下载本文示例代码
　　面向初学者的，进行详细分析的缓冲溢出入门文章还是很少(我还没有看到)，所以我下决心写了这篇文章，从C的局部变量分配以及它和堆栈的关系、返回地址和堆栈的关系、局部变量和返回地址以及堆栈的关系开始写起，并在讲述完原理后进行简单的应用，使理论和应用相结合，以给广大初学缓冲溢出的朋友一点小小的帮助，本文还是具有典型性的，通过本文的学习，可以让我们从一个普通的C程序员，了解到更加底层的技术，本文虽是面向初学者(指初学缓冲溢出，而不是初学C语言)，作者假定你(读者)已经是一位熟练的C程序员，并且了解一些Asm编程技术。我也是刚学缓冲区溢出不久，这是我第一次写溢出技术，所以难免有错误的地方，还请大家指正，在ipxodi和袁哥的文章中我学到了很多东西，但ipxodi和袁哥和文章比较深比较专业，初学者学习起来有些困难，特别我又是非计算机专业的(我和绿盟的小四哥一样是电脑会计专业的，向小四哥学习，呵呵!).在这里把我学习时的一点理解，一点经验介绍给大家，希望对广大学习缓冲溢出的朋友有所帮助! 　　一、存储分配，局部内存变量，堆栈和函数调用　　1、首先写一个简单的C字符串拷贝程序 //test.c#include #include #include void overflow(void){　char buf[10];　strcpy(buf，"aaaaaaaaaa");}//end overflowint main(void){　overflow();　return 0;}//end main　　2、按F11进入"Step into"调试模式，其实只需要留意对我们研究和学习有用的汇编程序段，如下: 1: #include 2: #include 3: #include 4:5: void overflow(void)6: {00401020 55 push ebp00401021 8B EC mov ebp，esp00401023 83 EC 4C sub esp，4Ch00401026 53 push ebx00401027 56 push esi00401028 57 push edi00401029 8D 7D B4 lea edi，[ebp-4Ch]0040102C B9 13 00 00 00 mov ecx，13h00401031 B8 CC CC CC CC mov eax，0CCCCCCCCh00401036 F3 AB rep stos dword ptr [edi]7: char buf[10];8: strcpy(buf，"aaaaaaaaaa");00401038 68 1C F0 41 00 push offset string "aaaaaaaaaa" (0041f01c)0040103D 8D 45 F4 lea eax，[ebp-0Ch]00401040 50 push eax00401041 E8 6A 00 00 00 call strcpy (004010b0)00401046 83 C4 08 add esp，89:10: }//end overflow00401049 5F pop edi0040104A 5E pop esi0040104B 5B pop ebx0040104C 83 C4 4C add esp，4Ch0040104F 3B EC cmp ebp，esp00401051 E8 4A 01 00 00 call __chkesp (004011a0)00401056 8B E5 mov esp，ebp00401058 5D pop ebp00401059 C3 ret11:12: int main(void)13: {00401070 55 push ebp00401071 8B EC mov ebp，esp00401073 83 EC 40 sub esp，40h00401076 53 push ebx00401077 56 push esi00401078 57 push edi00401079 8D 7D C0 lea edi，[ebp-40h]0040107C B9 10 00 00 00 mov ecx，10h00401081 B8 CC CC CC CC mov eax，0CCCCCCCCh00401086 F3 AB rep stos dword ptr [edi]14: overflow();00401088 E8 7D FF FF FF call @ILT 5(overflow) (0040100a)15: return 0;0040108D 33 C0 xor eax，eax16: }//end main0040108F 5F pop edi00401090 5E pop esi00401091 5B pop ebx00401092 83 C4 40 add esp，40h00401095 3B EC cmp ebp，esp00401097 E8 04 01 00 00 call __chkesp (004011a0)0040109C 8B E5 mov esp，ebp0040109E 5D pop ebp0040109F C3 ret　　3、返回VStudio IDE，在调用overflow函数处设置断点，再次选择"Run"菜单项，这时程序在调用overflow前停止。