[二进制漏洞]栈(Stack)溢出漏洞 Linux篇

目录

• [二进制漏洞]栈(Stack)溢出漏洞 Linux篇
  • 前言
  • 堆栈
    • 堆栈(Stack)概念
    • 堆栈数据存储方式
  • 函数调用
    • 函数调用C语言代码
    • 函数调用过程GDB调试
    • 函数Call返回原理
  • 函数栈帧
    • 函数栈帧描述
    • 函数栈帧调试
  • 栈溢出漏洞实战
    • pwndbg调试
    • 开始Hack
  • Pwn菜鸡小分队

[二进制漏洞]栈(Stack)溢出漏洞 Linux篇

前言

我们在学习栈溢出漏洞之前，最好都要懂一些开发，还有一些汇编知识，因为不管是安全还是逆向，这些都是基于开发的，有了开发扎实的基础在后续中才会突破瓶颈。

堆栈

推荐大家可以先去看看《王爽汇编》，或者直接看Bilibili的堆栈是个啥？

堆栈(Stack)概念

首先来了解下什么是堆栈？我们得从CPU开始说起，CPU中有个模块叫ALU，专门用来处理数据运算。

学过汇编的小伙伴们都知道，CPU中有多个寄存器，不过是固定的，比如eax、ebx、ecx、edx、ebp、esp、edi、esi、eip等，当处理的数据过多或者过大时候，寄存器都不够用了，这时候怎么办？

增加CPU的寄存器吗？不行那样成本太大了，所以就需要找另外的地方存数据，那么硬件中读取速度除了CPU，也就内存条速度最快了。

所以CPU招募了内存条，来用来存储数据，在内存条中还专门找了个区域用来存数据即：堆栈(stack),说白了堆栈就是一块内存。

堆栈数据存储方式

我简单的画了一个堆栈示意图，堆栈是一个自高地址向下增长的内存空间,从图中可以看到我们的高地址，也就是栈底，而低地址大概4个空格的位置是栈顶。

也就是记住地址越低是栈顶，而且堆栈中要添加数据，地址要往跟低的地址移动。

接下来我们继续来看看，如何在堆栈中存取和读取数据，他既然是块内存，那么我们关注的肯定是存取和读取，首先堆栈中存入数据叫push，读取数据叫pop。

堆栈管理数据的方式是先进后出，即存取进去的数据，会在堆底，最后存取进去的数据会在栈顶，所以最先拿出来的数据也是最后放进去的即栈顶。

这里有个需要注意的地方，就是很多人以为pop数据后，堆栈里面的数据就清空了，其实并不是。

之前说过堆栈其实就是一块内存，当我们pop后，其实知识把栈顶往下移了而已，内存里面的数据还是在的，并没有被清除掉，只是对于堆栈而言，那数据被弹出。

当要push新数据，push很多个数据，或者pop很多个数据，都按照图示以此类推。

函数调用

函数调用C语言代码

学习堆栈最重要的应该就是函数调用了，当我们调用完一个函数后，代码都会往下继续执行下一句代码，那么这一步在底层是如何实现的呢？CPU怎么知道接下来要执行你函数调用完后的下一句代码？

这一部分其实稍微学过汇编的都应该知道。

当我们调用个函数的时候，在汇编层是叫Call myfunction，而调用函数的时候就会用到堆栈，传入的参数即:push。

#include <stdio.h>

/*自己的函数*/
void myfunction(int a,int b)
{
    int c = a+b;
    printf("%d\n",c);
}

int main()
{
    myfunction(1,2);
    printf("函数调用完毕!");
    return 0;
}

函数调用过程GDB调试

接着我们将上面代码编译出来，并且关闭stack保护，编译成32位，命令gcc test.c -m32 -fno-stack-protector -o test。

接下来用pwndbg进行调试，详细的看下，函数调用与堆栈中的关系。gdb test , b main ,r。

断点断到如上的位置，然后再单步n执行到call myfunction处，此时注意观察堆栈，可以看到堆栈中压入了数据2,1。

而我们代码是 myfunction(1,2);第一个参数是1，第而个参数是2，因为堆栈的先进后出的特性，所以先把最后的数据入栈。

函数Call返回原理

接着最重要的一步，需要注意！

目前我们处在call myfunction函数上，我们先记一下call myfunction的下一句汇编地址是多少，我这里是0x565555ac，然后接着我们输入si，单步步入进行调试，跳转到myfunction函数的内部，然后此时注意观察你的堆栈有什么变化！

