緩沖區(qū)溢出攻擊詳細(xì)講解

1、緩沖區(qū)溢出攻擊詳細(xì)講解緩沖區(qū)溢出（BufferOverflow）是計(jì)算機(jī)安全領(lǐng)域內(nèi)既經(jīng)典而又古老的話題。隨著計(jì)算機(jī)系統(tǒng)安全性的加強(qiáng)，傳統(tǒng)的緩沖區(qū)溢出攻擊方式可能變得不再奏效，相應(yīng)的介紹緩沖區(qū)溢出原理的資料也變得“大眾化”起來(lái)。其中看雪的《0day安全：軟件漏洞分析技術(shù)》一書(shū)將緩沖區(qū)溢出攻擊的原理闡述得簡(jiǎn)潔明了。本文參考該書(shū)對(duì)緩沖區(qū)溢出原理的講解，并結(jié)合實(shí)際的代碼實(shí)例進(jìn)行驗(yàn)證。不過(guò)即便如此，完成一個(gè)簡(jiǎn)單的溢出代碼也需要解決很多書(shū)中無(wú)法涉及

2、的問(wèn)題，尤其是面對(duì)較新的具有安全特性的編譯器——比如MS的VisualStudio2010。接下來(lái)，我們結(jié)合具體代碼，按照對(duì)緩沖區(qū)溢出原理的循序漸進(jìn)地理解方式去挖掘緩沖區(qū)溢出背后的底層機(jī)制。一、代碼數(shù)據(jù)顧名思義，緩沖區(qū)溢出的含義是為緩沖區(qū)提供了多于其存儲(chǔ)容量的數(shù)據(jù)，就像往杯子里倒入了過(guò)量的水一樣。通常情況下，緩沖區(qū)溢出的數(shù)據(jù)只會(huì)破壞程序數(shù)據(jù)，造成意外終止。但是如果有人精心構(gòu)造溢出數(shù)據(jù)的內(nèi)容，那么就有可能獲得系統(tǒng)的控制權(quán)！如果說(shuō)用戶(hù)（也可

3、能是黑客）提供了水——緩沖區(qū)溢出攻擊的數(shù)據(jù)，那么系統(tǒng)提供了溢出的容器——緩沖區(qū)。緩沖區(qū)在系統(tǒng)中的表現(xiàn)形式是多樣的，高級(jí)語(yǔ)言定義的變量、數(shù)組、結(jié)構(gòu)體等在運(yùn)行時(shí)可以說(shuō)都是保存在緩沖區(qū)內(nèi)的，因此所謂緩沖區(qū)可以更抽象地理解為一段可讀寫(xiě)的內(nèi)存區(qū)域，緩沖區(qū)攻擊的最終目的就是希望系統(tǒng)能執(zhí)行這塊可讀寫(xiě)內(nèi)存中已經(jīng)被蓄意設(shè)定好的惡意代碼。按照馮諾依曼存儲(chǔ)程序原理，程序代碼是作為二進(jìn)制數(shù)據(jù)存儲(chǔ)在內(nèi)存的，同樣程序的數(shù)據(jù)也在內(nèi)存中，因此直接從內(nèi)存的二進(jìn)制形式上是

4、無(wú)法區(qū)分哪些是數(shù)據(jù)哪些是代碼的，這也為緩沖區(qū)溢出攻擊提供了可能。圖2函數(shù)棧幀如圖所示，我們定義了一個(gè)簡(jiǎn)單的函數(shù)function，它接受一個(gè)整形參數(shù)，做一次乘法操作并返回。當(dāng)調(diào)用function(0)時(shí)，arg參數(shù)記錄了值0入棧，并將callfunction指令下一條指令的地址0x00bd16f0保存到棧內(nèi)，然后跳轉(zhuǎn)到function函數(shù)內(nèi)部執(zhí)行。每個(gè)函數(shù)定義都會(huì)有函數(shù)頭和函數(shù)尾代碼，如圖綠框表示。因?yàn)楹瘮?shù)內(nèi)需要用ebp保存函數(shù)棧幀基址，

5、因此先保存ebp原來(lái)的值到棧內(nèi)，然后將棧指針esp內(nèi)容保存到ebp。函數(shù)返回前需要做相反的操作——將esp指針恢復(fù)，并彈出ebp。這樣，函數(shù)內(nèi)正常情況下無(wú)論怎樣使用棧，都不會(huì)使棧失去平衡。subesp44h指令為局部變量開(kāi)辟了?？臻g，比如ret變量的位置。理論上，function只需要再開(kāi)辟4字節(jié)空間保存ret即可，但是編譯器開(kāi)辟了更多的空間（這個(gè)問(wèn)題很詭異，你覺(jué)得呢？）。函數(shù)調(diào)用結(jié)束返回后，函數(shù)棧幀恢復(fù)到保存參數(shù)0時(shí)的狀態(tài)，為了保持棧