栈溢出

转载：作者：独自等待出处：IT专家网2007-12-18 09:56

虽然溢出在程序开发过程中不可完全避免，但溢出对系统的威胁是巨大的，由于系统的特殊性，溢出发生时攻击者可以利用其漏洞来获取系统的高级权限root，因此本文将详细介绍堆栈溢出技术……

　　在您开始了解堆栈溢出前，首先你应该了解win32汇编语言，熟悉寄存器的组成和功能。你必须有堆栈和存储分配方面的基础知识，有关这方面的计算机书籍很多，我将只是简单阐述原理，着重在应用。其次，你应该了解linux，本讲中我们的例子将在linux上开发。

　　1、首先复习一下基础知识。

　　从物理上讲，堆栈是就是一段连续分配的内存空间。在一个程序中，会声明各种变量。静态全局变量是位于数据段并且在程序开始运行的时候被加载。而程序的动态的局部变量则分配在堆栈里面。

　　从操作上来讲，堆栈是一个先入后出的队列。他的生长方向与内存的生长方向正好相反。我们规定内存的生长方向为向上，则栈的生长方向为向下。压栈的操作push=ESP-4，出栈的操作是pop=ESP+4.换句话说，堆栈中老的值，其内存地址，反而比新的值要大。请牢牢记住这一点，因为这是堆栈溢出的基本理论依据。

　　在一次函数调用中，堆栈中将被依次压入：参数，返回地址，EBP。如果函数有局部变量，接下来，就在堆栈中开辟相应的空间以构造变量。函数执行结束，这些局部变量的内容将被丢失。但是不被清除。在函数返回的时候，弹出EBP，恢复堆栈到函数调用的地址,弹出返回地址到EIP以继续执行程序。

　　在C语言程序中，参数的压栈顺序是反向的。比如func(a,b,c)。在参数入栈的时候，是：先压c，再压b,最后a。在取参数的时候，由于栈的先入后出，先取栈顶的a，再取b,最后取c。这些是汇编语言的基础知识，用户在开始前必须要了解这些知识。

　　2、现在我们来看一看什么是堆栈溢出。

　　运行时的堆栈分配

　　堆栈溢出就是不顾堆栈中数据块大小，向该数据块写入了过多的数据，导致数据越界，结果覆盖了老的堆栈数据。

　　例如程序一：

#include   　　int main ( )  　　{  　　char name[8];  　　printf("Please type your name: ");  　　gets(name);  　　printf("Hello, %s!", name);  　　return 0;  　　}

　　编译并且执行，我们输入ipxodi,就会输出Hello,ipxodi!。程序运行中，堆栈是怎么操作的呢?

　　在main函数开始运行的时候，堆栈里面将被依次放入返回地址，EBP。

　　我们用gcc -S 来获得汇编语言输出，可以看到main函数的开头部分对应如下语句：

pushl %ebp  　　movl %esp,%ebp  　　subl $8,%esp

　　首先他把EBP保存下来，，然后EBP等于现在的ESP，这样EBP就可以用来访问本函数的局部变量。之后ESP减8，就是堆栈向上增长8个字节，用来存放name[]数组。最后，main返回，弹出ret里的地址，赋值给EIP，CPU继续执行EIP所指向的指令。

　　堆栈溢出

　　现在我们再执行一次，输入ipxodiAAAAAAAAAAAAAAA,执行完gets(name)之后，由于我们输入的name字符串太长，name数组容纳不下，只好向内存顶部继续写‘A’。由于堆栈的生长方向与内存的生长方向相反，这些‘A’覆盖了堆栈的老的元素。 我们可以发现，EBP，ret都已经被‘A’覆盖了。在main返回的时候，就会把‘AAAA’的ASCII码：0x41414141作为返回地址，CPU会试图执行0x41414141处的指令，结果出现错误。这就是一次堆栈溢出。

　　3、如何利用堆栈溢出

　　我们已经制造了一次堆栈溢出。其原理可以概括为：由于字符串处理函数(gets，strcpy等等)没有对数组越界加以监视和限制，我们利用字符数组写越界，覆盖堆栈中的老元素的值，就可以修改返回地址。

