缓冲区溢出

最新推荐文章于 2024-10-30 17:11:00 发布
最新推荐文章于 2024-10-30 17:11:00 发布
阅读量648 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: linux C 文章标签: buffer access c gcc file 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/breakback/article/details/7427376
什么是溢出?
简单的说,溢出就是越界,跑到不属于自己的领地里去了...如:
overflow.c:

main()
{
    int a[10] = {0};
    int i;
    for (i = -10; i < 20; i++)
        printf("%d ",a[i]);
}

由于C的自由书写风格,编译系统并不对数据边界进行检测,
导致有意无意的出现溢出。

复杂点的例子:

overflowC.c:

#include <stdio.h>
#include <stdlib.h>

int
main (int argc, char *argv[])
{
    int value = 5;
    char buffer_one[8],buffer_two[8];
    
    strcpy(buffer_one,"one");
    strcpy(buffer_two,"two");
    
    printf("[BEFORE] buffer_two is at %p, contains %s\n",buffer_two, buffer_two);
    printf("[BEFORE] buffer_one is at %p, contains %s\n",buffer_one, buffer_one);
    printf("[BEFORE] value is at %p, contains %d(0x%08x)\n",&value, value, value);
    
    printf("[STRCPY] copying %d bytes into buffer_two\n",strlen(argv[1]));
    
    strcpy(buffer_two, argv[1]);
    
    printf("[AFTER] buffer_two is at %p, contains %s\n",buffer_two, buffer_two);
    printf("[AFTER] buffer_one is at %p, contains %s\n",buffer_one, buffer_one);
    printf("[AFTER] value is at %p, contains %d(0x%08x)\n",&value, value, value);
    
    
    return 0;
}

一次运行结果:
root@linux-t0jw:~/桌面> ./overflow 1234567890
[BEFORE] buffer_two is at 0xbfccc5bc, contains two
[BEFORE] buffer_one is at 0xbfccc5c4, contains one
[BEFORE] value is at 0xbfccc5cc, contains 5(0x00000005)
[STRCPY] copying 10 bytes into buffer_two
[AFTER] buffer_two is at 0xbfccc5bc, contains 1234567890
[AFTER] buffer_one is at 0xbfccc5c4, contains 90
[AFTER] value is at 0xbfccc5cc, contains 5(0x00000005)

分析:buffer_two 和 buffer_one相差0xc4-0xbc=8个单元,
而复制10个字节,导致8个字节的缓冲区不足,溢出到了buffer_one中...

再次运行:
root@linux-t0jw:~/桌面> ./overflow AAAAAAAAAAAAAAAAAA
[BEFORE] buffer_two is at 0xbf9b60bc, contains two
[BEFORE] buffer_one is at 0xbf9b60c4, contains one
[BEFORE] value is at 0xbf9b60cc, contains 5(0x00000005)
[STRCPY] copying 18 bytes into buffer_two
[AFTER] buffer_two is at 0xbf9b60bc, contains AAAAAAAAAAAAAAAAAA
[AFTER] buffer_one is at 0xbf9b60c4, contains AAAAAAAAAA
[AFTER] value is at 0xbf9b60cc, contains 16705(0x00004141)

分析:增加参数长度,会发现甚至溢出到了value(0x41是A的ASCII值)...

再次运行:

root@linux-t0jw:~/桌面> ./overflow AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAa
[BEFORE] buffer_two is at 0xbff6c3ec, contains two
[BEFORE] buffer_one is at 0xbff6c3f4, contains one
[BEFORE] value is at 0xbff6c3fc, contains 5(0x00000005)
[STRCPY] copying 91 bytes into buffer_two
[AFTER] buffer_two is at 0xbff6c3ec, contains AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAa
[AFTER] buffer_one is at 0xbff6c3f4, contains AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAa
[AFTER] value is at 0xbff6c3fc, contains 1094795585(0x41414141)
段错误
root@linux-t0jw:~/桌面> echo $?
139

最终,会引发一个段错误...

最经典的例子:

overflowclassic:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

int check_password(char *password)
{
    int flag = 0;
    char password_buffer[16];
    
    strcpy(password_buffer, password);
    
    if (strcmp(password_buffer, "brillig") == 0)
        flag = 1;
    if (strcmp(password_buffer, "outgrabe") == 0)
        flag = 1;
    return flag;
}

int
main (int argc, char *argv[])
{
    if (argc < 2) {
        fprintf(stderr, "Usage %s <password>\n", argv[0]);
        exit(1);
     }
    if (check_password(argv[1])) {
            printf("----------\n");
            printf("Access Granted.\n");
            printf("----------\n");
     } else {
        printf("\nAccess Denied.\n");
      }
     
    return 0;
}

运行结果:
root@linux-t0jw:~/桌面> ./overflowclassic brillig
----------
Access Granted.
----------
root@linux-t0jw:~/桌面> ./overflowclassic okok

