栈溢出基础

原创 于 2024-08-03 21:17:45 发布 · 656 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c#

一、函数调用栈

  • 函数调用栈在虚拟内存中用户空间的最高地址,是指程序运行时内存的一段连续区域。
  • 用来保存函数运行时的状态信息,包括函数参数和局部变量等
  •  称之为”栈“是因为发生函数调用时,调用函数的状态被保存在栈内,被调用函数的状态被压入调用栈的栈顶
  • 当函数调用结束时,栈顶的函数状态被弹出,栈顶恢复到调用函数的状态
  • 函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大
  • 栈就是先入后出,先入栈的在底部
  • 一个栈帧包含一个函数的状态信息,父函数每调用一个子函数就会在函数调用栈中新增一个栈帧,栈帧的栈底是用ebp或者rbp寄存器进行保存,栈底为esp(32位x86cpu)或者rsp(64位x86cpu)寄存器进行保存

如果在一个函数中调用另一个函数,编译器就会对应生成一条call指令,当程序执行到这条call指令时,就会跳到对应的函数入口处开始执行,而每一个函数的最后,都有一条return指令,负责在函数结束后跳回到调用处继续执行。

1.栈帧结构

  • previous stack frame pointer:父函数的栈底指针
  • stack frame pointer:父函数的栈顶指针
  • return address:返回地址,返回地址会被存储在栈中,以便函数执行完毕后能够返回到调用该函数的地址。
  • ebp-esp为当前桢
  • local variables:局部变量区
  • arguments:函数实参的集合

2.函数调用栈过程

函数状态主要涉及三个寄存器——esp,ebp,eip。

  • esp:用来存储函数调用栈的栈顶地址,在压栈和退栈时发生变化。
  • ebp:用来存储当前函数的基地址,在函数运行时不变,可以用来索引确定函数参数或局部变量的位置。
  • eip:用来存储即将执行的程序指令的地址,cpu依照eip的存储内容读取指令并执行,eip随之指向相邻的下一条指令,如此往复使得程序连续执行。

1.函数调用的过程

首先,被调用函数的参数按照逆序依次压入栈内。如果被调用函数不需要参数,则不需要此步骤。这些参数仍会保存在调用函数的函数状态内,之后压入栈内的数据都会作为被调用函数的函数状态来保存。

然后将调用函数进行调用后的下一条指令地址作为返回地址压入栈内。这样函数的eip信息得以保存。

再将当前ebp寄存器的值(也就是调用函数的基地址)压入栈内,并将ebp寄存器的值更新为当前栈顶的地址。这样调用函数的ebp信息得以保存。同时ebp被更新为被调用函数的基地址。

在之后将被调用函数的局部变量等数据压入栈内。

2.函数调用结束的过程

首先,被调用函数的局部变量会从栈内直接弹出,栈顶会指向被调用函数的基地址

然后将基地址内存储的调用函数的基地址从栈内弹出,并存到ebp寄存器内。这样调用函数的ebp信息得以恢复,此时栈顶会指向返回地址

二、攻击

控制程序执行指令最关键的寄存器就是eip,所以我们的目标就是让eip载入攻击指令的地址。

1.缓冲区溢出

本质是向定长的缓冲区中写出了超长的数据,造成超出的数据覆写看合法内存区域。

  • 栈溢出(Stack overflow): 最常见、漏洞比例最高、危害最大的二进制漏洞 在 CTF PWN 中往往是漏洞利用的基础
  • 堆溢出(Heap overflow) :堆管理器复杂,利用花样繁多 CTF PWN 中的常见题型
  • Data段溢出: 攻击效果依赖于 Data段 上存放了何种控制数

2.ret2text

篡改栈帧上的返回地址为程序已有的后门函数

3.ret2shellcode

劫持程序控制流,使得程序返回执行自己写的恶意代码。

过程如下:

  • 构造shellcode通过溢出放到程序某片存储空间上——为了能够执行这段代码,所存储的区域需要有可执行的权限
  • 将返回地址劫持到构造的shellcode地址使得程序开始执行恶意代码

shellcode的获取方法:

  • 先指定context.arch="i386/amd64"  (注意具体架构)
  • asm(自定义shellcode)
  • asm(shellcraft.sh())

自动生成shellcode

三、内存保护措施

1.ASLR(地址空间布局随机化)

  • 系统的防护措施,装载时生效
  • ASLR的目标是通过随机化内存布局,使得每次程序加载时,各个段的起始地址都发生变化。
  • /proc/sys/kernel/randomize_va_space = 0:没有随机化。即关闭 ASLR
  • /proc/sys/kernel/randomize_va_space = 1:保留的随机化。共享库、栈、mmap() 以及 VDSO 将被随机化
  • /proc/sys/kernel/randomize_va_space = 2:完全的随机化。在randomize_va_space = 1的基础上,通过 brk() 分配的内存空间也将被随机化

2.pie(地址无关可执行文件)

  • 程序的防护措施,编译时生效
  • 随机化ELF文件的映射地址
  • 开启ASLR之后,PIE才会生效

3.The NX bits

  • 程序与操作系统的防护措施,编译时决定是否生效,由操作系统实现
  • 通过内存页的标识中增加“执行”位,可以表示该内存页是否可以执行,若程序代码的EIP执行至不可运行的内存页,则CPU将直接拒绝执行“指令”造成程序崩溃

4.Canary(金丝雀)

  • 程序的防护措施,编译时生效
  • 在刚进入函数时,在栈上放置一个标志canary,在函数返回时检测其是否被干煸,以达到防护栈溢出的目的
  • canary长度为1字长,其位置不一定与ebp/rbp存储的位置相邻,具体得看程序的汇编操作