　　在上面的例子中，这导致CPU去访问一个不存在的指令，结果出错。事实上，当堆栈溢出的时候，我们已经完全的控制了这个程序下一步的动作。如果我们用一个实际存在指令地址来覆盖这个返回地址，CPU就会转而执行我们的指令。

　　在UINX/linux系统中，我们的指令可以执行一个shell，这个shell将获得和被我们堆栈溢出的程序相同的权限。如果这个程序是setuid的，那么我们就可以获得root shell。下一讲将叙述如何书写一个shell code。

 

　　如何书写一个shell code

　　一：shellcode基本算法分析

　　在程序中，执行一个shell的程序是这样写的：

shellcode.c  　　------------------------------------------------------------------------  　　#include   　　void main() {  　　char *name[2];  　　name[0] = "/bin/sh"  　　name[1] = NULL;  　　execve(name[0], name, NULL);  　　}  　　------------------------------------------------------------------------

　   execve函数将执行一个程序。他需要程序的名字地址作为第一个参数。一个内容为该程序的argv[i](argv[n-1]=0)的指针数组作为第二个参数，以及(char*) 0作为第三个参数。

　　我们来看以看execve的汇编代码：

[nkl10]$Content$nbsp;gcc -o shellcode -static shellcode.c  　　[nkl10]$Content$nbsp;gdb shellcode  　　(gdb) disassemble __execve  　　Dump of assembler code for function __execve:  　　0x80002bc <__execve>: pushl %ebp ;  　　0x80002bd <__execve+1>: movl %esp,%ebp  　　;上面是函数头。  　　0x80002bf <__execve+3>: pushl %ebx  　　;保存ebx  　　0x80002c0 <__execve+4>: movl $0xb,%eax  　　;eax=0xb，eax指明第几号系统调用。  　　0x80002c5 <__execve+9>: movl 0x8(%ebp),%ebx  　　;ebp+8是第一个参数"/bin/sh\0"  　　0x80002c8 <__execve+12>: movl 0xc(%ebp),%ecx  　　;ebp+12是第二个参数name数组的地址  　　0x80002cb <__execve+15>: movl 0x10(%ebp),%edx  　　;ebp+16是第三个参数空指针的地址。  　　;name[2-1]内容为NULL，用来存放返回值。  　　0x80002ce <__execve+18>: int $0x80  　　;执行0xb号系统调用(execve)  　　0x80002d0 <__execve+20>: movl %eax,%edx  　　;下面是返回值的处理就没有用了。  　　0x80002d2 <__execve+22>: testl %edx,%edx  　　0x80002d4 <__execve+24>: jnl 0x80002e6 <__execve+42>  　　0x80002d6 <__execve+26>: negl %edx  　　0x80002d8 <__execve+28>: pushl %edx  　　0x80002d9 <__execve+29>: call 0x8001a34  　　<__normal_errno_location>  　　0x80002de <__execve+34>: popl %edx  　　0x80002df <__execve+35>: movl %edx,(%eax)  　　0x80002e1 <__execve+37>: movl $0xffffffff,%eax  　　0x80002e6 <__execve+42>: popl %ebx  　　0x80002e7 <__execve+43>: movl %ebp,%esp  　　0x80002e9 <__execve+45>: popl %ebp  　　0x80002ea <__execve+46>: ret  　　0x80002eb <__execve+47>: nop  　　End of assembler dump.

　　经过以上的分析，可以得到如下的精简指令算法：

movl $execve的系统调用号,%eax  　　movl "bin/sh\0"的地址,%ebx  　　movl name数组的地址,%ecx  　　movl name[n-1]的地址,%edx  　　int $0x80 ;执行系统调用(execve)

　　当execve执行成功后，程序shellcode就会退出，/bin/sh将作为子进程继续执行。可是，如果我们的execve执行失败，(比如没有/bin/sh这个文件)，CPU就会继续执行后续的指令，结果不知道跑到哪里去了。所以必须再执行一个exit()系统调用，结束shellcode.c的执行。