Access Denied.
root@linux-t0jw:~/桌面> ./overflowclassic AAAAAAAAAAAAAAAAAAAAAAA
----------
Access Granted.
----------

加入调试信息,重新编译运行:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

int check_password(char *password)
{
    int flag = 0;
    char password_buffer[16];
    
    strcpy(password_buffer, password);
    
    printf("flag is at %p contains %d \n",&flag, flag);
    printf("buffer is at %p contains %s \n",password_buffer, password_buffer);
    if (strcmp(password_buffer, "brillig") == 0)
        flag = 1;
    if (strcmp(password_buffer, "outgrabe") == 0)
        flag = 1;
    return flag;
}

int
main (int argc, char *argv[])
{
    if (argc < 2) {
        fprintf(stderr, "Usage %s <password>\n", argv[0]);
        exit(1);
     }
    if (check_password(argv[1])) {
            printf("----------\n");
            printf("Access Granted.\n");
            printf("----------\n");
     } else {
        printf("\nAccess Denied.\n");
      }
     
    return 0;
}

root@linux-t0jw:~/桌面> gcc -Wall  overflow.c -o overflowclassic
root@linux-t0jw:~/桌面> ./overflowclassic AAAAAAAAAAAAAAAAAAAAAAA
flag is at 0xbfa3895c contains 1094795585
buffer is at 0xbfa3894c contains AAAAAAAAAAAAAAAAAAAAAAA
----------
Access Granted.
----------

可知:flag和password_buffer相差16的字节,最后flag可怜被溢出的数据覆盖了...

使用以下调试过程可以更清晰地看出:

root@linux-t0jw:~/桌面> gcc -Wall -g  overflow.c -o  overflowclassic
root@linux-t0jw:~/桌面> gdb -q ./overflowclassic
Reading symbols from /home/ly/桌面/overflowclassic...done.
(gdb) list 1
1    #include <stdio.h>
2    #include <string.h>
3    #include <stdlib.h>
4    
5    int check_password(char *password)
6    {
7        int flag = 0;
8        char password_buffer[16];
9        
10        strcpy(password_buffer, password);
(gdb)
11        
12        printf("flag is at %p contains %d \n",&flag, flag);
13        printf("buffer is at %p contains %s \n",password_buffer, password_buffer);
14        if (strcmp(password_buffer, "brillig") == 0)
15            flag = 1;
16        if (strcmp(password_buffer, "outgrabe") == 0)
17            flag = 1;
18        return flag;
19    }
20    
(gdb) break 10
Breakpoint 1 at 0x8048551: file overflow.c, line 10.
(gdb) break 18
Breakpoint 2 at 0x80485d5: file overflow.c, line 18.
(gdb) run AAAAAAAAAAAAAAAAAAAAAAA
Starting program: /home/ly/桌面/overflowclassic AAAAAAAAAAAAAAAAAAAAAAA
Missing separate debuginfo for /lib/ld-linux.so.2
Try: zypper install -C "debuginfo(build-id)=b6b00f5560b849cf9fac5e6efb9f403c21f508dd"
Missing separate debuginfo for /lib/libc.so.6
Try: zypper install -C "debuginfo(build-id)=6478c346f66a284b77eb5ca82ab8f2f4f9561600"

Breakpoint 1, check_password (password=0xbffff3a4 'A' <repeats 23 times>)
    at overflow.c:10
10        strcpy(password_buffer, password);
(gdb) x/s password_buffer
0xbffff07c:     "\370\203\004\b\310\360\377\277\364\237\004\b\002"
(gdb) x/x &flag
0xbffff08c:    0x00
(gdb) print 0xbffff08c - 0xbffff07c
$1 = 16
(gdb) x/16xw password_buffer
0xbffff07c:    0x080483f8    0xbffff0c8    0x08049ff4    0x00000002
0xbffff08c:    0x00000000    0x08048490    0x00000000    0xbffff0b8
0xbffff09c:    0x08048624    0xbffff3a4    0xb7e78b45    0x08048679
0xbffff0ac:    0xb7fb2ff4    0x08048670    0x00000000    0x00000000
(gdb) continue
Continuing.
flag is at 0xbffff08c contains 1094795585
buffer is at 0xbffff07c contains AAAAAAAAAAAAAAAAAAAAAAA

Breakpoint 2, check_password (password=0xbffff3a4 'A' <repeats 23 times>)
    at overflow.c:18
18        return flag;
(gdb) x/16xw password_buffer
0xbffff07c:    0x41414141    0x41414141    0x41414141    0x41414141
0xbffff08c:    0x41414141    0x00414141    0x00000000    0xbffff0b8
0xbffff09c:    0x08048624    0xbffff3a4    0xb7e78b45    0x08048679
0xbffff0ac:    0xb7fb2ff4    0x08048670    0x00000000    0x00000000
(gdb) x/x &flag
0xbffff08c:    0x41414141
(gdb) x/dw &flag
0xbffff08c:    1094795585
(gdb)

最后显示,flag的值被覆盖了...

