栈溢出学习记录

糊涂涂 2022-11-10 37 11/10

0x10 基础知识

栈溢出:指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。

如果想用栈溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令。

0x20 函数栈的调用

函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态。函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大

1. 函数调用发生和结束时调用栈的变化

函数状态主要涉及三个寄存器--esp,ebp,eip。

esp用来存储函数调用栈的栈顶地址,在压栈和退栈时发生变化。

ebp用来存储当前函数状态的基地址,在函数运行时不变,可以用来索引确定函数参数或局部变量的位置。

eip 用来存储即将执行的程序指令的地址,cpu 依照 eip 的存储内容读取指令并执行,eip 随之指向相邻的下一条指令,如此反复,程序就得以连续执行指令。

首先将被调用函数(callee)的参数按照逆序依次压入栈内。如果被调用函数(callee)不需要参数,则没有这一步骤。这些参数仍会保存在调用函数(caller)的函数状态内,之后压入栈内的数据都会作为被调用函数(callee)的函数状态来保存。

栈溢出学习记录

 

2. 将被调用函数的参数压入栈内

将调用函数(caller)进行调用之后的下一条指令地址作为返回地址压入栈内。这样调用函数(caller)的 eip(指令)信息得以保存。

3. 将被调用函数的返回地址压入栈内

将当前的ebp 寄存器的值(也就是调用函数的基地址)压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址。这样调用函数(caller)的 ebp(基地址)信息得以保存。同时,ebp 被更新为被调用函数(callee)的基地址。

4. 将调用函数的基地址(ebp)压入栈内,并将当前栈顶地址传到 ebp 寄存器内

将被调用函数(callee)的局部变量等数据压入栈内。

5. 将被调用函数的局部变量压入栈内

在压栈的过程中,esp 寄存器的值不断减小(对应于栈从内存高地址向低地址生长)。压入栈内的数据包括调用参数、返回地址、调用函数的基地址,以及局部变量,其中调用参数以外的数据共同构成了被调用函数(callee)的状态。在发生调用时,程序还会将被调用函数(callee)的指令地址存到 eip 寄存器内,这样程序就可以依次执行被调用函数的指令了。

看过了函数调用发生时的情况,就不难理解函数调用结束时的变化。变化的核心任务是丢弃被调用函数(callee)的状态,并将栈顶恢复为调用函数(caller)的状态

首先被调用函数的局部变量会从栈内直接弹出,栈顶会指向被调用函数(callee)的基地址

6. 将被调用函数的局部变量弹出栈外

将基地址内存储的调用函数(caller)的基地址从栈内弹出,并存到 ebp 寄存器内。这样调用函数(caller)的 ebp(基地址)信息得以恢复。此时栈顶会指向返回地址。

7. 将调用函数(caller)的基地址(ebp)弹出栈外,并存到 ebp 寄存器内

将返回地址从栈内弹出,并存到 eip 寄存器内。这样调用函数(caller)的 eip(指令)信息得以恢复。

8. 将被调用函数的返回地址弹出栈外,并存到 eip 寄存器内

至此调用函数(caller)的函数状态就全部恢复了,之后就是继续执行调用函数的指令了。

- THE END -
Tag:

糊涂涂

11月10日17:25

最后修改:2022年11月10日
0

非特殊说明,本博所有文章均为博主原创。