Windows堆疊溢位全面解析

關於堆疊溢位，前面寫的多期文章都是關於具體漏洞分析和shellcode的編寫技術，而有朋友希望我能寫點入門級的文章。今天，我就和大家一起，來全面解析windows下堆疊溢位的具體細節及利用過程。過程雖然簡單，但自己又走了一遍，才發現裡面的確有一些值得注意的地方。廢話少說，我們直接切入正題！

基礎知識

首先簡單講兩個基礎知識，一是函式呼叫時堆疊的變化；二是函式呼叫約定對函式呼叫及返回時堆疊變化的影響。

我們用高階語言編寫程式的時候，函式呼叫是很常見的事情，但是我們卻很少去觀察函式呼叫時彙編究竟是如何實現的。其實，函式呼叫實現的過程很簡單。父函式將函式的實參按照從右至左順序壓入堆疊；接下來，系統將父函式中函式呼叫指令call ***x的下一條指令位址eip壓入堆疊；然後，父函式通過push ebp指令將基址指標ebp壓入堆疊，並通過mov ebp, esp將當前堆疊指標esp賦予ebp;最後就是通過sub esp, m(m 是位元組數)為存放函式中區域性變數開闢的記憶體。函式在執行的時候如果需要訪問實參或者區域性變數，都是通過ebp指標來完成的。

在windows系統下，我們常見的函式呼叫約定有兩種：c/c++的函式呼叫方式_cdecl，以及__stdcall呼叫方式。在vc、.net等環境下，我們編寫命令列程式時的main或者_tmain函式，以及我們自己定義的很多函式，在不宣告呼叫約定的情況下預設都是__cdecl的方式。我們在通過mfc編寫圖形化程式的時候，其主函式的宣告為：extern "c" int winapi _twinmain(引數)，該函式的呼叫約定就是_stdcall，winapi、pascal等名稱就是__stdcall的巨集定義，都乙個意思；此外，我們呼叫的api函式，絕大多數也是__stdcall的呼叫方式。

對於_cdecl呼叫方式的函式，其父函式在呼叫該函式的時候，會先將它的實參按照從右至左順序壓入堆疊；函式返回之後，父函式通過sub esp, n（n = 函式實參個數 * 4）指令來負責恢復堆疊。對於__stdcall呼叫約定函式，函式呼叫時實參入棧順序也是從右至左，但堆疊恢復是該函式返回時自己通過ret n(n = 函式實參個數 * 4)指令來完成的。

如果以前大家沒有注意這些基礎知識，可能理解起來不是很清晰。不過沒關係，下面我們再結合具體例子仔細講講，之所以要在這裡提出來，是因為這些知識對我們溢位漏洞的利用有比較明顯的影響。

例項解析

#include "windows.h"

#include "stdio.h"

#include "string.h"

int fun(char *szin, int ntest)

int main()

編譯、執行，彈出異常對話方塊：

顯然是發生了堆疊溢位，這是從直觀的角度進行了解。大家花1分鐘時間看下程式**，然後我們來仔細看看這個溢位的發生細節。

好了，我們繼續。在debug模式下，按f10，進入單步除錯狀態，再按下alt+8，進入彙編狀態：

高階語言第15行**char sz_in = "1234567890abcdefghijklmn"前面是main函式的啟動**，其實大家從這裡就可以看到在呼叫主函式時堆疊的變化。一直按f10,直到第16行高階語言**fun(sz_in, 888)停下來，這裡是我們開始重點看的地方：

大家現在可以看到，main函式（前面講的父函式）通過call @ilt+0(fun) (00401005)指令呼叫fun函式，在該指令之前還有兩個push 指令操作。不難看出，這兩條push 指令就是將fun函式的兩個實參按照從右往左的順序壓入堆疊。繼續按f10,直到call指令停下，用f11跟到fun函式裡面去，跳到了00401005處，該處指令是乙個跳轉指令jmp fun (00401020)，00401020就是函式fun開始的地方：

進入fun函式的第一條指令就是push ebp，即儲存基址指標ebp。按f10執行完這條指令之前，我們觀察當前堆疊頂部4位元組是0x004010b6，也就是我們剛才呼叫fun函式的call指令下一條指令add esp, 8的位址，即儲存了返回位址eip。現在繼續往單步執行，mov ebp, esp 使當前ebp指標指向父函式ebp指標儲存的位置，並用於函式執行過程中實參和區域性變數的訪問。sub esp, 48h指令是為fun函式的區域性變數預分配堆疊空間，後面的szbuf就位於這片預分配空間裡。繼續單步執行完00401051的call strcpy (004010e0)指令後停下，這裡說一句，strcpy函式的呼叫約定是__cdecl, 因此呼叫完成後，fun函式作為其父函式要通過add esp, 8來恢復堆疊。好了，資料覆蓋也完成了，這時候我們看看ebp+4指向的堆疊位址，即函式返回位址eip的值為0x66656463，就是我們覆蓋的資料：

函式返回之後將跳轉到該位址來執行指令，而該位址上的指令無效，因此會發生前面圖1中的讀錯誤。到這一步，我們既驗證了前面的基礎知識，有了解了堆疊溢位的過程，雖然簡單，但是卻具有代表性。

下面我們來談談堆疊溢位漏洞的利用。堆疊溢位漏洞的利用方式有兩種：jmp esp和覆蓋seh結構，其實這兩種方法我在前面的文章都提到很多，大家完全可以參考。這裡我既然講基礎的東西，那我們就講jmp esp。前面的示例1中，如果我們把覆蓋eip指標的四個位元組改為jmp esp指令位址，再在後面填充我們的shellcode，那麼函式返回之後就是執行jmp esp指令，繼而跳轉到我們的shellcode中來執行了。為了幫大家驗證這個說法，我準備了示例**2，其中shellcode的功能是建立使用者x，而跳轉位址是通用jmp esp指令位址0x7ffa4512大家可以試試。

至於shellcode的編寫技術，也有太多現成的東西，我這裡也不多講了。到這裡，我們的內容似乎就該告一段落了，但細心的朋友肯定要問了，這些和前面提到的函式呼叫約定有什麼關係嗎？當然有！大家不要忘了，前面的示例中函式是用的__cdecl呼叫約定。返回圖3中，當函式fun返回之後，main函式也是通過add esp, 8來恢復堆疊。如果將fun函式改為__stdcall的呼叫約定，在新增shellcode的時候大家就得注意了。因為fun函式在返回的時候，是自己通過ret 8指令來恢復堆疊的。當cpu跳轉到jmp esp指令時，此時的esp已經是在原來ebp + 16的位置，而不是ebp + 8，那麼覆蓋資料中shellcode的位置，也應該順理成章地往後走8位元組，中間多出來的8位元組就用90h填充吧。針對這類情況，我準備了示例**3

Windows堆疊溢位全面解析

堆疊溢位檢測

堆棧記憶體溢位

堆疊溢位及其原因

Windows堆疊溢位全面解析

堆疊溢位檢測

堆 棧 記憶體溢位

堆疊溢位及其原因

相關推薦

堆棧記憶體溢位