如果对以上代码改动一下:
以反序定义password_buffer和flag

reverse.c:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

int check_password(char *password)
{
    
    char password_buffer[16];
    
    int flag = 0;
    
    strcpy(password_buffer, password);
    
    printf("flag is at %p contains %d \n",&flag, flag);
    printf("buffer is at %p contains %s \n",password_buffer, password_buffer);
    if (strcmp(password_buffer, "brillig") == 0)
        flag = 1;
    if (strcmp(password_buffer, "outgrabe") == 0)
        flag = 1;
    return flag;
}

int
main (int argc, char *argv[])
{
    if (argc < 2) {
        fprintf(stderr, "Usage %s <password>\n", argv[0]);
        exit(1);
     }
    if (check_password(argv[1])) {
            printf("----------\n");
            printf("Access Granted.\n");
            printf("----------\n");
     } else {
        printf("\nAccess Denied.\n");
      }
     
    return 0;
}

运行结果:

root@linux-t0jw:~/桌面> ./overflowclassic AAAAAAAAAAAAAAAAAAAAAAA111111111111111111111111111111
flag is at 0xbfb9057c contains 0
buffer is at 0xbfb90580 contains AAAAAAAAAAAAAAAAAAAAAAA111111111111111111111111111111
段错误

会发现flag 位于password_buffer之前(堆栈是由高到低扩展),从而无法被覆盖掉...
但是会溢出到返回地址ret的单元里,从而导致段错误

通过gdb反汇编调试可以得到更多的内容。

PS:
对以上验证密码程序可以使用strncpy等安全的函数,避免使用gets,strcpy等不安全的函数,此外,对数组边界的检查也要格外小心。
修改如下:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

int check_password(char *password)
{
    
    char password_buffer[16];
    
    int flag = 1;
    
    strncpy(password_buffer,password,15); //strncpy()
    
    printf("flag is at %p contains %d \n",&flag, flag);
    printf("buffer is at %p contains %s \n",password_buffer, password_buffer);
    if (strcmp(password_buffer, "brillig") == 0)
        flag = 0;
    if (strcmp(password_buffer, "outgrabe") == 0)
        flag = 0;
    return flag;
}

int
main (int argc, char *argv[])
{
    if (argc < 2) {
        fprintf(stderr, "Usage %s <password>\n", argv[0]);
        exit(1);
     }
    if (check_password(argv[1]) == 0) {
            printf("----------\n");
            printf("Access Granted.\n");
            printf("----------\n");
     } else {
        printf("\nAccess Denied.\n");
      }
     
