C/C++典型漏洞产生原理与Demo

最新推荐文章于 2025-06-14 19:52:48 发布
转载 最新推荐文章于 2025-06-14 19:52:48 发布 · 1.9k 阅读 · 10

本文深入探讨了C/C++编程语言中的常见安全漏洞,包括栈溢出、堆溢出、整数溢出、格式化字符串漏洞、UAF、DoubleFree、数组越界等,详细分析了每种漏洞的产生原理及其可能造成的安全威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载:
https://blog.youkuaiyun.com/u010651541/article/details/76165216

本篇主要是自己学习笔记,快速读了下泉哥的《漏洞战争》的读书笔记。这里只涉及漏洞产生原理,即漏洞是怎么写出来。至于怎么分析0Day,怎么写代码执行的exp,后续将做深入研究。

C/C++的代码执行漏洞,很多时候是劫持程序的控制流。具体来说:对于C程序,一般是控制函数的返回地址,让程序跳转到我们指定的地方执行。对于C++程序,除了覆盖函数返回地址外,还可以覆盖虚函数表,在调用虚函数的时候,程序将到指定内存处执行。

一、栈溢出漏洞

栈溢出漏洞原理十分简单,只需要了解C语言函数调用时程序的内存结构即可。一句话总结,可控的参数覆盖了函数的返回地址。

#include<stdio.h>
#include<string.h>
void vulfunc(char* str){
    char src[10];
    strcpy(src,str);
}
int main(){
    char* str="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA";
    vulfunc(str);
    return;
}
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

执行程序,程序将crash,并触发Segmentation fault错误。

二、堆溢出漏洞

堆溢出漏洞和栈溢出漏洞原理类似,但是比栈溢出复杂得多,后面单独介绍原理。

#include<stdlib.h>
#include<string.h>
int main(int argc,char* argv[]){
    char* first,second;
    first = malloc(100);
    second = malloc(12);
    if(argc>1){
        strcpy(first,argv[1]);
    }
    free(fisrt);
    free(second);
    return 0;
}
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

同样程序执行时,触发Segmentation fault错误而crash掉。

三、整数溢出

C/C++非内存安全行语言,当输入的整数超出整数的取值范围时,编译器并不会报出错误,但是程序执行时,可能造成严重的安全后果。不过最终导致代码执行,还是归因到栈溢出或者堆溢出。

//栈的整数溢出
#include<stdio.h>
#include<string.h>
int main(int argc,char* argv){
    int i;
    char buf[8];
    unsigned short int size;
    char overflow[65550];
    memset(overflow,65,sizeof(overflow));
    printf("please input size:\n");
    scanf("%d",&i);
    size =i;
    printf("size:%d",size);
    printf("i:%d",i);
    if(size > 8){
        return -1;
    }
    //stack overflow
    memcpy(buf,overflow,i);
    return 0;
}
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21

上面,size类型为unsigned int,最大取值为65535,当超过这个值时,截断导致越过size检查,然后,在memcpy()函数函数中造成栈溢出,程序crash,可能导致代码执行。堆上的整数溢出同理,只是溢出对象是堆数据,导致覆盖的时候后面的堆结构。

四、格式化字符串漏洞

#include<stdio.h>
#include<string.h>
int main(int argc,char* argv[]){
    char buff[1024];
    strncpy(buff,argv[1],sizeof(buff)-1);
    printf(buff);
    return 0;
}
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

当输入参数为mmm%s或者ttt%x时,程序将产生意向不到的结果。printf()函数的基本形式为:

printf("格式化字符串""参数列表");
 
  • 1

这样,当输入ttt%s时,%s不会被当做数据,而是被当成了格式化字符串处理,程序会读取栈上argv[1]后面一个栈上的数据,造成了内存数据的泄露。当输入中包含很多这样的字符时,将可以遍历栈上的数据。
这里写图片描述