　　我们来看以看exit(0)的汇编代码：

(gdb) disassemble _exit  　　Dump of assembler code for function _exit:  　　0x800034c <_exit>: pushl %ebp  　　0x800034d <_exit+1>: movl %esp,%ebp  　　0x800034f <_exit+3>: pushl %ebx  　　0x8000350 <_exit+4>: movl $0x1,%eax ;1号系统调用  　　0x8000355 <_exit+9>: movl 0x8(%ebp),%ebx ;ebx为参数0  　　0x8000358 <_exit+12>: int $0x80 ;引发系统调用  　　0x800035a <_exit+14>: movl 0xfffffffc(%ebp),%ebx  　　0x800035d <_exit+17>: movl %ebp,%esp  　　0x800035f <_exit+19>: popl %ebp  　　0x8000360 <_exit+20>: ret  　　0x8000361 <_exit+21>: nop  　　0x8000362 <_exit+22>: nop  　　0x8000363 <_exit+23>: nop  　　End of assembler dump.

　　看来exit(0)〕的汇编代码更加简单：

movl $0x1,%eax ;1号系统调用  　　movl 0,%ebx ;ebx为exit的参数0  　　int $0x80 ;引发系统调用

　　那么总结一下，合成的汇编代码为：

movl $execve的系统调用号,%eax  　　movl "bin/sh\0"的地址,%ebx  　　movl name数组的地址,%ecx  　　movl name[n-1]的地址,%edx  　　int $0x80 ;执行系统调用(execve)  　　movl $0x1,%eax ;1号系统调用  　　movl 0,%ebx ;ebx为exit的参数0  　　int $0x80 ;执行系统调用(exit)

 

 

堆栈详解（转）

  堆栈就是这样一种数据结构。它是在内存中开辟一个存储区域，数据一个一个顺序地存入（也就是“压入——push”）这个区域之中。有一个地址指针总指向最后一个压入堆栈的数据所在的数据单元，存放这个地址指针的寄存器就叫做堆栈指示器。开始放入数据的单元叫做“栈底”。数据一个一个地存入，这个过程叫做“压栈”。在压栈的过程中，每有一个数据压入堆栈，就放在和前一个单元相连的后面一个单元中，堆栈指示器中的地址自动加1。读取这些数据时，按照堆栈指示器中的地址读取数据，堆栈指示器中的地址数自动减 1。这个过程叫做“弹出pop”。如此就实现了后进先出的原则。

      堆栈是计算机中最常用的一种数据结构，比如函数的调用在计算机中是用堆栈实现的。堆栈可以用数组存储，也可以用以后会介绍的链表存储。下面是一个堆栈的结构体定义，包括一个栈顶指针，一个数据项数组。栈顶指针最开始指向-1,然后存入数据时，栈顶指针加1，取出数据后，栈顶指针减1。

 

堆和栈是两个不同的概念：

      简单的来讲堆（heap）上分配的内存，系统不释放，而且是动态分配的。栈（stack）上分配的内存系统会自动释放，它是静态分配的。运行时栈叫堆栈。栈的分配是从内存的高地址向低地址分配的，而堆则相反。

      由malloc或new分配的内存都是从heap上分配的内存，从heap上分配的内存必须有程序员自己释放，用free来释放，否则这块内存会一直被占用而得不到释放，就出现了“内存泄露（Memory Leak）”。这样会造成系统的可分配内存的越来越少，导致系统崩溃。

 

题外：

很多人认为在程序中尽量使用堆而不使用栈，因为堆栈溢出很危险。其实堆溢出比栈溢出更危险。哈哈~！

 

转二：深入理解

 

在计算机领域，堆栈是一个不容忽视的概念，但是很多人甚至是计算机专业的人也没有明确堆栈其实是两种数据结构。

要点：

      堆：顺序随意

      栈：先进后出

 

堆和栈的区别：

一、预备知识—程序的内存分配

     一个由c/C++编译的程序占用的内存分为以下几个部分

      1、栈区（stack）— 由编译器自动分配释放 ，存放函数的参数值，局部变量的值等。其操作方式类似于数据结构中的栈。

      2、堆区（heap） — 一般由程序员分配释放， 若程序员不释放，程序结束时可能由OS回收 。注意它与数据结构中的堆是两回事，分配方式倒是类似于链表，呵呵。

      3、全局区（静态区）（static）—，全局变量和静态变量的存储是放在一块的，初始化的全局变量和静态变量在一块区域， 未初始化的全局变量和未初始化的静态变量在相邻的另一块区域。 - 程序结束后有系统释放

