1、緩沖區(qū)溢出技術(shù),堆棧,從物理上講，堆棧是就是一段連續(xù)分配的內(nèi)存空間 靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開(kāi)始運(yùn)行的時(shí)候被加載 動(dòng)態(tài)的局部變量 則分配在堆棧里面 從操作上來(lái)講，堆棧是一個(gè)先入后出的隊(duì)列，其生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向正好相反,我們規(guī)定內(nèi)存的生長(zhǎng)方向?yàn)橄蛏?，則棧的生長(zhǎng)方向?yàn)橄蛳?壓棧的操作pushESP-4 出棧的操作是pop=ESP+4,在一次函數(shù)調(diào)用中，堆棧中將被依次壓入： 參數(shù)，返回地址，EBP 如果函數(shù)有局部變量，接下來(lái)，就在堆棧中開(kāi)辟相應(yīng)的空間以構(gòu)造變量 函數(shù)執(zhí)行結(jié)束，這些局部變量的內(nèi)容將 被丟失。但是不被清除 在函數(shù)返回的時(shí)候，彈出EBP，恢復(fù)堆棧到函數(shù)調(diào)用的地址，彈出返回地

2、址到EIP以繼續(xù)執(zhí)行程序,在C語(yǔ)言程序中，參數(shù)的壓棧順序是反向的：比如func（a,b,c)。在參數(shù)入棧的時(shí)候，是先壓c，再壓b，最后壓a 在取參數(shù)的時(shí)候，由于棧的先入后出，先取棧頂?shù)腶，再取b，最后取c,運(yùn)行時(shí)的堆棧分配,我們用gcc -S 來(lái)獲得匯編語(yǔ)言輸出，可以看到main函數(shù)的開(kāi)頭部分對(duì)應(yīng)如下語(yǔ)句： pushl %ebp movl %esp,%ebp subl $8,%esp 首先把EBP保存下來(lái)，然后EBP等于現(xiàn)在的ESP，這樣EBP就可以用來(lái)訪問(wèn)本函數(shù)的 局部變量 之后ESP減8，就是堆棧向上增長(zhǎng)8個(gè)字節(jié)，用來(lái)存放name數(shù)組?，F(xiàn)在堆棧 的布局如下：,之后ESP減8，就是堆棧向上增

3、長(zhǎng)8個(gè)字節(jié)，用來(lái)存放name數(shù)組。現(xiàn)在堆棧 的布局如下：,由于我們輸入的name字符串太長(zhǎng)，name數(shù)組容納不下，只好向內(nèi)存頂部繼續(xù)寫A 由于堆棧的生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向相反，這些A覆蓋了堆棧的老的元素 EBP，ret都已經(jīng)被A覆蓋了 在main返回的時(shí)候，就會(huì)把 AAAA 的ASCII碼：0 x41414141作為返回地址，CPU會(huì)試圖執(zhí)行0 x41414141處的指令，結(jié)果出現(xiàn)錯(cuò)誤，這就是一次堆棧溢出,Shellcode的編寫,Shellcode.c,#include void main() char *name2; name0 = /bin/sh; name1 = NULL; exec

4、ve(name0, name, NULL); ,execve( ),execve函數(shù)將執(zhí)行一個(gè)程序 程序的名字地址作為第一個(gè)參數(shù) 一個(gè)內(nèi)容為該程序的argvi（argvn-1=0)的指針數(shù)組作為第二個(gè)參數(shù) (char*) 0作為第三個(gè)參數(shù),execve的匯編代碼,$ gcc -o shellcode -static shellcode.c $ gdb shellcode (gdb) disassemble _execve Dump of assembler code for function _execve:,如何精簡(jiǎn)？,經(jīng)過(guò)以上的分析，可以得到如下的精簡(jiǎn)指令算法： movl $execve的