此时我们观察堆栈发现，之前我们call的下一句地址0x565555ac被压栈了。

当我们一直单步步过myfunction函数中的汇编代码，直到他的最后一句这里，发现汇编代码是一句ret，ret的汇编代码其实就是pop eip，

也就是将堆栈中的数据弹出到eip,eip我们都知道是汇编中的PC指针，修改eip，那么当前CPU就会指向那地方开始执行代码。

而当前的堆栈数据就是我们调用myfunction函数时压入的下一条指令的地址，所以将其弹到eip，CPU就会指向那地方执行代码。

所以底层利用这种call 函数时将下一条指令地址压栈的方式，然后执行完函数后再弹栈到eip的方式跳过到调用完函数后的下一条代码。

函数栈帧

函数栈帧描述

栈帧也叫过程活动记录，是编译器用来实现过程/函数调用的一种数据结构。

当一个函数在运行时，需要为它在堆栈中创建一个栈帧（stack frame）用来记录运行时产生的相关信息，因此每个函数在执行前都会创建一个栈帧，在它返回时会销毁该栈帧。

所以说函数栈帧就是一种数据结构，也是块内存里的数据。

函数栈帧调试

我们继续用之前的代码做例子，然后用pwndbg调试来详细的分析函数栈帧。

如上图，当我们准备调用call myfunction的时候，其实在C语言中是当我们执行myfunction(1,2)的时候就会生成一个栈帧，那么在汇编层具体是什么时候创建呢?

然后当我们进入到myfunction函数内部，然后看到第一条汇编语句是push ebp，将ebp寄存器压入堆栈。

EBP寄存器又被称为帧指针（Frame Pointer） 【指向当前栈帧的底部】
ESP寄存器又被称为栈指针（Stack Pointer） 【永远指向栈帧的顶部】

然后接着的一句汇编代码是mov ebp,esp，这一句汇编指向完后，才开始真正的创建栈帧。

此时栈帧的数据结构差不多是这样： (现在我们就可以用ebp来进行寻址了，当我们要用到第一个参数那么用ebp+8即可，第二个参数ebp+0xC)

[ebp+0]  -----> 栈帧底 ，也是当前的栈顶  【ebp】【esp】
[ebp+4]     --> 调用完Call函数后下一条指令地址
[ebp+8]     --> 1(参数1)
[ebp+0xC]   --> 2(参数2)

在我们代码中myfunction里面还有计算a+b的值赋值给c的代码，我们继续调试看汇编且关注栈帧中对数据的处理。

当执行完栈帧创建后的汇编代码后，第一句的汇编代码是sub esp,0x10，我们之前讲过esp永远为栈顶，当esp-16代表的是，esp要向上移动16字节，用来存放数据。

一般来说这种sub esp,xxx或者add esp,-xxx，都是用来创建临时变量 ，存放临时变量数据的。我们这里的临时变量就一个那就是int c，那么int占用4个字节，这里开辟了

16字节空间，可能是gcc的优化为了对齐什么的吧，Windows的话多少个临时变量空间就开辟多少空间。

那么此时的栈帧结构如下所示：

[ebp-0x10]  栈顶 [esp]
[ebp-0xC]
[ebp-8]
[ebp-4]
[ebp+0]     -----> ebp 栈帧底 ，之前栈顶
[ebp+4]     --> 调用完Call函数后下一条指令地址
[ebp+8]     --> 1(参数1)
[ebp+0xC]   --> 2(参数2)

【可以看到我们可以利用ebp这种方式来进行对临时变量的一个定位，因为ebp永远是栈底，所以可以用来寻找不同的数据，当ebp-代表的是临时变量,ebp+代表的是函数参数】

