緩沖區(qū)溢出攻擊詳細講解

1、緩沖區(qū)溢出攻擊詳細講解緩沖區(qū)溢出（BufferOverflow）是計算機安全領(lǐng)域內(nèi)既經(jīng)典而又古老的話題。隨著計算機系統(tǒng)安全性的加強，傳統(tǒng)的緩沖區(qū)溢出攻擊方式可能變得不再奏效，相應(yīng)的介紹緩沖區(qū)溢出原理的資料也變得“大眾化”起來。其中看雪的《0day安全：軟件漏洞分析技術(shù)》一書將緩沖區(qū)溢出攻擊的原理闡述得簡潔明了。本文參考該書對緩沖區(qū)溢出原理的講解，并結(jié)合實際的代碼實例進行驗證。不過即便如此，完成一個簡單的溢出代碼也需要解決很多書中無法涉及

2、的問題，尤其是面對較新的具有安全特性的編譯器——比如MS的VisualStudio2010。接下來，我們結(jié)合具體代碼，按照對緩沖區(qū)溢出原理的循序漸進地理解方式去挖掘緩沖區(qū)溢出背后的底層機制。一、代碼數(shù)據(jù)顧名思義，緩沖區(qū)溢出的含義是為緩沖區(qū)提供了多于其存儲容量的數(shù)據(jù)，就像往杯子里倒入了過量的水一樣。通常情況下，緩沖區(qū)溢出的數(shù)據(jù)只會破壞程序數(shù)據(jù)，造成意外終止。但是如果有人精心構(gòu)造溢出數(shù)據(jù)的內(nèi)容，那么就有可能獲得系統(tǒng)的控制權(quán)！如果說用戶（也可

3、能是黑客）提供了水——緩沖區(qū)溢出攻擊的數(shù)據(jù)，那么系統(tǒng)提供了溢出的容器——緩沖區(qū)。緩沖區(qū)在系統(tǒng)中的表現(xiàn)形式是多樣的，高級語言定義的變量、數(shù)組、結(jié)構(gòu)體等在運行時可以說都是保存在緩沖區(qū)內(nèi)的，因此所謂緩沖區(qū)可以更抽象地理解為一段可讀寫的內(nèi)存區(qū)域，緩沖區(qū)攻擊的最終目的就是希望系統(tǒng)能執(zhí)行這塊可讀寫內(nèi)存中已經(jīng)被蓄意設(shè)定好的惡意代碼。按照馮諾依曼存儲程序原理，程序代碼是作為二進制數(shù)據(jù)存儲在內(nèi)存的，同樣程序的數(shù)據(jù)也在內(nèi)存中，因此直接從內(nèi)存的二進制形式上是

4、無法區(qū)分哪些是數(shù)據(jù)哪些是代碼的，這也為緩沖區(qū)溢出攻擊提供了可能。圖2函數(shù)棧幀如圖所示，我們定義了一個簡單的函數(shù)function，它接受一個整形參數(shù)，做一次乘法操作并返回。當調(diào)用function(0)時，arg參數(shù)記錄了值0入棧，并將callfunction指令下一條指令的地址0x00bd16f0保存到棧內(nèi)，然后跳轉(zhuǎn)到function函數(shù)內(nèi)部執(zhí)行。每個函數(shù)定義都會有函數(shù)頭和函數(shù)尾代碼，如圖綠框表示。因為函數(shù)內(nèi)需要用ebp保存函數(shù)棧幀基址，

5、因此先保存ebp原來的值到棧內(nèi)，然后將棧指針esp內(nèi)容保存到ebp。函數(shù)返回前需要做相反的操作——將esp指針恢復(fù)，并彈出ebp。這樣，函數(shù)內(nèi)正常情況下無論怎樣使用棧，都不會使棧失去平衡。subesp44h指令為局部變量開辟了?？臻g，比如ret變量的位置。理論上，function只需要再開辟4字節(jié)空間保存ret即可，但是編譯器開辟了更多的空間（這個問題很詭異，你覺得呢？）。函數(shù)調(diào)用結(jié)束返回后，函數(shù)棧幀恢復(fù)到保存參數(shù)0時的狀態(tài)，為了保持棧