首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

栈溢出的思考

作者:jackiex2620 | 来源:互联网 | 2023-10-09 21:15
一、系统栈的工作原理进程所使用的内存按照功能可以划分为一下4部分:1.代码区:代码区用于存放待执行的二进制指令。处理器会到代码区取指令并执行。2.数据区:用于存储全局变量。3.堆区

一、系统栈的工作原理

  进程所使用的内存按照功能可以划分为一下4部分:

  1.代码区:代码区用于存放待执行的二进制指令。处理器会到代码区取指令并执行。

  2.数据区:用于存储全局变量。

  3.堆区:堆区为进程分配动态申请的内存,进程在使用之后需要归还。动态分配和回收是堆区的特点。

  4.栈区:用于动态的存储函数之间的调用关系,以保证地子函数执行之后可以继续执行函数。栈区除了存放函数之间的调用关系之外也存放局部变量。

技术分享

  栈在计算机科学中是一种数据结构,一种先进后出的数据表;栈最常用的操作时入栈和出栈;栈的标识有两个栈顶和栈底。内存的栈就是系统栈,由操作系统维护。

  寄存器和函数栈帧:

   每一个函数都有自己的栈帧空间,称作函数栈。windows32系统中用两个特殊的寄存器来标识系统栈顶端的栈帧。

   ESP: 栈指针寄存器(extended stack pointer),该寄存器中存放一个指针,始终指向系统栈最上面的栈帧的栈顶,也就是当前执行的函数的栈帧顶部。

   EBP: 基址指针寄存器(extended base pointer),该寄存器中存放着一个指针,始终指向系统栈最上部一个栈帧的栈底,即当前函数栈的栈帧底部。

  函数栈帧:ESP和EBP之间的内存空间为当前栈帧,EBP为当前函数栈帧的栈底,ESP为当前函数栈帧的栈顶。

  函数栈中存放的信息:

   (1)局部变量: 为函数局部变量开辟的空间

   (2)栈帧状态值:保存上一个栈帧的信息(顶部和底部,实际上,只保存底部信息,前栈帧的顶部信息可以通过栈帧平衡得到),用于在当前栈帧出栈后恢复上一个栈帧。

   (3)函数返回地址:用于存储函数调用前的指令的位置,便于在函数返回后恢复到之前的代码区中继续执行指令。


  EIP: 指令寄存器(Extended Instruction Pointer),用于存放下一条待执行的指令地址。


 函数调用约定与相关指令

  函数调用过程中,参数入栈顺序和函数返回时恢复栈平衡的位置因不同的操作系统,不同的语言而异,所以需要仔细的去了解。在这里只讨论c语言基于windows平台的参数入栈顺序。

  函数调用的步骤:

   (1)参数入栈

   (2)返回地址入栈

   (3)代码区跳转

   (4)栈帧调整(保存当前栈帧的状态;将当前栈帧切换到新栈帧,即将ESP值装入EBP;给新栈帧分配空间)


  函数返回的步骤:

   (1)保存返回值,通常保存在寄存器EAX中;

   (2)弹出当前栈帧,恢复上一个栈帧;

   (3)跳转。


二、利用栈的状况来搞点事

  看过系统栈的空间分布之后,不由得引发我的思考:倘若正在运行的函数栈中的局部变量的值是从外部输入的,那么输入的数据会不会影响栈中其他的数据?会导致程序怎样的行为?于是,我在书中了解到了一下信息,通过栈溢出,可以实现以下功能:

  1.修改邻接变量的值;

  2.修改返回地址;


修改临邻接变量的原理:

  函数的局部变量在栈中一般是相邻排列的,如果这些局部变量中有数组之类的缓冲区,并且程序存在数组越界的缺陷,那么越界的数组元素就有可能破坏栈中相邻变量的值,甚至破坏栈中EBP的值、返回地址等重要数据。

  ps://函数的局部变量在函数栈中国到底是如何排列的需要通过动态调试来确定。

修改返回地址的原理:

  在上边已经提到,对存在缓冲区溢出的程序进行攻击可能破坏栈中EBP的值、返回地址,当然也可以精心的设计EBP和返回地址中的值,使得程序按照我们的想法来执行。修改返回地址也就是覆盖返回地址中的值,使得程序按照我们的想法来执行,即使程序返回到我们指定的位置来执行。


  在上面提到可以是程序跳转到我们指定的位置去执行,所以说,我们可以在缓冲区中写入待执行的二进制代码,来让程序执行我们写入的代码,即代码注入。这种代码被称作shellcode。


  由于函数栈中保存的数据只有之前函数执行的状态和变量的数据信息,所以,我们能做的也就只有改变变量的值和之前函数的执行状态两件事。在兴奋的时候,居然想起来了操作系统有栈保护的机制,那么,我要如何突破关卡,成功的实现栈溢出呢?同一个程序在不同过的操作系统上地址是不是相同呢?要是不相同,用于修改之前函数执行状态的数据应该怎样写才能实现通用性?shellcode应该如何被精确的定位?大型程序使用动态链接库后,地址是否还能保持相同?忽然发现,我高兴的太早了,真真正正的栈溢出还没有正式开始,所以,关于栈溢出的讨论就先到这里,后续会持续更新。

  在最后,推荐几本书给喜欢抓虫的大大们:

   《深入理解计算机操作系统》

   《0day安全:软件漏洞分析技术》

本文出自 “execute” 博客,请务必保留此出处http://executer.blog.51cto.com/10404661/1775755

栈溢出的思考
推荐阅读
  • python

    lua语言闭包、模式匹配、日期、编译、模块的特性及应用

    本文介绍了lua语言中闭包的特性及其在模式匹配、日期处理、编译和模块化等方面的应用。lua中的闭包是严格遵循词法定界的第一类值,函数可以作为变量自由传递,也可以作为参数传递给其他函数。这些特性使得lua语言具有极大的灵活性,为程序开发带来了便利。 ... [详细]
  • utf-8