      4、文字常量区 —常量字符串就是放在这里的。 程序结束后由系统释放

      5、程序代码区—存放函数体的二进制代码。

例子程序

这是一个前辈写的，非常详细

[cpp]  view plain copy

1. //main.cpp    
2.   
3. int a = 0; //全局初始化区    
4.   
5. char *p1; //全局未初始化区    
6.   
7. main()   
8.   
9. {   
10.   
11.     int b; //栈    
12.   
13.      char s[] = "abc "; //栈    
14.   
15.      char *p2; //栈    
16.   
17.      char *p3 = "123456 "; //123456/0在常量区，p3在栈上。    
18.   
19.      static int c =0； //全局（静态）初始化区    
20.   
21.      p1 = (char *)malloc(10);   
22.   
23.     p2 = (char *)malloc(20); //分配得来得10和20字节的区域就在堆区。    
24.   
25.      strcpy(p1, "123456 "); //123456/0放在常量区，编译器可能会将它与p3所指向的 "123456 "优化成一个地方。    
26.   
27. }   

[cpp]  view plain  copy

1. //main.cpp   
2.   
3. int a = 0; //全局初始化区   
4.   
5. char *p1; //全局未初始化区   
6.   
7. main()   
8.   
9. {   
10.   
11.     int b; //栈   
12.   
13.      char s[] = "abc "; //栈   
14.   
15.      char *p2; //栈   
16.   
17.      char *p3 = "123456 "; //123456/0在常量区，p3在栈上。   
18.   
19.      static int c =0； //全局（静态）初始化区   
20.   
21.      p1 = (char *)malloc(10);   
22.   
23.     p2 = (char *)malloc(20); //分配得来得10和20字节的区域就在堆区。   
24.   
25.      strcpy(p1, "123456 "); //123456/0放在常量区，编译器可能会将它与p3所指向的 "123456 "优化成一个地方。   
26.   
27. }   

二、堆和栈的理论知识

2.1申请方式

stack: 由系统自动分配。 例如，声明在函数中一个局部变量 int b; 系统自动在栈中为b开辟空间

heap: 需要程序员自己申请，并指明大小，在c中malloc函数,如p1 = (char *)malloc(10);

在C++中用new运算符,如p2 = (char *)malloc(10);

但是注意p1、p2本身是在栈中的。

2.2

申请后系统的响应

栈：只要栈的剩余空间大于所申请空间，系统将为程序提供内存，否则将报异常提示栈溢出。

堆：首先应该知道操作系统有一个记录空闲内存地址的链表，当系统收到程序的申请时，

会 遍历该链表，寻找第一个空间大于所申请空间的堆结点，然后将该结点从空闲结点链表中删除，并将该结点的空间分配给程序，另外，对于大多数系统，会在这块内 存空间中的首地址处记录本次分配的大小，这样，代码中的delete语句才能正确的释放本内存空间。另外，由于找到的堆结点的大小不一定正好等于申请的大 小，系统会自动的将多余的那部分重新放入空闲链表中。

2.3申请大小的限制

栈：在Windows 下,栈是向低地址扩展的数据结构，是一块连续的内存的区域。这句话的意思是栈顶的地址和栈的最大容量是系统预先规定好的，在 WINDOWS下，栈的大小是2M（也有的说是1M，总之是一个编译时就确定的常数），如果申请的空间超过栈的剩余空间时，将提示overflow。因 此，能从栈获得的空间较小。

堆：堆是向高地址扩展的数据结构，是不连续的内存区域。这是由于系统是用链表来存储的空闲内存地址的，自然是不连续的，而链表的遍历方向是由低地址向高地址。堆的大小受限于计算机系统中有效的虚拟内存。由此可见，堆获得的空间比较灵活，也比较大。

2.4申请效率的比较：

栈由系统自动分配，速度较快。但程序员是无法控制的。

堆是由new分配的内存，一般速度比较慢，而且容易产生内存碎片,不过用起来最方便.