5.RELRO

  • 程序的防护措施,编译时失效
  • 部分RELRO,在程序装入后,将其中一些段(如.dynamic)标记为只读,防止程序的一些重定位信息修改
  • 完全RELRO,在部分RELRO的基础上,在程序装入时,直接解析完所有符号并填入对应的值,此时所有的GOT表项都已初始化,且不装入link_map与di_runtime_resolve的地址

igiohhh
关注
手把手教你栈溢出入门
Sakura给爷pwn全场
10-29 907
观察下列个C语言代码: #include<stdio.h> void vulnerable(){ char buf[10]; gets(buf); } int main(){ vulnerable(); } 你会发现这个代码很简单,但是它会产生巨大的安全隐患。在C语言中,gets()函数是典型的危险函数。那么gets()函数为什么会产生巨大的安全隐患呢? 这要从内存的运行原理说起。这里需要涉及一点点的汇编知识。 在内存中有一种叫做栈的结构,当C语言调用函数时,会在栈中产生一个栈帧。内存中
基础栈溢出
2301_79808642的博客
04-24 1066
在了解栈溢出之前,我们先来了解一下缓冲区溢出,缓冲区溢出的本质是向定长的缓冲区中写入了超长的数据,造成超出的数据覆写了合法内存区域,而缓冲区溢出主要有三种:栈溢出、堆溢出以及Date段溢出,由于栈溢出是最基础、最常见且危害最大的二进制漏洞,我们首先学习栈溢出。在学习之前我们要知道一些关于栈的基础知识,这里我们就不细说了,自行了解即可。
精选资源
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
### 一、栈溢出基础知识 栈是一种特殊的内存区域,它遵循“后进先出”(LIFO)原则。栈在内存中从高地址向低地址增长,由`esp`(在32位系统中)或`rsp`(在64位系统中)寄存器指向栈顶。栈的主要作用包括存储函数...
精选资源
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出基础知识,并通过一个名为...
缓冲区溢出入门网络安全缓冲区溢出原理与实践:C语言程序中栈溢出与Shellcode基础入门教程
最新发布
07-15
使用场景及目标:①理解缓冲区溢出的本质,掌握栈溢出、堆溢出等不同类型溢出的特点;②学习如何编写和植入shellcode,控制溢出后的程序行为;③掌握程序内存空间布局,学会定位关键地址以实施精确溢出。 其他说明:...
PWN栈溢出利用基础
分不清东西南北的Laffey
10-08 710
shellcode 1.前提:在函数调用栈上的数据有可执行的权限并且关闭ASLR 2.可用msf生成 3.shellcode是用来打开shell的攻击指令,是软件漏洞中一线段用作攻击载荷的代码,会启动命令行的shell来达到执行命令的操作 4.payload = padding1 +address of shellcode +padding2+shellcode 5.address of shel...
菜鸟PWN手进阶之栈溢出基础
re1wn
01-03 7363
菜鸟PWN手进阶之栈溢出基础
栈溢出基本原理的简单讲解
热门推荐
yan_star的博客
03-31 3万+
栈溢出基本原理的简单讲解 (新手上路,大牛还请自行跳过,不足之处,欢迎批评指正) 一 、预备知识: 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 栈的简单介绍 栈:栈是一种计算机系...
C语言函数调用栈,栈溢出基础,canary和pie保护的绕过思路
WdIg-2023的博客
01-19 1505
C语言函数调用栈,栈溢出基础,canary和pie保护的绕过思路
【PWN】学习笔记(二)【栈溢出基础
谈论现实
12-10 453
PWN学习笔记 栈溢出基础
Intel X86 优化指南阅读笔记--前端优化
yan31415的博客
10-10 1683
PROCESSOR PERSPECTIVES 以下优化建议,在不同微架构下收益差别较大: 指令译码的吞吐量很重要。利用好decoded ICache,Loop Stream Detector和macro-fusion能进一步提高CPU前端性能。充分利用好4个译码器来产生代码。利用...
CTF-PWN笔记(一)-- 栈溢出基础ROP
CK_0ff的博客
01-09 6003
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
栈溢出----基础rop
qq_42192672的博客
10-12 1267
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/ 1. 栈溢出基本原理就不写了 列举一下常见的危险函数: 输入 gets,直接读取一行,忽略'\x00' scanf vscanf 输出 sprintf 字符串 strcpy,字符串复制,遇到'\x00'停止 st...
栈溢出从入门到放弃(下)
zhaoqg666的博客
04-25 1557
转自https://zhuanlan.zhihu.com/p/25892385 0x00 写在前面 首先还是广播一下2017 Pwn2Own 大赛的最终赛果,本次比赛共发现51个漏洞,长亭安全实验室贡献11个,以积26分的总成绩,在11支参赛团队中名列第三!同时,也祝贺国内的安全团队包揽本次大赛的前三名! 0x10 上期回顾 上篇文章介绍了栈溢出的原理和两种执行方法,两种方
PWN 栈溢出基础【持续更新】
Luminous_song的博客
08-04 3048
栈溢出 基本栈 栈是一种先进后出的数据结构,主要有PUSH和POP两种操作,都是对栈顶元素进行操作 内存中从高地址向低地址生长,高地址为父函数的栈帧 当一个函数执行完毕时,程序要回到调用指令的下一条指令(紧接call指令)处继续执行。函数调用过程通常使用堆栈实现,每个用户态进程对应一个调用栈结构(call stack)。编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量 C语言函数调用栈 基础知识 以下知识点基于x86架构 EBP:栈帧基址指针寄
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值