(下面的学习你需要不断地翻看上面的Asm程序段)现在看一下在调用overflow之前的几个需要注意的参数，把它们加入"Watch"窗口。 esp 0x0012ff34(注意:这些值在不同的机器上运行时可能会不一样)ebp 0x0012ff80buf 变量尚未分配overflow 0x00401020main 0x00401070　　4、按F11跟踪进入overflow，让程序停在6: 　　现在再看一下几个主要参数：　　esp=0x0012ff30，其它未变(指我们watch的几个标识符，这时eip一定是会变化的)很显然堆栈里压了一个dword(4字节)数据，看看它是什么，打开memory窗口，输入esp，右击窗口内容，选"Long Hex Format"，当前的堆栈顶内容0x0040108d，现在请看一下call overflow的下一行，如果找不到请从头搜索"15:"字符串，看到了吗!压入的是call overflow的下一指令地址，也就是我们通常说的"函数返回地址".　　再按F11(执行push ebp)，再看一下几个主要参数　　esp=0x0012ff2c，现在堆栈顶中是ebp的值0x0012ff80，　　再按F11(执行下面的语句)，程序将当前esp值保存在ebp中: mov ebp，esp　　然后就开始分配局部变量了　　sub esp，4ch;分配了76(0x4c)个字节这个地方我不太清楚为什么始终要保留64(0x40)个字节，其实只有12(0x0c)字节可用，随后的7句指令: 00401026 53 push ebx00401027 56 push esi00401028 57 push edi00401029 8D 7D B4 lea edi，[ebp-4Ch]0040102C B9 13 00 00 00 mov ecx，13h00401031 B8 CC CC CC CC mov eax，0CCCCCCCCh00401036 F3 AB rep stos dword ptr [edi]　　将这76个字节以dword(4)为单位填充为0xcccccccc，共填充76/4=19(0x13)次让我们在执行完rep stos dword ptr [edi]时先停下来.在watch窗口里加入eip和一个表达式"ebp-0ch"，会发现在"ebp-0ch"和buf的地址一样，这就是编译程序在堆栈中为我们分配的局部内存变量的起始地址(如果你懂编译原理，这里很容易理解)，在memory窗口里输入ebp-0ch(变量起始地址)，右击窗口选"Byte Format"，可以看到里面有12个字节是被0xcc填充过的.　　好!现在跟踪执行完call strcpy，再看看Memory窗口的内容，有11个字节被填充，前10个填充为0x61即ASCII字符'a'，后一个字节为0这验证了C字符串操作函数总是产生一个空终止字符。　　再往下看，右击选"Long Hex Format"看到它们分别是 0x0012ff80和0x0040108d，什么?有点熟?对啊!我也觉得有点面熟，为什么呢?请回头看一下第4小节的开始部分，找到答案了?对!是"老的ebp"和"函数返回地址"，继续跟踪将执行以下几个动作，恢复主要寄存器内容，add esp 4ch销毁了局部内存变量恢复老的ebp(这时堆栈顶的内容为0x0040108d)，再ret返回(其实ret相当于执行了一次"pop eip"，但并没有这样的指令)执行完这条指令后eip的内容变为0x0040108d，这时已经回到了主函数中，在主函数中将执行几乎同样的动作，最后完成程序执行。　　有人可能会问overflow需要回到main所以用了一个ret，可是main中的ret是做什么用的呢?其实初学者可能并不知道我们的C程序编译后程序的空间结构(简化后的)是这么一个样子的. ----------------------------------//程序入口点(Program Entry Point)...call _mainpush eaxcall _ExitProcess.---------------------------------- //void overflow(void)push ebp...call _strcpy...ret ---------------------------------- //int main(void)push ebp...call _overflow...ret ----------------------------------　　overflow中的ret让程序回到main，而main中的ret是为了回到入口点那段程序，以返回操作系统。 　　小结:　　在这一部分里我们学习到了一些为理解缓冲区溢出打基础的东西，如局部内存变量是如何分配的，它于堆栈的关系以及函数调用、函数返回地址与堆栈的关系，把这些东西搞懂了以后我们可以进行一些简单的应用，出于学习原理的目的，接下来我们将用缓冲溢出来实现一个命令控制台窗口(cmd.exe)。共2页。 