    Alink回归预测的不完善问题及期待

    本文讨论了Alink回归预测的不完善问题,指出目前主要针对Python做案例,对其他语言支持不足。同时介绍了pom.xml文件的基本结构和使用方法,以及Maven的相关知识。最后,对Alink回归预测的未来发展提出了期待。 ... [详细]
  • controller

    SpringBoot集成前端模版(thymeleaf)的配置步骤

    本文介绍了在SpringBoot中集成thymeleaf前端模版的配置步骤,包括在application.properties配置文件中添加thymeleaf的配置信息,引入thymeleaf的jar包,以及创建PageController并添加index方法。 ... [详细]
  • js

    知识图谱——机器大脑中的知识库

    知识图谱——机器大脑中的知识库
    本文介绍了知识图谱在机器大脑中的应用,以及搜索引擎在知识图谱方面的发展。以谷歌知识图谱为例,说明了知识图谱的智能化特点。通过搜索引擎用户可以获取更加智能化的答案,如搜索关键词"Marie Curie",会得到居里夫人的详细信息以及与之相关的历史人物。知识图谱的出现引起了搜索引擎行业的变革,不仅美国的微软必应,中国的百度、搜狗等搜索引擎公司也纷纷推出了自己的知识图谱。 ... [详细]
  • js

    测试人的性格,点火让他着急,考验婚姻问题的善意玩人

    本文讲述了作者通过点火测试男友的性格和承受能力,以考验婚姻问题。作者故意不安慰男友并再次点火,观察他的反应。这个行为是善意的玩人,旨在了解男友的性格和避免婚姻问题。 ... [详细]
  • js

    Linux进程控制块PCBtask_struct结构体结构及作用详解

    本文详细介绍了Linux中进程控制块PCBtask_struct结构体的结构和作用,包括进程状态、进程号、待处理信号、进程地址空间、调度标志、锁深度、基本时间片、调度策略以及内存管理信息等方面的内容。阅读本文可以更加深入地了解Linux进程管理的原理和机制。 ... [详细]
  • js

    java 线程死锁模拟

    1,关于死锁的理解死锁,我们可以简单的理解为是两个线程同时使用同一资源,两个线程又得不到相应的资源而造成永无相互等待的情况。 2,模拟死锁背景介绍:我们创建一个朋友 ... [详细]
  • controller

    后台获取视图对应的字符串

    后台获取视图对应的字符串
    1.帮助类后台获取视图对应的字符串publicclassViewHelper{将View输出为字符串(注:不会执行对应的ac ... [详细]
  • js

    《数据结构》学习笔记3——串匹配算法性能评估

    《数据结构》学习笔记3——串匹配算法性能评估
    本文主要讨论串匹配算法的性能评估,包括模式匹配、字符种类数量、算法复杂度等内容。通过借助C++中的头文件和库,可以实现对串的匹配操作。其中蛮力算法的复杂度为O(m*n),通过随机取出长度为m的子串作为模式P,在文本T中进行匹配,统计平均复杂度。对于成功和失败的匹配分别进行测试,分析其平均复杂度。详情请参考相关学习资源。 ... [详细]
  • js

    ABAP开发发送邮件程序的配置和代码整理

    本文介绍了通过ABAP开发往外网发邮件的需求,并提供了配置和代码整理的资料。其中包括了配置SAP邮件服务器的步骤和ABAP写发送邮件代码的过程。通过RZ10配置参数和icm/server_port_1的设定,可以实现向Sap User和外部邮件发送邮件的功能。希望对需要的开发人员有帮助。摘要长度:184字。 ... [详细]
  • main

    动态规划算法的基本步骤及最长递增子序列问题详解

    动态规划算法的基本步骤及最长递增子序列问题详解
    本文详细介绍了动态规划算法的基本步骤,包括划分阶段、选择状态、决策和状态转移方程,并以最长递增子序列问题为例进行了详细解析。动态规划算法的有效性依赖于问题本身所具有的最优子结构性质和子问题重叠性质。通过将子问题的解保存在一个表中,在以后尽可能多地利用这些子问题的解,从而提高算法的效率。 ... [详细]
  • js

    Java验证码——kaptcha的使用配置及样式

    Java验证码——kaptcha的使用配置及样式
    本文介绍了如何使用kaptcha库来实现Java验证码的配置和样式设置,包括pom.xml的依赖配置和web.xml中servlet的配置。 ... [详细]
  • js

    高质量SQL书写的30条建议

    高质量SQL书写的30条建议
    本文提供了30条关于优化SQL的建议,包括避免使用select *,使用具体字段,以及使用limit 1等。这些建议是基于实际开发经验总结出来的,旨在帮助读者优化SQL查询。 ... [详细]
  • main

    指针的引用以及在什么情况下使用指针的引用

    本文介绍了指针的概念以及在函数调用时使用指针作为参数的情况。指针存放的是变量的地址,通过指针可以修改指针所指的变量的值。然而,如果想要修改指针的指向,就需要使用指针的引用。文章还通过一个简单的示例代码解释了指针的引用的使用方法,并思考了在修改指针的指向后,取指针的输出结果。 ... [详细]
  • js

    工程中添加Android Dependencies

    在project.properties添加#Projecttarget.targetandroid-19android.library.reference.1..Sliding ... [详细]
author-avatar
jackiex2620
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有