Linux和Windows堆栈溢出利用对比

最新推荐文章于 2024-11-08 09:39:46 发布
原创 最新推荐文章于 2024-11-08 09:39:46 发布 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#堆栈 #内存 #溢出 #Linux #Windows

本文对比分析了Linux和Windows系统下堆栈溢出的利用过程,包括返回点定位、ShellCode编写和跳转到ShellCode的方法。通过实例讲解了如何在Windows和Linux上创建并利用ShellCode来实现特定功能,如开启DOS窗口。

堆栈溢出的利用,有三大条件,一是返回点的定位,二是ShellCode的编写,三是跳转到ShellCode。

1.返回点的定位

在Windows下,F.ZH的在它经典的《菜鸟版Exploit编写指南之一》的文章中,详细的讲述了利用报错对话框精确定位溢出返回点的方法。
Windows下弹出报错对话框,显示“0x74737271”指令引用“0x74737271”内存,该地址不能为“read”。

里面隐含的意思就是返回点EIP被覆盖成了“0x74737271”,去执行的时候该地址是不能读的,就有错误了。“0x74737271”是什么呢?前面说了,就是字符串“qrst”,离我们填充的第一个字符“a”正好距离是“q”–“a”=0x71 – 0x61=0x10=16,所以在报错对话框的帮助下,我们可以轻松的知道,在覆盖了16个字符之后,就到达返回点的位置了。

在知道了返回点EIP的位置后,我们就可以覆盖返回点为任意值,让程序运行到一个错误的地方,从而出现报错提示。那如果我们特意把EIP覆盖成我们想去的程序的地方呢?当然就可以运行我们想要的程序了,而一般的,我们想要的程序称为ShellCode!看到胜利的曙光了吧?!

2.ShellCode的编写方法

Shell最先指人机交互的界面,而这里Shellcode不仅仅指交互,它还指可以实现任意功能的代码,可以涉及到很多方面。我们想要的程序功能最好是能够开一个DOS窗口,那我们可以做很多事情了。

在Windows下,开DOS窗口的程序如下:

#include<Windows.h>
int main()
{
    LoadLibrary(“msvcrt.dll”);
    system(“command.com”);
    return 0;
}

Windows下执行一个Command.com就可以获得一个DOS窗口,在C库函数里面,语句System(“command.com”);将完成我们需要的功能。Windows是通过动态链接库DLL来提供系统函数的。System函数由Msvcrt.dll(The Microsoft VIsual C++ Runtime library)提供,所以要想执行System,我们必须首先使用LoadLibrary(“msvcrt.dll”);装载动态链接库,svcrt.dll之后才能调用System函数。
我们执行上面的代码,看看效果吧:弹出来了一个DOS对话框!可以执行DIR,COPY等任意DOS命令。

我们要得到机器码形式的ShellCode,可以在VC中按F10调试,然后在Debug工具栏中,点最后一个按钮Disassemble,这样出现了源程序的汇编代码,再在代码窗口上点右键,在弹出菜单中选择Code Bytes,这样就出现了源程序的机器码。

原理上我们抄下来就可以了,但一般情况下,需要用汇编优化一下,并且处理好调用函数地址的问题,这样我们就可以得到Windows2000 SPN下,开DOS窗口的ShellCode了,没你想象中那么神秘吧?