另外，在WINDOWS下，最好的方式是用VirtualAlloc分配内存，他不是在堆，也不是在栈是直接在进程的地址空间中保留一快内存，虽然用起来最不方便。但是速度快，也最灵活

2.5堆和栈中的存储内容

栈： 在函数调用时，第一个进栈的是主函数中后的下一条指令（函数调用语句的下一条可执行语句）的地址，然后是函数的各个参数，在大多数的C编译器中，参数是由右往左入栈的，然后是函数中的局部变量。注意静态变量是不入栈的。

当本次函数调用结束后，局部变量先出栈，然后是参数，最后栈顶指针指向最开始存的地址，也就是主函数中的下一条指令，程序由该点继续运行。

堆：一般是在堆的头部用一个字节存放堆的大小。堆中的具体内容有程序员安排。

2.6存取效率的比较

char s1[] = "aaaaaaaaaaaaaaa ";

char *s2 = "bbbbbbbbbbbbbbbbb ";

aaaaaaaaaaa是在运行时刻赋值的；

而bbbbbbbbbbb是在编译时就确定的；

但是，在以后的存取中，在栈上的数组比指针所指向的字符串(例如堆)快。

比如：

#include

void main()

{

char a = 1;

char c[] = "1234567890 ";

char *p = "1234567890 ";

a = c[1];

a = p[1];

return;

}

对应的汇编代码

10: a = c[1];

00401067 8A 4D F1 mov cl,byte ptr [ebp-0Fh]

0040106A 88 4D FC mov byte ptr [ebp-4],cl

11: a = p[1];

0040106D 8B 55 EC mov edx,dword ptr [ebp-14h]

00401070 8A 42 01 mov al,byte ptr [edx+1]

00401073 88 45 FC mov byte ptr [ebp-4],al

第一种在读取时直接就把字符串中的元素读到寄存器cl中，而第二种则要先把指针值读到edx中，在根据edx读取字符，显然慢了。

?

.7小结：

堆和栈的区别可以用如下的比喻来看出：

使用栈就象我们去饭馆里吃饭，只管点菜（发出申请）、付钱、和吃（使用），吃饱了就走，不必理会切菜、洗菜等准备工作和洗碗、刷锅等扫尾工作，他的好处是快捷，但是自由度小。

使用堆就象是自己动手做喜欢吃的菜肴，比较麻烦，但是比较符合自己的口味，而且自由度大。

堆和栈的区别主要分：

操作系统方面的堆和栈，如上面说的那些，不多说了。

还有就是数据结构方面的堆和栈，这些都是不同的概念。这里的堆实际上指的就是（满足堆性质的）优先队列的一种数据结构，第1个元素有最高的优先权；栈实际上就是满足先进后出的性质的数学或数据结构。

虽然堆栈，堆栈的说法是连起来叫，但是他们还是有很大区别的，连着叫只是由于历史的原因。

五大内存分区

在C++中，内存分成5个区，他们分别是堆、栈、自由存储区、全局/静态存储区和常量存储区。

栈，就是那些由编译器在需要的时候分配，在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。

堆，就是那些由new分配的内存块，他们的释放编译器不去管，由我们的应用程序去控制，一般一个new就要对应一个delete。如果程序员没有释放掉，那么在程序结束后，操作系统会自动回收。

自由存储区，就是那些由malloc等分配的内存块，他和堆是十分相似的，不过它是用free来结束自己的生命的。

全局/静态存储区，全局变量和静态变量被分配到同一块内存中，在以前的C语言中，全局变量又分为初始化的和未初始化的，在C++里面没有这个区分了，他们共同占用同一块内存区。

常量存储区，这是一块比较特殊的存储区，他们里面存放的是常量，不允许修改（当然，你要通过非正当手段也可以修改，而且方法很多）

明确区分堆与栈

在bbs上，堆与栈的区分问题，似乎是一个永恒的话题，由此可见，初学者对此往往是混淆不清的，所以我决定拿他第一个开刀。

首先，我们举一个例子：

void f() { int* p=new int[5]; }

这条短短的一句话就包含了堆与栈，看到new，我们首先就应该想到，我们分配了一块堆内存，那么指针p呢？他分配的是一块栈内存，所以这句话的意思就是： 在栈内存中存放了一个指向一块堆内存的指针p。在程序会先确定在堆中分配内存的大小，然后调用operator new分配内存，然后返回这块内存的首地址，放入栈中，他在VC6下的汇编代码如下：

00401028 push 14h

0040102A call operator new (00401060)

