緩沖區(qū)溢出技術(shù)

1、緩沖區(qū)溢出技術(shù)1堆棧2從物理上講，堆棧是就是一段連續(xù)分配的內(nèi)存空間靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開(kāi)始運(yùn)行的時(shí)候被加載動(dòng)態(tài)的局部變量 則分配在堆棧里面從操作上來(lái)講，堆棧是一個(gè)先入后出的隊(duì)列，其生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向正好相反3我們規(guī)定內(nèi)存的生長(zhǎng)方向?yàn)橄蛏?，則棧的生長(zhǎng)方向?yàn)橄蛳聣簵５牟僮鱬ushESP-4 出棧的操作是pop=ESP+44在一次函數(shù)調(diào)用中，堆棧中將被依次壓入：參數(shù)，返回地址，EBP如果函數(shù)有局部變量，接下來(lái)，就在堆棧中開(kāi)辟相應(yīng)的空間以構(gòu)造變量函數(shù)執(zhí)行結(jié)束，這些局部變量的內(nèi)容將 被丟失。但是不被清除在函數(shù)返回的時(shí)候，彈出EBP，恢復(fù)堆棧到函數(shù)調(diào)用的地址，彈出返回地址到EIP以繼續(xù)

2、執(zhí)行程序5在C語(yǔ)言程序中，參數(shù)的壓棧順序是反向的：比如func（a,b,c)。在參數(shù)入棧的時(shí)候，是先壓c，再壓b，最后壓a在取參數(shù)的時(shí)候，由于棧的先入后出，先取棧頂?shù)腶，再取b，最后取c6運(yùn)行時(shí)的堆棧分配 7我們用gcc -S 來(lái)獲得匯編語(yǔ)言輸出，可以看到main函數(shù)的開(kāi)頭部分對(duì)應(yīng)如下語(yǔ)句： pushl %ebp movl %esp,%ebp subl $8,%esp 首先把EBP保存下來(lái)，然后EBP等于現(xiàn)在的ESP，這樣EBP就可以用來(lái)訪問(wèn)本函數(shù)的 局部變量之后ESP減8，就是堆棧向上增長(zhǎng)8個(gè)字節(jié)，用來(lái)存放name數(shù)組?，F(xiàn)在堆棧 的布局如下： 8之后ESP減8，就是堆棧向上增長(zhǎng)8個(gè)字節(jié)，用來(lái)

3、存放name數(shù)組?，F(xiàn)在堆棧 的布局如下： 9由于我們輸入的name字符串太長(zhǎng)，name數(shù)組容納不下，只好向內(nèi)存頂部繼續(xù)寫(xiě)A 由于堆棧的生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向相反，這些A覆蓋了堆棧的老的元素EBP，ret都已經(jīng)被A覆蓋了在main返回的時(shí)候，就會(huì)把 AAAA 的ASCII碼：0 x41414141作為返回地址，CPU會(huì)試圖執(zhí)行0 x41414141處的指令，結(jié)果出現(xiàn)錯(cuò)誤，這就是一次堆棧溢出 10Shellcode的編寫(xiě)11Shellcode.c#include void main() char *name2; name0 = /bin/sh; name1 = NULL; execve(name

4、0, name, NULL); 12execve( )execve函數(shù)將執(zhí)行一個(gè)程序程序的名字地址作為第一個(gè)參數(shù)一個(gè)內(nèi)容為該程序的argvi（argvn-1=0)的指針數(shù)組作為第二個(gè)參數(shù)(char*) 0作為第三個(gè)參數(shù)13execve的匯編代碼 $ gcc -o shellcode -static shellcode.c $ gdb shellcode (gdb) disassemble _execve Dump of assembler code for function _execve: 14如何精簡(jiǎn)？經(jīng)過(guò)以上的分析，可以得到如下的精簡(jiǎn)指令算法： movl $execve的系統(tǒng)調(diào)用號(hào),%e

