Buffer Overflow之argv

在Linux编程里,程序从命令行读取参数存于argv中,因argv参数大小无法控制,使用strcpy可能造成内存溢出,攻击者可伪造内容引发。可采用动态分配内存方式避免,getenv函数也能用类似方法解决内存溢出问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在linux 编程中,我们会遇到这种情况:

int main(int argc, char *argv[]) { /* ... */ }

参数从命令行中读取到程序的内存中,程序启动的时候调用main函数,命令行保存在argv[0]~argv[argc-1]中,按照惯例,argv[0]表示程序的名称,从argv[1]开始到argv[argc-1]表示程序的参数。因为argv的参数的大小我们无法控制,当使用strcpy时可能会造成内存溢出。

#include <string.h>
  
int main(int argc, char *argv[]) {
  /* Ensure argv[0] is not null */
  const char *const name = (argc && argv[0]) ? argv[0] : "";
  char prog_name[128];
  strcpy(prog_name, name);
  
  return 0;
}

上面的例子中,攻击者可以伪造一个大于128大小的内容造成内存溢出。(注意在strlen计算字符串长度后添加一个字节来保存结束符’\0’);

#include <stdlib.h>
#include <string.h>
  
int main(int argc, char *argv[]) {
  /* Ensure argv[0] is not null */
  const char *const name = (argc && argv[0]) ? argv[0] : "";
  char *prog_name = (char *)malloc(strlen(name) + 1);
  if (prog_name != NULL) {
    strcpy(prog_name, name);
  } else {
    /* Handle error */
  }
  free(prog_name);
  return 0;
}

例如上面方法:我们可以使用动态分配内存的方式来避免上面的内存溢出的问题。
同理: getenv函数也可以用类似的方法来解决内存溢出的问题

代码来自:卡耐基梅隆大学软件研究学院

### 关于缓冲区溢出漏洞利用的Shellcode 当讨论缓冲区溢出攻击时,理解如何构建有效的shellcode至关重要。Shellcode是指一段机器码指令序列,在成功利用漏洞后被执行以实现特定功能,比如开启一个新的shell[^4]。 下面是一个简单的Linux环境下用于演示目的的shellcode实例,这段代码旨在调用`execve("/bin/sh", NULL, NULL)`来获取一个交互式的shell: ```assembly global _start section .text _start: ; execve syscall preparation xor eax, eax ; Clear EAX register (syscall number will be placed here) push eax ; Push null bytes onto the stack as arguments terminator push 0x68732f6e ; Push "/bin" string reversed ("hs/n") on the stack push 0x69622f2f ; Push "//sh" string reversed ("/ib/") on top of previous one ; Now ESP points to "/bin//sh" mov ebx, esp ; Move address where "/bin//sh" resides into EBX (filename argument for execve) ; Prepare other parameters for execve call push eax ; Nullify EDX (envp parameter), since we don't have any environment variables mov edx, esp ; push eax ; Nullify ECX (argv parameter except filename), because there are no additional args mov ecx, esp ; mov al, 0xb ; Syscall number for execve is 11(decimal) or 0xB(hexadecimal) int 0x80 ; Trigger interrupt to invoke system call ``` 此汇编代码片段创建了一个指向字符串`/bin//sh`的指针,并设置了必要的参数以便通过系统调用来执行命令解释器(即bash shell)。注意这里使用了十六进制表示法来逆序存储路径名字符,这是为了绕过某些防护机制以及确保二进制数据中不包含零字节(null byte),因为后者可能会提前终止字符串处理过程从而破坏payload的有效性。 然而值得注意的是,现代操作系统通常会实施多种安全措施来抵御此类攻击向量,例如非可执行堆栈、地址空间布局随机化(ASLR),以及栈保护 Canary 技术等。这些防御手段使得传统的基于简单缓冲区溢出的方法变得不再可靠;尽管如此,仍然存在变通方案如返回导向编程(Return-Oriented Programming, ROP) 或者寻找未受保护的内存区域放置恶意代码[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值