[轉] 簡述堆棧溢出攻擊

摘自: http://blog.csdn.net/chenlycly/article/details/37912755

預備知識：

從物理上講，堆棧是就是一段連續分配的內存空間。在一個程序中，會聲明各類變量。靜態全局變量是位於數據段而且在程序開始運行的時候被加載。而程序的動態的局部變量則分配在堆棧裏面。

從操做上來說，堆棧是一個先入後出的隊列。他的生長方向與內存的生長方向正好相反。咱們規定內存的生長方向爲向上，則棧的生長方向爲向下。壓棧的操做push＝ESP－4，出棧的操做是pop=ESP+4.換句話說，堆棧中老的值，其內存地址，反而比新的值要大。請緊緊記住這一點，由於這是堆棧溢出的基本理論依據。

在一次函數調用中，堆棧中將被依次壓入：參數，返回地址，EBP。若是函數有局部變量，接下來，就在堆棧中開闢相應的空間以構造變量。函數執行結束，這些局部變量的內容將被丟失。可是不被清除。在函數返回的時候，彈出EBP，恢復堆棧到函數調用的地址,彈出返回地址到EIP以繼續執行程序。

在C語言程序中，參數的壓棧順序是反向的。好比func（a,b,c)。在參數入棧的時候，是：先壓c，再壓b,最後壓a.在取參數的時候，因爲棧的先入後出，先取棧頂的a，再取b,最後取c。（PS:若是你看不懂上面這段概述，請你去看以看關於堆棧的書籍，通常的彙編語言書籍都會詳細的討論堆棧，必須弄懂它，你才能進行下面的學習）

堆棧溢出原理

好了，繼續,讓咱們來看一看什麼是堆棧溢出。

運行時的堆棧分配

堆棧溢出就是不顧堆棧中分配的局部數據塊大小，向該數據塊寫入了過多的數據，致使數據越界。結果覆蓋了老的堆棧數據。

好比有下面一段程序：

程序一：

#include
int main( ) {
    char name[8];
    printf("Please type your name: ");
    gets(name);
    printf("Hello, %s!", name);
    return 0;
}

編譯而且執行，咱們輸入ipxodi,就會輸出Hello,ipxodi!。程序運行中，堆棧是怎麼操做的呢？

在main函數開始運行的時候，堆棧裏面將被依次放入返回地址，EBP。
咱們用gcc -S 來得到彙編語言輸出，能夠看到main函數的開頭部分對應以下語句：

pushl %ebp
movl %esp,%ebp
subl $8,%esp

首先他把EBP保存下來，，而後EBP等於如今的ESP，這樣EBP就能夠用來訪問本函數的局部變量。以後ESP減8，就是堆棧向上增加8個字節，用來存放name[]數組。如今堆棧的佈局以下：

內存底部 內存頂部
name EBP ret
<------ [ ][ ][ ]
^&name
堆棧頂部 堆棧底部

執行完gets(name)以後，堆棧以下：

內存底部 內存頂部
name EBP ret
<------ [ipxodi/0 ][ ][ ]
^&name
堆棧頂部 堆棧底部

最後，main返回，彈出ret裏的地址，賦值給EIP，CPU繼續執行EIP所指向的指令。

堆棧溢出

好，看起來一切順利。咱們再執行一次，輸入ipxodiAAAAAAAAAAAAAAA,執行完gets(name)以後，堆棧以下：

內存底部 內存頂部
name EBP ret
<------ [ipxodiAA][AAAA][AAAA].......
^&name
堆棧頂部 堆棧底部

因爲咱們輸入的name字符串太長，name數組容納不下，只好向內存頂部繼續寫‘A’。因爲堆棧的生長方向與內存的生長方向相反，這些‘A’覆蓋了堆棧的老的元素。如圖咱們能夠發現，EBP，ret都已經被‘A’覆蓋了。在main返回的時候，就會把‘AAAA’的ASCII碼：0x41414141做爲返回地址，CPU會試圖執行0x41414141處的指令，結果出現錯誤。這就是一次堆棧溢出。

如何利用堆棧溢出

咱們已經制造了一次堆棧溢出。其原理能夠歸納爲：因爲字符串處理函數（gets，strcpy等等）沒有對數組越界加以監視和限制，咱們利用字符數組寫越界，覆蓋堆棧中的老元素的值，就能夠修改返回地址。

在上面的例子中，這致使CPU去訪問一個不存在的指令，結果出錯。

事實上，當堆棧溢出的時候，咱們已經徹底的控制了這個程序下一步的動做。若是咱們用一個實際存在指令地址來覆蓋這個返回地址，CPU就會轉而執行咱們的指令。

在UINX系統中，咱們的指令能夠執行一個shell，這個shell將得到和被咱們堆棧溢出的程序相同的權限。若是這個程序是setuid的，那麼咱們就能夠得到root shell。