五、UAF漏洞

#include<stdio.h>
#define size 32;
int main(int argc,char** argv){
    char *buf1;
    char *buf2;
    buf1=(char*) malloc(size);
    printf("buf1:0x%p\n",buf1);
    free(buf1);
    //buf1=null;

    buf = (char*)malloc(size);
    printf("buf2:0x%p\n",buf2);

    memset(buf2,0,size);
    printf("buf2:%d\n",*buf2);

    printf("After free\n");
    strncpy(buf1,"hack",5);

    printf("buf2:%s\n\n",buf2);
    free(buf2); 
}
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22

理解这个漏洞的关键是系统对于内存的管理,(后面会深入分析)程序所能拥有的栈内存空间总是有限的,很多需要堆内存,对内存虚拟的内存空间中,堆内存是向上增长的。所以,上面buf1在被free之后,内存管理在再次分配buf2的时候,会认为buf1地址处的内存已经没有用,会分配给buf2,即buf2地址指向了之前buf1地址处。关键是,没有做buf1=NULL的操作,导致buf1成为”野指针”,依然有效。这样,后续如果能够操作到buf1的指针,就可以长生意想不到的结构。如果buf1处为执行指令,则导致了CE。
这里写图片描述

class CTest{
    int m=1;
public:
    virtual void vFunc1();
    virtual void vFunc2();
    int getM(){
        return m;
    }
}
void main(){
    CTest test; // 实例化;
}
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12

在C++代码中,UAF导致CE更加普遍,以为我们常常需要通过new来创建一个对象。如果后面再free()了对应的对象指针后(体现free),没有对指针置NULL。那么攻击者可能通过”占坑式”来让一个指针指向对象的地址,然后利用此指针修改对象的虚函数表。此时,如果对象再次被使用,尤其是虚函数被调用时(体现use after),将导致CE。

六、Double Freee

#include<stdio.h>
int main(int argc,char **argv){
    void * p1,p2,p3;

    p1=malloc(100);
    printf("malloc:%p\n",p1);
    p2=malloc(100);
    printf("malloc:%p\n",p2);
    p3=malloc(100);
    printf("malloc:%p\n",p3);

    pritf("free p1\n");
    free(p1);
    pritf("free p3\n");
    free(p3);
    pritf("free p2\n");
    free(p2);

    printf("Double free\n");
    free(p2);
}

 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22

理解这个漏洞并不那么容易,如何导致代码执行也会后面单独来研究,这里只吃别人吃剩的骨头,记录下结论,后面一定要自己研究!!!!!程序释放了p1,p3之后,在释放p2时,会发生堆内存的合并动作,将改变原有的堆头信息及前后向指针。再次释放时,free动作其实应该是引用了之前的地址,所以导致了崩溃。这里,后面研究时,应该要研究系统对堆内存的回收过程。按照泉哥的结论,这根本上是个UAF漏洞,UAF漏洞是比较容易理解的,所以理解内存回收应该是关键。
这里写图片描述

七、数组越界

数组越界通常包括读越界和写越界,写越界会造成溢出漏洞。

#include<"stdio.h">
int main(){
    int index;
    int array[3]={111,222,333};
    printf("please input index:\n");
    scanf("%d",&index);
    printf("array[%d]=%d\n",index,array[index]);
    //写越界,造成溢出;
    a[index]=233;
    return 0;
}
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

上面在读取时会造成数组读的越界,赋值时造成(栈)溢出。

以上总结了常见的漏洞类型,其中还有很多知识点需要单独补充:

  • 堆溢出原理分析;
  • linux对数据分配和回收的管理;
  • double free漏洞深入分析;

