简单的应用,出于学习原理的目的,接下来我们将用缓冲溢出来实现一个命令控制台窗口(cmd.exe)。


 


关键字 本文所属关键字

相关 与本文相关文章

分类 所有文章关键字导航

源码编程相关

Java   Asp   PHP   .Net   XML   C/C++   CGI   VB   Jsp   J2ee   J2se   J2me   EJB   Servlet   Tomcat   Resin   Struts   Weblogic   Eclipse   ANT   GUI   JMS   Web servise   IDEA   Webphere   Hibernate   Spring   Jboss   Applet   Swing   Socket   Javamail   Perl   Ajax   P2P   安全   模式   框架   测试   开源   游戏

SQL数据库相关

My-SQL   Ms-SQL   Access   DB2   Oracle   Sybase   SQLserver   索引   存储过程   加密   数据库   分页   视图  

手机无线相关

3G   Wap   CDMA   GRPS   GSM   IVR   彩信   短信   无线   增值业务

网页设计制作相关

HTML   CSS   网页配色   网页特效   Javascript   VBscript   Dreamweaver   Frontpage   JS   Web   网站设计

网站建设推广相关

建站经验   网站优化   网站排名   推广   Alexa

操作系统/服务器相关

Windows XP   Windows 2000   Windows 2003   Windows Me   Windows 9.x   Linux   UNIX   注册表   操作系统   服务器   应用服务器

图形图像多媒体相关

Photoshop   Fireworks   Flash   Coreldraw   Illustrator   Freehand   Photoimpact   多媒体   图形图像

标准 网站致力的规范

Valid CSS!

无不良内容,无不良广告,无恶意代码

Valid XHTML 1.0 Transitional

creativecommons