第二章 栈溢出
前一章我们简要的介绍了内存的组织管理,内存是如何加载一个程序并运行的,如何会引发栈溢出以及栈溢出能够产生什么样的危害。
这就让读者明白了我们为什么要把关注的重心放到栈溢出的研究分析上来。首先,我们看看栈溢出利用的一般方式 shell code(之所以叫做shell code,因为这种方式往往实现一个root shell)。随后,让我们通过一些例子来熟悉这些原理。
原理
在上一章里面我们讨论函数调用的时候,通过反汇编一个程序的二进制文件我们了解到,eip寄存器中存储了函数调用后返回的下一条指令的地址,也就知道了 eip寄存器在程序运行中起到的作用。我们还知道,在call指令调用的时候会将eip中的地址入栈,之后调用ret指令的时候会将该地址取出。
这就意味着当一个程序运行并调用函数的时候,下一条指令的地址将会被存储在栈中,从而如果我们能够设法改变栈中存储的这个地址的值,我们就能给eip返回一个我们想要的值。这样当程序从调用的函数中返回的时候就能够执行我们想要执行的代码。
然而,我们很难精确定位内存中我们想要的信息的位置,比如函数调用后返回的地址。我们只能寻找更容易些的方法来实现我们的要求(替换栈中那个我们要改变的值)。于是我们选择覆盖一个大一些的内存段中的内容,将所有的word单位设置成我们想要的那个地址,这就能增加我们成功的几率。
另外还有一个难点是寻找我们自己的shellcode在内存中的地址。我们需要计算栈指针到我们的buffer的距离。对于buffer来说,我们仅仅能知道它在内存中的近似的地址,因此我们把shellcode的内容存入缓冲区的中部,再用NOP来填充之前的部分。NOP是一种一个字节长度的 opcode,它什么操作也不执行。这样以来,只要在栈中存储buffer缓冲区的大地址,程序就会跳转到那里执行若干个NOP而后转入执行我们的 shellcode。
举例
在上一章节里我们已经通过举例证明了通过写缓冲区变量来改变内存高地址内容的可能性。让我们再次回忆一下函数调用的整个工作流程。
在函数调用的整个流程中,假如函数允许我们写一个缓冲区并且未能对此进行有效的约束和控制,就使得我们可能改变程序的一些重要数据,这里我们最感兴趣的是--那个返回地址,即函数返回后程序将会继续执行的下一条指令的地址。
于是我们就有了办法,让程序能执行我们所期待的那些精心布置在内存中的恶意代码。这个还有个前提,那就是被用来溢出的缓冲区要足够大能够存下我们的恶意代码,同时又要足够小,使得不能够有效的保护程序的段分割。
当函数返回的时候,被特意修改过的那个地址的址就会进入eip寄存器,然后函数一终止,eip就会马上指向那个用来溢出的buffer,于是存于其中的shellcode代码就会被读取并执行。