代码

最低0.47元/天 解锁文章
WindowsLinux下排查C++软件异常的常用调试器与内存检测工具详细介绍
dvlinker的技术专栏
08-17 2万+
本文详细介绍了WindowsLinux下排查C++软件异常的常用调试器与内存监测工具。
红队内网攻防渗透:内网渗透之内网对抗:Windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选
HACKONE的博客
05-30 304
红队内网攻防渗透1. 内网权限提升技术1.1 windows内网权限提升技术--手工篇 1. 内网权限提升技术 1.1 windows内网权限提升技术–手工篇
linux&windows下面的堆内存
weixin_34240657的博客
12-03 260
<1>linux下每个进程只有一个heap,在任何一个动态库模块so中通过new或者malloc来分配内存的时候都是从这个唯一的heap中分配的,那么自然你在其他随便什么地方都可以释放<2>但在windows下面就复杂了(1)windows允许一个进程有多个heap,那么这样就需要指明一块内存要在那个heap上分配的,win32的HeapAlloc函数...
探究在linuxwindows下atoi函数在溢出处理的区别
TateBrwonJava的博客
10-20 1053
最近在复习数据结构刷leetcode的时候突然出现了一个问题。 上面这是题目,当然简单的做肯定简单,我想用atoito_string函数,然后就出现问题了。 本来我在windos本机测试,当数字正溢出的时候,atoi返回的数字都是INT_MAX,然后就想当然拿aoti函数测试,如果返回的数字是INT_MAX的时候,就表示溢出了直接返回0. 然后提交之后,死活就不对,查看了一下执行结果,...
linux 堆栈溢出的问题
08-16
unix linux 堆栈 溢出 的 问题
LinuxWindows在十三方面大对决
shineHoo的专栏
06-10 946
<br />Linux是一套免费使用自由传播的类UNIX操作系统,主要用于基于Intel x86系列CPU的计算机上。Linux系统是由全世界各地的成千上万的程序员设计实现的,其目的是建立不受任何商品化软件的版权所制约的、全世界都能自由使用的UNIX兼容产品。Windows同样主要用于基于Intel x86系列CPU的计算机上。本文将它们作一个比较。<br /> <br />  <br />(一) 编程篇<br />  一般人们习惯于认为Linus是Linux的缔造者,在Linux包含的数以千计的文件中
linuxwindows内存分配区别
丑逼的博客
07-23 3016
同样的一段代码#include<stdio.h> int main(int argc, char **argv) { int i; int a[5]; for(i=0;i<6;i++) a[i]=0; printf("hello word"); return 0; }在linuxwindows上运行的结果是不同的。在windows上由于数组越界导致for进入死循环而没有
内存监控全解析:避免堆栈溢出导致任务崩溃的7个关键步骤
内存溢出,尤其是堆栈溢出,常导致程序崩溃、数据损坏甚至安全漏洞,如攻击者利用栈溢出劫持控制流。深入理解内存监控机制与溢出危害,是构建健壮系统的前提。 # 2. 堆栈内存的工作机制与风险分析 在现代软件系统...
任务堆栈溢出伪装成“死锁”?3步识别假性卡顿的排查方法论
从“死锁”假象到任务堆栈溢出的本质 在高并发系统调试中,开发者常将程序“无响应”误判为死锁。然而,许多看似死锁的卡顿实则源于任务堆栈溢出——线程因递归过深或局部变量过大触发栈边界保护,导致运行时异常...
64位Linux下的栈溢出
10-05
0x01 x86x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户控制的缓冲区 0x06 执行shellcode 0x07 GDB vs 现实 0x08 结语
栈溢出攻击技术 windows linux下的都有
08-27
缓冲区溢出攻击简介 基本概念及发展历史 背景知识 (Linux & win32) 缓冲区溢出攻击的原理 栈溢出攻击如何工作? Linux: 栈溢出, shellcode Win32: 栈溢出, shellcode 总结 有需要的话,我有光盘。可以找我。
堆栈溢出调试方法合集
07-19
栈溢出获取shell 用gdb调试缓冲区溢出 初尝Linux栈溢出 用gdb调试缓冲区溢出 栈的观察
linux堆栈溢出实例,堆栈溢出Linux上沉默?
weixin_33917663的博客
05-13 239
Linux上,我有一个代码,它使用在main函数内声明的数组,其中6e为1MB 1字节#include #include #define MAX_DATA (2097152) /* 2MB */int main(int argc, char *argv[]){/* Reserve 1 byte for null termination */char data[MAX_DATA + 1];pri...
linux 栈溢出
sky123博客
02-01 4467
栈基础知识 栈结构 函数调用过程 32位为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序 普通函数传参:参数基本都压在栈上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64位程序: 普
linux栈溢出定位
qq_27357145的博客
02-10 1391
1、栈溢出可能打印2、栈溢出保护机制gcc提供了栈保护机制stack-protector(编译选项),开启了栈保护机制后,可检测运行时栈溢出。二、GDB多线程调试gdb命令:(1)查看可切换调试的线程:info threads(2)切换调试的线程:thread 线程id(3)只运行当前线程:set scheduler-locking on(4)运行全部的线程:set scheduler-locking off。