0040102F add esp,4

00401032 mov dword ptr [ebp-8],eax

00401035 mov eax,dword ptr [ebp-8]

00401038 mov dword ptr [ebp-4],eax

这里，我们为了简单并没有释放内存，那么该怎么去释放呢？是delete p么？澳，错了，应该是delete []p，这是为了告诉编译器：我删除的是一个数组，VC6就会根据相应的Cookie信息去进行释放内存的工作。

好了，我们回到我们的主题：堆和栈究竟有什么区别？

主要的区别由以下几点：

1、管理方式不同；

2、空间大小不同；

3、能否产生碎片不同；

4、生长方向不同；

5、分配方式不同；

6、分配效率不同；

管理方式：对于栈来讲，是由编译器自动管理，无需我们手工控制；对于堆来说，释放工作由程序员控制，容易产生memory leak。

空间大小：一般来讲在32位系统下，堆内存可以达到4G的空间，从这个角度来看堆内存几乎是没有什么限制的。但是对于栈来讲，一般都是有一定的空间大小 的，例如，在VC6下面，默认的栈空间大小是1M（好像是，记不清楚了）。当然，我们可以修改：

打开工程，依次操作菜单如下：Project-> Setting-> Link，在Category 中选中Output，然后在Reserve中设定堆栈的最大值和commit。

注意：reserve最小值为4Byte；commit是保留在虚拟内存的页文件里面，它设置的较大会使栈开辟较大的值，可能增加内存的开销和启动时间。

碎片问题：对于堆来讲，频繁的new/delete势必会造成内存空间的不连续，从而造成大量的碎片，使程序效率降低。对于栈来讲，则不会存在这个问题， 因为栈是先进后出的队列，他们是如此的一一对应，以至于永远都不可能有一个内存块从栈中间弹出，在他弹出之前，在他上面的后进的栈内容已经被弹出，详细的 可以参考数据结构，这里我们就不再一一讨论了。

生长方向：对于堆来讲，生长方向是向上的，也就是向着内存地址增加的方向；对于栈来讲，它的生长方向是向下的，是向着内存地址减小的方向增长。

分配方式：堆都是动态分配的，没有静态分配的堆。栈有2种分配方式：静态分配和动态分配。静态分配是编译器完成的，比如局部变量的分配。动态分配由 alloca函数进行分配，但是栈的动态分配和堆是不同的，他的动态分配是由编译器进行释放，无需我们手工实现。

分配效率：栈是机器系统提供的数据结构，计算机会在底层对栈提供支持：分配专门的寄存器存放栈的地址，压栈出栈都有专门的指令执行，这就决定了栈的效率比 较高。堆则是C/C++函数库提供的，它的机制是很复杂的，例如为了分配一块内存，库函数会按照一定的算法（具体的算法可以参考数据结构/操作系统）在堆 内存中搜索可用的足够大小的空间，如果没有足够大小的空间（可能是由于内存碎片太多），就有可能调用系统功能去增加程序数据段的内存空间，这样就有机会分 到足够大小的内存，然后进行返回。显然，堆的效率比栈要低得多。

从这里我们可以看到，堆和栈相比，由于大量new/delete的使用，容易造成大量的内存碎片；由于没有专门的系统支持，效率很低；由于可能引发用户态 和核心态的切换，内存的申请，代价变得更加昂贵。所以栈在程序中是应用最广泛的，就算是函数的调用也利用栈去完成，函数调用过程中的参数，返回地址， EBP和局部变量都采用栈的方式存放。所以，我们推荐大家尽量用栈，而不是用堆。

虽然栈有如此众多的好处，但是由于和堆相比不是那么灵活，有时候分配大量的内存空间，还是用堆好一些。

无论是堆还是栈，都要防止越界现象的发生（除非你是故意使其越界），因为越界的结果要么是程序崩溃，要么是摧毁程序的堆、栈结构，产生以想不到的结果,就 算是在你的程序运行过程中，没有发生上面的问题，你还是要小心，说不定什么时候就崩掉，那时候debug可是相当困难的：）

对了，还有一件事，如果有人把堆栈合起来说，那它的意思是栈，可不是堆，呵呵，清楚了？

 

补充

　　堆栈是一种存储部件，即数据的写入跟读出不需要提供地址，而是根据写入的顺序决定读出的顺序.