初次之外,后续要研究的包括:ROP,堆喷,地址随机化绕过,这些属于漏洞利用的知识。

软件漏洞分析简述
fufu_good的博客
02-04 8万+
软件漏洞 1.1漏洞的定义 漏洞,也叫脆弱性(英语:Vulnerability),是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。 漏洞在各时间阶段的名称 根据是否公开分为:未公开漏洞、已公开漏洞 根据漏洞是否发现分为:未知漏洞、已知漏洞 根据补丁和利用价值是否发布分为:0day漏洞、1day漏洞、历史漏洞 图1 漏洞在各时间阶段的名称 漏洞的特...
C++面经漏洞汇总
weixin_30918415的博客
08-27 721
C++中几种智能指针的区别 为什么要使用智能指针: 智能指针的作用是管理一个指针,因为存在以下这种情况:申请的空间在函数结束时忘记释放,造成内存泄漏。使用智能指针可以很大程度上的避免这个问题,因为智能指针就是一个类,当超出了类的作用域是,类会自动调用析构函数,析构函数会自动释放资源。所以智能指针的作用原理就是在函数结束时自动释放内存空间,不需要手动释放内存空间。 1. auto_p...
【浅析栈溢出漏洞原理——简单例题讲解】
最新发布
2301_80315809的博客
06-14 999
栈溢出漏洞攻击原理示例演示 栈溢出漏洞通过向栈缓冲区写入超长数据覆盖函数返回地址(eip),从而控制程序执行流程。本文以32位Linux程序为例,演示攻击过程:1)编译时禁用保护机制;2)确定目标函数地址(0x8049196);3)使用模式字符串定位返回地址偏移(24字节);4)构造payload填充地址(注意小端序和编码问题)。关键点在于:终端可能对不可打印字符进行编码转换,需使用二进制写入;空字节会导致输入截断。最终成功跳转至attack函数输出"Attacked!",验证了漏洞
C++安全编程:防范常见的安全漏洞攻击
AI天才研究院
01-28 1018
1.背景介绍 1. 背景介绍 C++是一种强大的编程语言,广泛应用于系统级编程、高性能计算和嵌入式系统等领域。然而,C++也面临着各种安全漏洞和攻击,这些漏洞可能导致严重的安全风险。因此,了解C++安全编程的原则和最佳实践至关重要。 本文将涵盖C++安全编程的核心概念、算法原理、最佳实践、实际应用场景和工具推荐。同时,我们还将探讨未来发展趋势和挑战。 2. 核心概念联系 2.1 安全编...
C++通用漏洞汇总
thesum的专栏
04-07 1016
http://cwe.mitre.org/data/lists/659.html
Linux C/C++开发常见错误及其漏洞(一)
一年一年又一年
06-23 604
一、通用规范 1、代码简洁精炼,美观,可读性好,高效率,高复用,可移植性好,高内聚,低耦合,没有冗余, 不符合这些原则,必须特别说明。 2、规范性,代码有规可循。特殊排版、特殊语法、特殊指令,必须特别说明。 二、常见的错误 1、复制、粘贴 当错误产生时会发生什么结果? 错误的数据/返回数据、条件丢失、难以调试、肉眼难辨 2、 ?: ?:优先级小于前置的 | 、+等运算符,使语义发生变化 此类运算符其他运算符结合使用时请使用()。 3、无意义的指针0比较
Rust的前景怎么样?值不值的学—Rust对比、特色和理念
Linuxhus的博客
09-08 3078
前言 其实我一直弄不明白一点,那就是计算机技术的发展,是让这个世界变得简单了,还是变得更复杂了。 当然这只是一个玩笑,可别把这个问题当真。 然而对于IT从业者来说,这可不是一个玩笑。几乎每一次的技术发展,都让这个生态变得更为复杂。“英年早秃”已经成为一种很普遍的现象。 Rust是近两年呼声比较高的一种新型开发语言。市场占有量并不大,但增长速度极为迅猛。 有人统计过,在计算机行业,平均每33.5天就有一种所谓的新型开发语言面世,这还不包括很多企业内部、项目内部的内置简易流程工具。然而大浪淘沙,如今仍然占
【编译原理内存管理】:编译时运行时内存优化的艺术
[【编译原理内存管理】:编译时运行时内存优化的艺术](https://img-blog.csdnimg.cn/img_convert/37f4f5f98f2c47b1593681e7be6ea260.png) 参考资源链接:[《编译原理》清华版课后习题答案详解]...
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1239
