栈溢出漏洞是由于使用了不安全的函数,如 C 中的 scanf, strcpy等,通过构造特定的数据使得栈溢出,从而导致程序的执行流程被控制。
要分析栈溢出漏洞,我们要先了解函数栈帧的结构。
函数栈帧
在 C 函数中,每个函数都有一个栈帧,它用来保存这个函数的参数、局部变量、返回地址等信息,是系统栈的一部分。
假设有这样一个函数:
void foo(char *arg1, char *arg2) { int temp = 0; char buffer[4]; strcpy(buffer, arg1); }
这个函数的栈帧是这样的:
ESP 称为栈顶指针,用来指示当前栈帧的顶部
EBP 称为栈基址指针,用来指示当前栈帧的底部
在调用这个函数时,压栈的顺序为:
- 调用者压入需要保存的寄存器,通常这些寄存器包括 EAX,ECX 和 EDX等
- 按照从右往左的顺序压入参数 arg2 和 arg1
- 压入返回地址
- 调用者的 EBP
- 第一个声明的局部变量 temp
- 第二个声明的局部变量 buffer
- 被调用者即 foo 本身压入需要保存的寄存器, 通常这些寄存器包括 EBX,ESI 和 EDI 等
栈溢出原理
由于局部变量 buffer 的长度是 4 个字节,而在使用 strcpy 函数的时候并没有判断参数 arg1 的长度,因此,当传入的 arg1 的长度大于 4 个字节时,多出的字节将会依次覆盖掉局部变量 temp、调用者的 EBP、返回地址等。
通过精心构造 arg1 的值,就可以将返回地址覆盖为任意想要的值,以便于跳到 shellcode
跳转到 shellcode
栈帧移位
可以将 shellcode 保存在 buffer 中,并将返回地址覆盖为 buffer 的起始地址,如图:
<br />
此外,我们可以采取相对移位的方法,如图:
在函数返回后,局部变量保存的数据在逻辑上已经被清除了,即 shellcode 对于系统来说是没有在使用的数据,因此如果在 shellcode 中执行了压栈的操作,就可能会将 shellcode 覆盖,对此我们可以采取强制抬高栈顶的方法,即在 shellcode 中加入 sub esp X,将栈顶强制抬高以保护 shellcode
在很多情况下,要精确定位 buffer 的起始位置是很难的,我们可以采用增大 “落点” 的面积的方式来增加命中的几率,具体做法是使用 nop 填充 buffer,如果落点在 nop,那么系统会一直往下执行直到遇到 shellcode
如果函数返回地址的偏移按 DWORD 不定,可以用一片连续的跳转指令地址来覆盖函数返回地址,如图:
jmp esp
在函数返回时,esp 总是指向返回地址的下一个位置,所以,我们可以通过覆盖多一些栈帧,将 shellcode 写到返回地址之后的位置,并通过跳板指令重新回到栈中,如图:
那么,到哪儿去找跳板指令呢?在早期的 Windows 版本的动态链接库中,存在大量的 jmp esp 指令,而这些库在内存中的地址是相对固定的,如Win2000、XP、Win2003 的 0x7ffa4512
<br />
参考资料:
x86函数调用堆栈的操作
《0day安全 软件漏洞分析技术》