5、ax movl bin/sh0的地址,%ebx movl name數(shù)組的地址,%ecx movl namen-1的地址,%edx int $0 x80 ;執(zhí)行系統(tǒng)調(diào)用(execve) 15問(wèn)題當(dāng)execve執(zhí)行成功后，程序shellcode就會(huì)退出，/bin/sh將作為子進(jìn)程繼續(xù)執(zhí)行如果execve執(zhí)行失敗，（比如沒(méi)有/bin/sh這個(gè)文件），CPU就會(huì)繼續(xù)執(zhí)行后續(xù)的 指令，結(jié)果不知道跑到哪里去了所以必須再執(zhí)行一個(gè)exit（）系統(tǒng)調(diào)用， 結(jié)束shellcode.c的執(zhí)行16exit(0)匯編代碼17exit(0) 的匯編代碼精簡(jiǎn) movl $0 x1,%eax ;1號(hào)系統(tǒng)調(diào)用 movl 0,%

6、ebx ;ebx為exit的參數(shù)0 int $0 x80 ;引發(fā)系統(tǒng)調(diào)用 18execve + exitmovl $execve的系統(tǒng)調(diào)用號(hào), %eax movl “bin/sh0”的地址, %ebx movl name數(shù)組的地址, %ecx movl namen-1的地址, %edx int $0 x80 ;執(zhí)行系統(tǒng)調(diào)用(execve) movl $0 x1,%eax ;1號(hào)系統(tǒng)調(diào)用 movl 0,%ebx ;ebx為exit的參數(shù)0 int $0 x80 ;執(zhí)行系統(tǒng)調(diào)用(exit) 19萬(wàn)事具備，還欠什么？字符串“/bin/sh” name數(shù)組 execve + exit問(wèn)題 每一次程序都

7、是動(dòng)態(tài)加載，字符串和name數(shù)組的地址都不是固定的在shellcode中如何知道它們的地址呢？20jmp + call21在large_string中填入buffer的地址22把shell代碼放到large_string 的前面部分23將large_string拷貝到buffer中24造成溢出，使返回地址變?yōu)閎uffer，而buffer的內(nèi)容為shell代碼。這樣當(dāng)程序試從strcpy() 中返回時(shí)，就會(huì)轉(zhuǎn)而執(zhí)行shell25如何利用別人的漏洞26利用別人的程序的堆棧溢出獲得rootshell以一個(gè)有strcpy堆棧溢出漏洞的程序，利用前面說(shuō)過(guò)的方法來(lái)得到shell同樣必須完成兩件事 把自己的

8、shellcode提供給對(duì)方，讓對(duì)方可以訪問(wèn)shellcode修改對(duì)方的返回地址為shellcode的入口地址27How 必須知道strcpy（buffer,ourshellcode中，buffer的地址因?yàn)楫?dāng)我們把shellcode提供給strcpy之后，buffer的開(kāi)始地址就是shellcode的 開(kāi)始地址 必須用這個(gè)地址來(lái)覆蓋堆棧28How 對(duì)于操作系統(tǒng)而言，一個(gè)shell下的每一個(gè)程序的堆棧段開(kāi)始地址都是相同的 可以寫(xiě)一個(gè)程序，獲得運(yùn)行時(shí)的堆棧起始地址，這樣，我們就知道了目標(biāo)程序堆棧的開(kāi)始地址29下面這個(gè)函數(shù)，用eax返回當(dāng)前程序的堆棧指針。（所有C函數(shù)的返回值都放在eax寄存器 里面） -unsigned long get_sp(void) _asm_(movl %esp,%eax); -30猜？我們?cè)谥懒硕褩ｉ_(kāi)始地址后，buffer相對(duì)于堆棧開(kāi)始地址的偏移，是程序員自己寫(xiě)出來(lái)的程序決定的，我們不知道，只能靠猜測(cè)了不過(guò)，一般的程序堆棧大約是幾K 左右。所以，這個(gè)buffer與上面得到的堆棧地址，相差就在幾K之間 顯然猜地址這是一件很難的事情010K31前面我們用