    return 0;
}



缓冲区溢出及原理
一杯水果茶!足矣~
12-05 1365
缓冲区溢出就好比一个杯子倒太多的水,溢出来,这叫溢出
缓冲区溢出攻击示例
qq_67812668的博客
08-12 1325
缓冲区溢出攻击是利用 缓冲区溢出漏洞 所进行的攻击行动。 缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛 存在 。 利用缓冲区溢出攻击,可以导致程序 运行 失败、系统关机、重新启动等后果。 缓冲区 溢出是指当 计算机 向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。 理想的情况是:程序会检查数据长度,而且并不允许输入超过缓冲区长度的字符。 但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。
缓存溢出(一)
m0_54167891的博客
08-21 396
缓存溢出(一) ​ 缓冲区是程序运行时计算机内存中的一个连续的块,它保存了给定类型的数据。问题随着动态分配变量而出现。为了不用太多的内存,一个有动态分配变量的程序在程序运行时才决定给他们分配多少内存。 ​ 如果程序在动态分配缓冲区放入太多的数据会有什么现象?它溢出了,漏到了别的地方。一个缓冲区溢出应用程序使用这个溢出的数据将汇编语言代码放到计算机的内存中,通常是产生root权限的地方。单单的缓冲区溢出,并不会产生安全问题。只有将溢出送到能够以root 权限运行命令的区域才行。这样,一个缓冲区利用程序将
基于堆栈的缓冲区溢出漏洞
最新发布
leopard13的博客
10-30 1101
大多数程序漏洞发掘与内存破坏有关,包括常见的诸如缓冲区溢出的漏洞发掘技术,以及不常见的诸如格式化字符串的漏洞发掘技术。使用这些技术的最终目标是控制目标程序的执行流程,以欺骗程序使其运行一段偷偷植入内存的恶意代码,这称为“执行任意代码”,得名的原因是黑客可根据自己的意愿命令程序做几乎任何事情。由于存在程序不能处理的特殊意外情形,便出现了这些漏洞。通常,这些意外情形会导致程序“崩溃”,使执行流从“悬崖”滚落。但若精心控制环境,即可控制执行流,阻止崩溃,通过重新编程来操纵这个过程。
C语言中main函数的参数
热门推荐
cnctloveyu的专栏
02-18 3万+
我们经常用的main函数都是不带参数的。因此main 后的括号都是空括号。实际上,main函数可以带参数,这个参数可以认为是 main函数的形式参数。C语言规定main函数的参数只能有两个, 习惯上这两个参数写为argc和argv。因此,main函数的函数头可写为: main (argc,argv)C语言还规定argc(第一个形参)必须是整型变量,argv( 第二个形参)必须是指向字符串的指针数组
局部变量申请栈空间时的入栈顺序
weixin_33881140的博客
03-29 483
运行环境:ubuntu 14.04(32bit) 编译环境:gcc Source Code: {stack_test.c} #include <stdio.h> #include <string.h> int main(int argc, char *argv[]) { char buffer_on...
《网络安全技术》大作业:缓冲区溢出实验报告
12-27
一、缓冲区溢出原理 缓冲区溢出是因为在程序执行时数据的长度超出了预先分配的空间大小,导致覆盖了其他数据的分配区域,从而执行非授权指令,获取信息,取得系统特权进而进行各种非法操作导致程序运行失败、系统宕...
缓冲区溢出漏洞实验报告(附带程序源码和被攻击程序)
04-18
3.缓冲区溢出演示 4.溢出攻击结果与危害 5.防御手段 适合人群: 具备一定编程基础,作业时间不够的学生,对缓冲区溢出原理不了解的初学者 环境: IDA pro7.6, vc++ ,x32dbg。 阅读建议: 有一点 x32dbg逆向工具...
实验五 缓冲区溢出实验1
08-08
"实验五 缓冲区溢出实验1" 缓冲区溢出是一种常见的安全漏洞,发生在程序尝试向预先分配的固定大小缓冲区写入数据超出边界时。这种脆弱点能被恶意用户利用来改变程序的控制流程,导致恶意代码的执行。本实验的目的是...
seed缓冲区溢出实验报告1
08-03
《seed缓冲区溢出实验报告解析》 缓冲区溢出是一种常见的软件安全漏洞,它发生在程序尝试向固定大小的缓冲区内写入超过其容量的数据时。在这个实验中,我们将深入理解这一概念,以及如何利用它来获取不同级别的权限...
溢出:strcpy()造成的缓冲区溢出
anddy926的专栏
12-28 4332
代码: #include  #include  void fun(const char* input) {        char buf[8];        printf("My stack look like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n");        strcpy(buf,input);        printf("%s\n",b
为什么使用枚举
困兽犹斗
03-06 1848
一直认为枚举是很鸡肋的东西,直到今天才知道原来它也很有用... #include enum open_mode {read,write,create}; enum aenum{zero}; void filefunction(open_mode mode) {     switch(mode){       case read:          printf("re
写一个函数,参数是三个数,返回较大两个之和
困兽犹斗
04-25 1578
scheme: (define (bigsum a b c) (- (+ a b c) (min a b c))) (bigsum 1 2 3) (bigsum 2 3 3) (bigsum 1 1 3) (bigsum 1 2 1) (bigsum 1 9 3) python: #!/usr/bin/env python def bigsum
分离整型每个字节
困兽犹斗
03-26 1180
//分离出一个int数据类型中的每个字节 (get every byte of a int type) #include #include int main(int argc,char** argv) { if (sizeof (int) != 4) { fprintf(stderr,"Unkown type!\n"); r
最简单的Cpp程序
困兽犹斗
03-06 1018
main(){}
打印ascii字符表
困兽犹斗
03-15 827
#include #include int main(){ int i = 0; for (i = 0; i } 汇编版: DATA SEGMENT DATA ENDS CODE SEGMENT ASSUME CS:CODE, DS:DATA START: MOV CX, 100H MOV DL, 0 NEXT: MO
Windows缓冲区溢出编程详解
缓冲区溢出 缓冲区溢出是指在计算机安全领域中,攻击者通过向缓冲区写入过多数据,导致缓冲区溢出,从而实现恶意代码的执行或其他恶意行为。缓冲区溢出是一种常见的安全漏洞,广泛存在于各种操作系统和应用程序中。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值