黑客软件漏洞分析0基础教学 初级栈溢出 入门到地狱

初级栈溢出_A_初识数组越界今夜月明星稀
本想来点大道理申明下研究思路啥的 ,  , 但稍微调整一下讲课的顺序 。从今天开始 , 将用3~4次给大家做一下栈溢出的扫盲 。
栈溢出的文章网上还是有不少的(其实优秀的也就两三篇) , 原理也不难 , 读过基本上就能够明白是怎么回事 。本次讲解将主要集中在动手调试方面 , 更加着重实践 。
经过这3~4次的栈溢出扫盲 , 我们的目标是:
会展溢出攻击的基本原理
能够动手调试简易的栈溢出漏洞程序 , 并能够利用漏洞执行任意代码(最简易的shellcode)
最主要的目的其实是激发大家的学习兴趣——寡人求学若干年 , 深知没有兴趣是决计没有办法学出名堂来的 。
【黑客软件漏洞分析0基础教学 初级栈溢出 入门到地狱】本节课的基本功要求是:会C语言就行(大概能编水仙花数的水平)
我会尽量用最最傻瓜的文字来阐述这些内存中的二进制概念 。为了避免一开始涉及太多枯燥的基础知识让您失去了兴趣 , 我并不提倡从汇编和寄存器开始 , 也不想用函数和栈开头 。我准备用一个自己设计的小例子开始讲解 , 之后我会以这个例子为基础 , 逐步加码 , 让它变得越来越像真实的漏洞攻击 。
您需要的就是每天晚上看一篇帖子 , 然后用十分钟时间照猫画虎的在编译器里把例子跟着走一遍 , 坚持一个星期之后您就会发现世界真奇妙了 。
不懂汇编不是拒绝这门迷人技术的理由——今天的课程就不涉及汇编——并且以后遇到问题会随时讲解滴
所以如果你懂C语言的话 , 不许不学 , 不许说学不会 , 也不许说难 , 哈哈
开场白多说了几句 , 下面是正题 。今天我们来一起研究一段暴简单无比的C语言小程序 , 看看编程中如果不小心出现数组越界将会出现哪些问题 , 直到这个单元结束您能够用这些数组越界漏洞控制远程主机 。
#include <stdio.h>
#define PASSword "1234567"
int verify_password (char *password)
{
int authenticated;
char buffer[8]; // add local buff to be overflowed
authenticated=strcmp(password,PASSWORD);
strcpy(buffer,password); //over flowed here!
return authenticated;
}
main()
{
int valid_flag=0;
char password[1024];
while(1)
{
printf("please input password: ");
scanf("%s",password);
valid_flag = verify_password(password);
if(valid_flag)
{
printf("incorrect password!nn");
}
else
{
printf("Congratulation! You have passed the verification!n");
break;
}
}
}
对于这几行简单无比的程序 , 我还是稍作解释 。
程序运行后将提示输入密码
用户输入的密码将被程序与宏定义中的“1234567”比较
密码错误 , 提示验证错误 , 并提示用户重新输入
密码正确 , 提示正确 , 程序退出(真够傻瓜的语言)
所谓的漏洞在于verify_password()函数中的strcpy(buffer,password)调用 。
由于程序将把用户输入的字符串原封不动地复制到verify_password函数的局部数组char buffer[8]中 , 用户的字符串可能大于8个字符 。当用户输入大于8个字符的缓冲区尺寸时 , 缓冲区就会被撑暴——即所谓的缓冲区溢出漏洞 。
冲区给撑暴了又怎么样?大不了程序崩溃么 , 有什么了不起!
此话不然 , 如果只是导致程序崩溃就不用我在这里浪费大家时间了 。根据缓冲区溢出发生的具体情况 , 巧妙地填充缓冲区不但可以避免崩溃 , 还能影响到程序的执行流程 , 甚至让程序去执行缓冲区里的代码 。
今天我们先玩一个最简单的游戏 。函数verify_password()里边申请了两个局部变量
int authenticated;
char buffer[8];
当函数verify_password被调用时 , 系统会给它分配一片连续的内存空间 , 这两个变量就分布在那里(实际上就叫函数栈帧 , 我们后面会详细讲解) , 如下图

黑客软件漏洞分析0基础教学 初级栈溢出 入门到地狱

文章插图
 
变量和变量紧紧地挨着 。为什么紧挨着?当然不是他俩关系好 , 省空间啊 , 好傻瓜的问题 , 笑:)


推荐阅读