linux栈溢出分析
2401_86544677的博客
11-08 1376
在探讨栈溢出之前,我们需要理解栈这一基本概念。栈是一种的数据结构,在计算机内存管理中扮演关键角色。它主要用于:存储函数调用的局部变量参数支持函数调用返回实现高效的内存分配释放: 编译器自动管理,无需显式分配释放: 通常限制在几兆字节: 函数结束时自动释放内存这种特性使栈特别适用于短期存在的数据结构,如函数的局部变量临时数据。然而,正是这种自动管理固定大小的特性,也为栈溢出埋下了隐患。栈溢出是计算机科学中一个经典的内存安全问题,源于程序对栈内存的不当使用。
Linux Kernel Stack Overflow/Linux 内核栈溢出
热门推荐
lenky0401的专栏
01-13 2万+
Linux内核会分配一页(4K stack)或两页连续(8K stack)不可交换(non-swappable)内存来作为内核栈使用。可以看到,一个地方(kernel_stack_init函数)的栈占去$0x400(有几个局部变量是直接使用的寄存器,所以才没有消耗栈),而另外一个地方(just_copy_half函数)的栈占去%rax是个不定值,这就需要继续看对应的汇编来进行分析(因为数组是动态数组),这只是个示例,如果在真实内核代码中有这样的函数,那是相当危险的。,好吧,继续8K内核栈。
vs C++如何快速查清堆栈异常
最新发布
06-14
<think>我们讨论的是C++中如何快速查清堆栈异常。堆栈异常通常表现为程序崩溃(如段错误)、栈溢出(stackoverflow)或栈损坏(stackcorruption)等。以下是一些常用的方法工具:###1.使用调试器(GDB/LLDB)在Linux/macOS下,GDBLLDB是常用的调试器。Windows下可以使用VisualStudio的调试器或GDB(如果使用MinGW或Cygwin)。####步骤:-编译时加入调试信息(`-g`选项)-运行程序直到崩溃,然后使用调试器查看堆栈回溯(backtrace)示例:```bash#编译g++-g-omy_programmy_program.cpp#运行并调试gdb./my_program```在GDB中,运行程序(`run`),当崩溃时,输入`backtrace`(或`bt`)查看堆栈调用情况。###2.使用AddressSanitizer(ASan)AddressSanitizer是Google开发的内存错误检测工具,可以检测栈溢出、堆溢出、使用释放后的内存等问题。####使用方式:编译时加入`-fsanitize=address`选项,并建议加上`-g`以获取详细的行号信息。示例:```bashg++-g-fsanitize=address-omy_programmy_program.cpp```运行程序,如果发生内存错误,ASan会打印出详细的错误信息,包括堆栈跟踪。###3.使用ValgrindValgrind是一个强大的工具,主要用于检测内存泄漏内存错误。其中的Memcheck工具可以检测栈溢出(但注意,Valgrind对栈溢出检测不如ASan直接)。####使用方式:```bashvalgrind--leak-check=full./my_program```###4.栈溢出检测栈溢出通常是由于递归过深或局部变量过大导致。在Linux中,可以通过`ulimit-s`查看设置栈大小。但在调试时,我们更希望定位问题点。-使用调试器:当栈溢出时,程序会收到SIGSEGV信号,在调试器中可以查看崩溃时的堆栈。-使用ASan:ASan可以检测栈溢出(包括栈上缓冲区溢出)。###5.栈损坏(StackCorruption)栈损坏通常是由于缓冲区溢出(如数组越界)或使用未初始化的栈变量引起。调试方法:-使用ASan:可以检测到很多栈上的缓冲区溢出。-使用编译器的栈保护选项(如GCC的`-fstack-protector`),它会在函数栈上设置保护值(canary),在函数返回时检查这个值是否被修改,从而检测栈溢出。###6.核心转储(CoreDump)在程序崩溃时,操作系统可以生成核心转储文件(coredump),然后使用调试器分析。####启用核心转储:```bashulimit-cunlimited#设置core文件大小不受限```运行程序,崩溃后会生成core文件(通常名为`core`或`core.<pid>`),然后使用:```bashgdb./my_programcore```在GDB中使用`backtrace`查看崩溃时的堆栈。###示例代码(演示栈溢出)以下是一个简单的栈溢出示例(递归没有终止条件):```cpp#include<iostream>voidrecursive_function(inti){intarray[100];//占用栈空间std::cout<<i<<std::endl;recursive_function(i+1);}intmain(){recursive_function(0);return0;}```编译并运行,程序会因为栈溢出而崩溃。使用上述方法(如GDB)可以查看崩溃时的堆栈。###总结步骤:1.使用调试信息编译(`-g`)2.使用工具(如ASan、Valgrind)来检测内存问题3.利用调试器分析崩溃时的堆栈(backtrace)4.检查核心转储文件###§§相关问题§§:1.在C++中,如何检测内存泄漏?2.如何使用GDB调试运行中的程序?3.AddressSanitizer能检测哪些类型的内存错误?4.在Windows下,有哪些工具可以用于调试堆栈异常?</think>### C++ 中快速查清堆栈异常的方法 堆栈异常是 C++ 开发中常见的问题,通常表现为段错误(Segmentation Fault)、栈溢出(Stack Overflow)或堆损坏(Heap Corruption)。以下是快速定位解决堆栈异常的几种有效方法: --- #### 方法 1:使用调试器(GDB/LLDB)进行堆栈回溯 **步骤:** 1. 