棧溢出原理與實(shí)踐

目前創(chuàng)新互聯(lián)公司已為近千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬空間、成都網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、新都網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶(hù)導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶(hù)和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

       本文已發(fā)至《***防線》

在我們的生活中，存在的許許多多的漏洞，下面像大家介紹的就是平時(shí)比較常見(jiàn)的棧溢出漏洞的實(shí)踐過(guò)程。

下面，我們用一個(gè)非常簡(jiǎn)單的例子來(lái)讓大家對(duì)棧溢出漏洞有個(gè)直觀的認(rèn)識(shí)。

這是一個(gè)簡(jiǎn)單的密碼驗(yàn)證程序，但因?yàn)榇a不嚴(yán)密，導(dǎo)致了棧溢出漏洞的產(chǎn)生。

#include

#include

#define PASSWORD "1234567"

int verify_password (char *password)

{

         intauthenticated;

         charbuffer[8];//定義一個(gè)大小為8字節(jié)的數(shù)組，控制沒(méi)溢出的字符串長(zhǎng)度；（超出這個(gè)長(zhǎng)度就發(fā)生溢出）

         authenticated=strcmp(password,PASSWORD);

         strcpy(buffer,password);//這個(gè)語(yǔ)句就直接導(dǎo)致了溢出的發(fā)生

         returnauthenticated;

}

main()

{

         intvalid_flag=0;

         charpassword[1024];

         while(1)

         {

                   printf("請(qǐng)輸入密碼:");

                   scanf("%s",password);

                   valid_flag=verify_password(password);

                   if(valid_flag)

                   {

                            printf("密碼錯(cuò)誤!\n\n");

                   }

                   else

                   {

                            printf("恭喜，你通過(guò)了驗(yàn)證!\n");

                            break;

                   }

         }

}

具體的運(yùn)行情況如下：

圖1

但是，如果我們輸入這樣的密碼，它也能通過(guò)

圖2

那么，出現(xiàn)這種情況的原因是什么呢？

圖3

這是程序運(yùn)行時(shí)棧的情況。

學(xué)過(guò)C語(yǔ)言的人應(yīng)該知道，我們一個(gè)字符串的結(jié)尾是以字符串截?cái)喾鹡ull作為字符串結(jié)束標(biāo)志。在這個(gè)程序中，我們開(kāi)始定義的char型buffer數(shù)組長(zhǎng)度為8，如果你輸入的密碼長(zhǎng)度不等于8的話，那么這個(gè)密碼驗(yàn)證程序的功能還是完善的，但是如果你的密碼長(zhǎng)度為8的話，這個(gè)棧溢出漏洞的危害就顯現(xiàn)出來(lái)了。密碼長(zhǎng)度為8，buffer字符串?dāng)?shù)組的’結(jié)束標(biāo)志就會(huì)溢出至int authenticated的內(nèi)存空間內(nèi)，并將原來(lái)的數(shù)據(jù)覆蓋。

         觀察源代碼我們不難發(fā)現(xiàn)，authenticated變量的值來(lái)源于strcmp函數(shù)的返回值，之后會(huì)返回給main函數(shù)作為密碼驗(yàn)證成功與否的標(biāo)志變量：當(dāng)authenticated為0時(shí)，表示驗(yàn)證成功，反之，驗(yàn)證不成功。

光說(shuō)不管用，下面我們用ollydbg來(lái)驗(yàn)證一下到底是不是這樣。

圖4

這里，我們輸入8個(gè)q。

圖5

圖6

在ASCII中71代表q。

在圖6中，我們可以清楚地看到，8個(gè)q將buffer數(shù)組全部占滿(mǎn)，字符串截?cái)喾绯鲋?018FB4C（即原authenticated的位置）。

棧的具體變化情況如下表：

通過(guò)上面的解釋?zhuān)蚁氪蠹覍?duì)棧溢出有了個(gè)初步的認(rèn)識(shí)。在這里介紹的棧溢出漏洞看起來(lái)很簡(jiǎn)單，但實(shí)際上棧溢出是最常見(jiàn)的內(nèi)存錯(cuò)誤之一，也是***者***系統(tǒng)時(shí)所用到的最強(qiáng)大、最經(jīng)典的一類(lèi)漏洞利用方式。

注意：

1、 在觀察內(nèi)存的時(shí)候應(yīng)當(dāng)注意內(nèi)存數(shù)據(jù)與數(shù)值數(shù)據(jù)的區(qū)別，電腦在存儲(chǔ)數(shù)據(jù)的時(shí)候并不是按照我們平時(shí)記憶的方式存儲(chǔ)。在調(diào)試環(huán)境中，內(nèi)存有低到高分布，但在數(shù)值應(yīng)用的時(shí)候確實(shí)由高位字節(jié)向低位字節(jié)進(jìn)行解釋。

2、 在輸入密碼時(shí)，如果你輸入的字符串小于原來(lái)定義的密碼，是不能沖破驗(yàn)證程序的。

3、 這個(gè)實(shí)驗(yàn)是在win7 64位環(huán)境下完成的，在其他環(huán)境下棧溢出的原理相同，但內(nèi)存地址不同。