1 2 : 　　面向初学者的，进行详细分析的缓冲溢出入门文章还是很少(我还没有看到)，所以我下决心写了这篇文章，从C的局部变量分配以及它和堆栈的关系、返回地址和堆栈的关系、局部变量和返回地址以及堆栈的关系开始写起，并在讲述完原理后进行简单的应用，使理论和应用相结合，以给广大初学缓冲溢出的朋友一点小小的帮助，本文还是具有典型性的，通过本文的学习，可以让我们从一个普通的C程序员，了解到更加底层的技术，本文虽是面向初学者(指初学缓冲溢出，而不是初学C语言)，作者假定你(读者)已经是一位熟练的C程序员，并且了解一些Asm编程技术。我也是刚学缓冲区溢出不久，这是我第一次写溢出技术，所以难免有错误的地方，还请大家指正，在ipxodi和袁哥的文章中我学到了很多东西，但ipxodi和袁哥和文章比较深比较专业，初学者学习起来有些困难，特别我又是非计算机专业的(我和绿盟的小四哥一样是电脑会计专业的，向小四哥学习，呵呵!).在这里把我学习时的一点理解，一点经验介绍给大家，希望对广大学习缓冲溢出的朋友有所帮助! 　　一、存储分配，局部内存变量，堆栈和函数调用　　1、首先写一个简单的C字符串拷贝程序 //test.c#include #include #include void overflow(void){　char buf[10];　strcpy(buf，"aaaaaaaaaa");}//end overflowint main(void){　overflow();　return 0;}//end main　　2、按F11进入"Step into"调试模式，其实只需要留意对我们研究和学习有用的汇编程序段，如下: 1: #include 2: #include 3: #include 4:5: void overflow(void)6: {00401020 55 push ebp00401021 8B EC mov ebp，esp00401023 83 EC 4C sub esp，4Ch00401026 53 push ebx00401027 56 push esi00401028 57 push edi00401029 8D 7D B4 lea edi，[ebp-4Ch]0040102C B9 13 00 00 00 mov ecx，13h00401031 B8 CC CC CC CC mov eax，0CCCCCCCCh00401036 F3 AB rep stos dword ptr [edi]7: char buf[10];8: strcpy(buf，"aaaaaaaaaa");00401038 68 1C F0 41 00 push offset string "aaaaaaaaaa" (0041f01c)0040103D 8D 45 F4 lea eax，[ebp-0Ch]00401040 50 push eax00401041 E8 6A 00 00 00 call strcpy (004010b0)00401046 83 C4 08 add esp，89:10: }//end overflow00401049 5F pop edi0040104A 5E pop esi0040104B 5B pop ebx0040104C 83 C4 4C add esp，4Ch0040104F 3B EC cmp ebp，esp00401051 E8 4A 01 00 00 call __chkesp (004011a0)00401056 8B E5 mov esp，ebp00401058 5D pop ebp00401059 C3 ret11:12: int main(void)13: {00401070 55 push ebp00401071 8B EC mov ebp，esp00401073 83 EC 40 sub esp，40h00401076 53 push ebx00401077 56 push esi00401078 57 push edi00401079 8D 7D C0 lea edi，[ebp-40h]0040107C B9 10 00 00 00 mov ecx，10h00401081 B8 CC CC CC CC mov eax，0CCCCCCCCh00401086 F3 AB rep stos dword ptr [edi]14: overflow();00401088 E8 7D FF FF FF call @ILT 5(overflow) (0040100a)15: return 0;0040108D 33 C0 xor eax，eax16: }//end main0040108F 5F pop edi00401090 5E pop esi00401091 5B pop ebx00401092 83 C4 40 add esp，40h00401095 3B EC cmp ebp，esp00401097 E8 04 01 00 00 call __chkesp (004011a0)0040109C 8B E5 mov esp，ebp0040109E 5D pop ebp0040109F C3 ret　　3、返回VStudio IDE，在调用overflow函数处设置断点，再次选择"Run"菜单项，这时程序在调用overflow前停止。