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
C++ 复杂、内存漏洞,2019 年的软件开发并不安全!
优快云资讯
01-30 3255
在这篇文章中,本文作者会分享自己过去一年中对软件设计和开发现状的一些观察,并试图在 2019 年为自己找到一个有意义的努力方向。作者 |Chris译者 |安翔责编 |...
c语言编程中常见的陷阱和漏洞
05-19
介绍c语言中一些容易被忽视的陷阱和漏洞,对于提高编程能力有很大帮助
高人看看属于C++漏洞否(很有意思)
xxyakoo的博客
11-19 881
 class A{    virtual void fun(){printf("this is as private fun/n");}};class B{public:    virtual void fun(){printf("this is bs public fun/n");}};int _tmain(int argc, _TCHAR* argv[]){    A* pa = new
C++异常处理机制漏洞–羊城杯2024logger
2302_79542511的博客
09-07 1120
先看如下代码,这种检测溢出的方式是否合理呢?当送入不同长度数据时,出现下面结果(rbp距离buf为0x30)数据长度为0x31时,0xa刚好覆盖test()的rbp的第一个字节时,发现程序crash数据长度为0x39时,0xa刚好覆盖test()的返回地址的第一个字节时,程序也crash了表面上,这种检查机制似乎是合理的。但实际上存在着漏洞。通过上面两个例子,我们可以猜测,栈上的内容(如这里的rbp和ret地址)异常处理的流程相关。
C程序在内存中的布局常见的漏洞
土豆洋芋山药蛋的博客
06-16 1208
1. C程序员通用的漏洞指南 C语言中大多数漏洞缓冲区溢出和字符串操作相关,在大多数情况下,都会导致段错误(segmentation fault),但仅过精心设计的输入值,但是,根据体系结构和环境特别设计的恶意输入值可能会导致任意代码的执行。下面列出了最常见的错误和建议的修复/解决方案。 gets函数 gets()函数不会检查缓冲区的长度,常常会成为一个漏洞。 有漏洞的代码: #include...
c语言程序设计漏洞,识别C/C++编程中的安全漏洞
weixin_34972620的博客
05-20 426
你将学到什么Apply “what to watch out for” and “where to look” to evaluate fragility of C++ library code.Given a fragile C++ library, code a robust version.Identify problems w/ privilege, trusted environment...
Linux C/C++开发常见错误及其漏洞(二)
一年一年又一年
06-23 267
上篇介绍了一些常见的便错错误导致的漏洞,下面捎带讲解下相关的漏洞利用。 由于有部分内容可能需要实际操作,所以可能无法介绍清晰,还请见谅! 一、基础汇编 介绍之前首先带大家了解下基础的汇编语法以及基础知识。 对于64位系统,系统地址空间变大同时增加了多个通用寄存器 被扩展到64位的通用寄存器为:RAX,RBX,RCX,RDX,RSI和RDI 被扩展为64位的指令指针,基地址指针,栈指针分别为RIP,RBP和RSP 提供的额外寄存器:R8到R15 8字节宽的指针 在栈上push/pop为8字
[课业] | 软件安全 | 使用American Fuzzy Lop工具挖掘C/C++程序漏洞
RussellHan的博客
01-31 2292
afl
C语言常见漏洞-格式化字符串漏洞
qq_44370676的博客
07-21 3790
漏洞类型一.格式化字符串漏洞1.1 预备知识1.2 漏洞产生机理 一.格式化字符串漏洞 1.1 预备知识 在c语言中的printf,fprintf,sprintf,snprintf等print函数经常会用到类似%形式的一个或者多个说明符。比如printf("my name is %s",panghu);中的%s。 说明符如下 说明符 注释 %d 以十进制整数的格式输出 %s 以字符串的的格式输出 %x 以十六进制数的格式输出 %c 以字符的格式输出 %p 以指针的格式输出
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值