在您開始瞭解堆棧溢出前,首先你應該瞭解win32彙編語言,熟悉寄存器的組成和功能。你必須有堆棧和存儲分配方面的基礎知識,有關這方面的計算機書籍不少,我將只是簡單闡述原理,着重在應用。其次,你應該瞭解linux,本講中咱們的例子將在linux上開發。 算法
一、首先複習一下基礎知識。 shell
從物理上講,堆棧是就是一段連續分配的內存空間。在一個程序中,會聲明各類變量。靜態全局變量是位於數據段而且在程序開始運行的時候被加載。而程序的動態的局部變量則分配在堆棧裏面。 數組
從操做上來說,堆棧是一個先入後出的隊列。他的生長方向與內存的生長方向正好相反。咱們規定內存的生長方向爲向上,則棧的生長方向爲向下。壓棧的操做push=ESP-4,出棧的操做是pop=ESP+4.換句話說,堆棧中老的值,其內存地址,反而比新的值要大。請緊緊記住這一點,由於這是堆棧溢出的基本理論依據。 sass
在一次函數調用中,堆棧中將被依次壓入:參數,返回地址,EBP。若是函數有局部變量,接下來,就在堆棧中開闢相應的空間以構造變量。函數執行結束,這些局部變量的內容將被丟失。可是不被清除。在函數返回的時候,彈出EBP,恢復堆棧到函數調用的地址,彈出返回地址到EIP以繼續執行程序。 函數
在C語言程序中,參數的壓棧順序是反向的。好比func(a,b,c)。在參數入棧的時候,是:先壓c,再壓b,最後a。在取參數的時候,因爲棧的先入後出,先取棧頂的a,再取b,最後取c。這些是彙編語言的基礎知識,用戶在開始前必需要了解這些知識。 ui
二、如今咱們來看一看什麼是堆棧溢出。 spa
運行時的堆棧分配 指針
堆棧溢出就是不顧堆棧中數據塊大小,向該數據塊寫入了過多的數據,致使數據越界,結果覆蓋了老的堆棧數據。 code
例如程序一:
| #include int main ( ) { char name[8]; printf("Please type your name: "); gets(name); printf("Hello, %s!", name); return 0; } |
編譯而且執行,咱們輸入ipxodi,就會輸出Hello,ipxodi!。程序運行中,堆棧是怎麼操做的呢?
在main函數開始運行的時候,堆棧裏面將被依次放入返回地址,EBP。
咱們用gcc -S 來得到彙編語言輸出,能夠看到main函數的開頭部分對應以下語句:
| pushl %ebp movl %esp,%ebp subl $8,%esp |
首先他把EBP保存下來,,而後EBP等於如今的ESP,這樣EBP就能夠用來訪問本函數的局部變量。以後ESP減8,就是堆棧向上增加8個字節,用來存放name[]數組。最後,main返回,彈出ret裏的地址,賦值給EIP,CPU繼續執行EIP所指向的指令。
堆棧溢出
如今咱們再執行一次,輸入ipxodiAAAAAAAAAAAAAAA,執行完gets(name)以後,因爲咱們輸入的name字符串太長,name數組容納不下,只好向內存頂部繼續寫‘A’。因爲堆棧的生長方向與內存的生長方向相反,這些‘A’覆蓋了堆棧的老的元素。 咱們能夠發現,EBP,ret都已經被‘A’覆蓋了。在main返回的時候,就會把‘AAAA’的ASCII碼:0x41414141做爲返回地址,CPU會試圖執行0x41414141處的指令,結果出現錯誤。這就是一次堆棧溢出。
三、如何利用堆棧溢出
咱們已經制造了一次堆棧溢出。其原理能夠歸納爲:因爲字符串處理函數(gets,strcpy等等)沒有對數組越界加以監視和限制,咱們利用字符數組寫越界,覆蓋堆棧中的老元素的值,就能夠修改返回地址。
在上面的例子中,這致使CPU去訪問一個不存在的指令,結果出錯。事實上,當堆棧溢出的時候,咱們已經徹底的控制了這個程序下一步的動做。若是咱們用一個實際存在指令地址來覆蓋這個返回地址,CPU就會轉而執行咱們的指令。
在UINX/linux系統中,咱們的指令能夠執行一個shell,這個shell將得到和被咱們堆棧溢出的程序相同的權限。若是這個程序是setuid的,那麼咱們就能夠得到root shell。下一講將敘述如何書寫一個shell code。