(下面的学习你需要不断地翻看上面的Asm程序段)现在看一下在调用overflow之前的几个需要注意的参数，把它们加入"Watch"窗口。 esp 0x0012ff34(注意:这些值在不同的机器上运行时可能会不一样)ebp 0x0012ff80buf 变量尚未分配overflow 0x00401020main 0x00401070　　4、按F11跟踪进入overflow，让程序停在6: 　　现在再看一下几个主要参数：　　esp=0x0012ff30，其它未变(指我们watch的几个标识符，这时eip一定是会变化的)很显然堆栈里压了一个dword(4字节)数据，看看它是什么，打开memory窗口，输入esp，右击窗口内容，选"Long Hex Format"，当前的堆栈顶内容0x0040108d，现在请看一下call overflow的下一行，如果找不到请从头搜索"15:"字符串，看到了吗!压入的是call overflow的下一指令地址，也就是我们通常说的"函数返回地址".　　再按F11(执行push ebp)，再看一下几个主要参数　　esp=0x0012ff2c，现在堆栈顶中是ebp的值0x0012ff80，　　再按F11(执行下面的语句)，程序将当前esp值保存在ebp中: mov ebp，esp　　然后就开始分配局部变量了　　sub esp，4ch;分配了76(0x4c)个字节这个地方我不太清楚为什么始终要保留64(0x40)个字节，其实只有12(0x0c)字节可用，随后的7句指令: 00401026 53 push ebx00401027 56 push esi00401028 57 push edi00401029 8D 7D B4 lea edi，[ebp-4Ch]0040102C B9 13 00 00 00 mov ecx，13h00401031 B8 CC CC CC CC mov eax，0CCCCCCCCh00401036 F3 AB rep stos dword ptr [edi]　　将这76个字节以dword(4)为单位填充为0xcccccccc，共填充76/4=19(0x13)次让我们在执行完rep stos dword ptr [edi]时先停下来.在watch窗口里加入eip和一个表达式"ebp-0ch"，会发现在"ebp-0ch"和buf的地址一样，这就是编译程序在堆栈中为我们分配的局部内存变量的起始地址(如果你懂编译原理，这里很容易理解)，在memory窗口里输入ebp-0ch(变量起始地址)，右击窗口选"Byte Format"，可以看到里面有12个字节是被0xcc填充过的.　　好!现在跟踪执行完call strcpy，再看看Memory窗口的内容，有11个字节被填充，前10个填充为0x61即ASCII字符'a'，后一个字节为0这验证了C字符串操作函数总是产生一个空终止字符。　　再往下看，右击选"Long Hex Format"看到它们分别是 0x0012ff80和0x0040108d，什么?有点熟?对啊!我也觉得有点面熟，为什么呢?请回头看一下第4小节的开始部分，找到答案了?对!是"老的ebp"和"函数返回地址"，继续跟踪将执行以下几个动作，恢复主要寄存器内容，add esp 4ch销毁了局部内存变量恢复老的ebp(这时堆栈顶的内容为0x0040108d)，再ret返回(其实ret相当于执行了一次"pop eip"，但并没有这样的指令)执行完这条指令后eip的内容变为0x0040108d，这时已经回到了主函数中，在主函数中将执行几乎同样的动作，最后完成程序执行。　　有人可能会问overflow需要回到main所以用了一个ret，可是main中的ret是做什么用的呢?其实初学者可能并不知道我们的C程序编译后程序的空间结构(简化后的)是这么一个样子的. ----------------------------------//程序入口点(Program Entry Point)...call _mainpush eaxcall _ExitProcess.---------------------------------- //void overflow(void)push ebp...call _strcpy...ret ---------------------------------- //int main(void)push ebp...call _overflow...ret ----------------------------------　　overflow中的ret让程序回到main，而main中的ret是为了回到入口点那段程序，以返回操作系统。 　　小结:　　在这一部分里我们学习到了一些为理解缓冲区溢出打基础的东西，如局部内存变量是如何分配的，它于堆栈的关系以及函数调用、函数返回地址与堆栈的关系，把这些东西搞懂了以后我们可以进行一些简单的应用，出于学习原理的目的，接下来我们将用缓冲溢出来实现一个命令控制台窗口(cmd.exe)。共2页。 1 2 : 下载本文示例代码


Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理Windows 2000缓冲区溢出技术原理