5、系統(tǒng)調(diào)用號(hào),%eax movl bin/sh0的地址,%ebx movl name數(shù)組的地址,%ecx movl namen-1的地址,%edx int $0 x80 ;執(zhí)行系統(tǒng)調(diào)用(execve),問(wèn)題,當(dāng)execve執(zhí)行成功后，程序shellcode就會(huì)退出，/bin/sh將作為子進(jìn)程繼續(xù)執(zhí)行 如果execve執(zhí)行失敗，（比如沒(méi)有/bin/sh這個(gè)文件），CPU就會(huì)繼續(xù)執(zhí)行后續(xù)的 指令，結(jié)果不知道跑到哪里去了 所以必須再執(zhí)行一個(gè)exit（）系統(tǒng)調(diào)用， 結(jié)束shellcode.c的執(zhí)行,exit(0)匯編代碼,exit(0) 的匯編代碼精簡(jiǎn),movl $0 x1,%eax ;1號(hào)系統(tǒng)調(diào)用 m

6、ovl 0,%ebx ;ebx為exit的參數(shù)0 int $0 x80 ;引發(fā)系統(tǒng)調(diào)用,execve + exit,movl $execve的系統(tǒng)調(diào)用號(hào), %eax movl “bin/sh0”的地址, %ebx movl name數(shù)組的地址, %ecx movl namen-1的地址, %edx int $0 x80 ;執(zhí)行系統(tǒng)調(diào)用(execve) movl $0 x1,%eax ;1號(hào)系統(tǒng)調(diào)用 movl 0,%ebx ;ebx為exit的參數(shù)0 int $0 x80 ;執(zhí)行系統(tǒng)調(diào)用(exit),萬(wàn)事具備，還欠什么？,字符串“/bin/sh” name數(shù)組 execve + exit,問(wèn)題

7、每一次程序都是動(dòng)態(tài)加載，字符串和name數(shù)組的地址都不是固定的 在shellcode中如何知道它們的地址呢？,jmp + call,在large_string中填入buffer的地址,把shell代碼放到large_string 的前面部分,將large_string拷貝到buffer中,造成溢出，使返回地址變?yōu)閎uffer，而buffer的內(nèi)容為shell代碼。這樣當(dāng)程序試從strcpy() 中返回時(shí)，就會(huì)轉(zhuǎn)而執(zhí)行shell,如何利用別人的漏洞,利用別人的程序的堆棧溢出獲得rootshell 以一個(gè)有strcpy堆棧溢出漏洞的程序，利用前面說(shuō)過(guò)的方法來(lái)得到shell 同樣必須完成兩件事 把自

8、己的shellcode提供給對(duì)方，讓對(duì)方可以訪問(wèn)shellcode 修改對(duì)方的返回地址為shellcode的入口地址,How,必須知道strcpy（buffer,ourshellcode中，buffer的地址 因?yàn)楫?dāng)我們把shellcode提供給strcpy之后，buffer的開(kāi)始地址就是shellcode的 開(kāi)始地址 必須用這個(gè)地址來(lái)覆蓋堆棧,How,對(duì)于操作系統(tǒng)而言，一個(gè)shell下的每一個(gè)程序的堆棧段開(kāi)始地址都是相同的 可以寫一個(gè)程序，獲得運(yùn)行時(shí)的堆棧起始地址，這樣，我們就知道了目標(biāo)程序堆棧的開(kāi)始地址,下面這個(gè)函數(shù)，用eax返回當(dāng)前程序的堆棧指針。（所有C函數(shù)的返回值都放在eax寄存器 里面） - unsigned long get_sp(void) _asm_(movl %esp,%eax); -,猜？,我們?cè)谥懒硕褩ｉ_(kāi)始地址后，buffer相對(duì)于堆棧開(kāi)始地址的偏移，是程序員自己寫出來(lái)的程序決定的，我們不知道，只能靠猜測(cè)了 不過(guò)，一般的程序堆棧大約是幾K 左右。所以，這個(gè)buffer與上面得到的堆棧地址，相差就在幾K之間 顯然猜地址這是一件很難的事情010K,前面我們用來(lái)