编译时添加调试符号:`g++ -g -o program source.cpp` 2. 启动调试器:`gdb ./program` 3. 运行程序:`run` 4. 崩溃时查看完整堆栈:`bt full` ```bash # 示例 GDB 操作流程 (gdb) run Program received signal SIGSEGV, Segmentation fault. (gdb) bt full #0 0x000055555555517e in foo() at main.cpp:8 x = 0 #1 0x0000555555555191 in bar() at main.cpp:13 p = 0x0 #2 0x00005555555551a5 in main() at main.cpp:18 ``` **关键点:** - `bt full` 显示带局部变量的完整堆栈 - 重点关注空指针访问(如 `p = 0x0`) - 检查栈帧中的变量值是否符合预期 --- #### 方法 2:使用 AddressSanitizer (ASan) 检测内存错误 **步骤:** 1. 编译时启用 ASan:`g++ -fsanitize=address -g -o program source.cpp` 2. 运行程序:`./program` ```cpp // 示例问题代码 #include <iostream> void heap_error() { int* arr = new int[10]; delete[] arr; std::cout << arr[5] << std::endl; // 释放后使用 } int main() { heap_error(); return 0; } ``` **ASan 输出示例:** ``` ==ERROR: AddressSanitizer: heap-use-after-free READ of size 4 at 0x60200000eff4 #0 0x4012a6 in heap_error() (program+0x4012a6) #1 0x40135a in main (program+0x40135a) 0x60200000eff4 is located 20 bytes inside of 40-byte region freed by T1: #0 0x7ffff71e2587 in operator delete[] (libasan.so.6+0xac587) #1 0x401291 in heap_error() (program+0x401291) ``` **优势:** - 自动检测内存错误(释放后使用、越界访问等) - 精确定位到源代码行号 - 额外检测栈溢出全局缓冲区溢出 --- #### 方法 3:使用 Valgrind 检测内存问题 **步骤:** 1. 编译常规版本:`g++ -o program source.cpp` 2. 运行检测:`valgrind --leak-check=full ./program` ```bash # Valgrind 输出示例 ==1234== Invalid read of size 4 ==1234== at 0x4012A6: heap_error() (main.cpp:7) ==1234== by 0x40135A: main (main.cpp:12) ==1234== Address 0x4de2044 is 20 bytes inside a block of size 40 free'd ==1234== at 0x483CAB0: operator delete[](void*) (vg_replace_malloc.c:649) ``` **适用场景:** - 生产环境调试(无需重新编译) - 检测内存泄漏非法访问 - 多线程环境下的堆问题 --- #### 方法 4:处理栈溢出 **检测方法:** 1. 使用 `ulimit -s unlimited` 临时解除栈限制 2. 通过调试器观察崩溃点(递归深度) 3. 使用 ASan 的栈保护选项:`-fsanitize=address -fstack-protector-all` **解决方案:** - 将递归改为迭代 - 使用堆分配大对象(`std::vector` 替代数组) - 增加栈大小(编译选项:`-Wl,-stack_size,0x10000000`) --- #### 方法 5:核心转储(Core Dump)分析 **配置步骤:** ```bash ulimit -c unlimited # 启用核心转储 echo "core" > /proc/sys/kernel/core_pattern # 设置保存路径 ./program # 触发崩溃 gdb ./program core # 分析转储文件 ``` **分析技巧:** - `gdb` 中使用 `info registers` 查看寄存器状态 - `x/10x $sp` 检查栈指针附近内存 - `disassemble` 反汇编当前指令 --- ### 总结对比表 | 方法 | 最佳场景 | 优点 | 缺点 | |--------------------|----------------------------|-------------------------------|---------------------| | GDB/LLDB | 交互式调试 | 直接查看变量状态 | 需要复现问题 | | AddressSanitizer | 开发环境内存错误检测 | 实时检测+精确行号 | 性能开销较大 | | Valgrind | 生产环境内存分析 | 无需重编译,检测内存泄漏 | 速度慢 | | Core Dump | 事后分析崩溃 | 保留崩溃现场 | 需要配置系统 |
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值