当我们继续单步执行代码，执行到如下图所示的地方，可以看到果然是利用【ebp+偏移】进行函数参数的定位，然后利用【ebp-偏移】进行临时变量的定位。

OK很好，到这里我们基本已经了解了函数调用栈帧的一个详细原理了，这里再考考大家，那我在这个myfunction函数里要怎么知道返回后下一条代码的地址呢？

这个在之前说过了，当执行到ret汇编代码的时候，会把堆栈里面数据弹给eip。
那么现在我们用了函数调用帧的概念，是不是就很好懂了，当我们执行到ret的时候，这时候栈帧也就全部结束了，所以此时堆栈中的数据就是返回地址了。
也可以用[ebp+4]来代表返回地址。

最后从其他文章里面偷来的图片，方便理解函数栈帧概念。

栈溢出漏洞实战

要求实现栈溢出来执行没有被调用的hack函数。

要求：不允许使用pwntools工具

#include <stdio.h>

void hack()
{
    printf("Hack Success!!!!\n");
}

int main()
{
    printf("Hello,Please Start Hack!\n");
    char buf[20];
    scanf("%s",buf);
    return 0;
}

首先我们执行程序，然后输入>=20字节，程序会崩溃（缓冲区溢出）！

pwndbg调试

接下来老规矩,pwndbg开始调试。

首先来找到返回地址，正常情况下[ebp+4]就是ret的返回地址，但是main函数可能不太一样。

调试下来发现，[ebp+20]才是返回地址，这个实际情况还是以ret语句时候堆栈里面的数据为准。

在这里我们可以手动用命令set *地址=值来把return地址改成其他的，这里我们改成hack函数。

开始Hack

OK上面我没通过调试器修改数值，直接将堆栈的值改成了hack函数的地址，让他在return的时候直接返回到hack函数，从而成功输出Hack Success!!!!。

接下来我们用溢出来构造流程，让程序执行hack函数。

思路：
    char buf[20]; 是20个字节的空间，因为他是个临时变量，所以他应该是用ebp-xxx来定位。
    假设 [ebp-xxx] = buf地址
    那么我们需要覆盖到的是返回地址，一般是在[ebp+4]
    而这里strcpy允许我们任意的输入任何长度的字符串(造成漏洞的原因)
    我们这里只要把[ebp+4]给覆盖了就行，所以我们在输入20个字符串后，再继续输入4个字符串会把[ebp+0]覆盖掉,因为溢出。
    接着继续输入4个字符串,(28个字符串)，就会把[ebp+4]也给覆盖掉,就覆盖到返回地址了。
    程序ret的时候，就能跳到我们28个字符串中最后4个字符串构造的地址中去了。

因为我们这里调试出来是[ebp+20]才是返回地址，而且这里buf是[ebp-0x1c],0x1c=28，所以28字节刚好覆盖到ebp，那么再加20就覆盖到返回地址，所以长度是28+20=48。

覆盖前

溢出覆盖后，溢出字符串1111111111111111111111111111111111111111111111112222。

哈哈哈，一开始我还以为开心的结束了能hack到了，结果狗日的...有坑啊这玩意。

;这里把[ebp=8]地址设为栈顶，调试发现[ebp-8]，刚好是char [20]字节后的数据，也就是溢出后的第一个字节地址。
0x565555e2 <main+74>                  lea    esp, [ebp - 8]
;然后这里把栈顶弹给ecx寄存器
0x565555e5 <main+77>                  pop    ecx
0x565555e6 <main+78>                  pop    ebx
0x565555e7 <main+79>                  pop    ebp
;这里又把[ecx-4]，也就是[ebp-8]栈顶-4位置堆栈里面的 值 ，设置为新的esp，然后ret返回。
0x565555e8 <main+80>                  lea    esp, [ecx - 4]
0x565555eb <main+83>                  ret

所以这里的思路是，我们可以来控制ecx寄存器，因为ecx寄存器是由[ebp-8]地址的值赋值过去的，这里刚好是我们溢出覆盖到的最开始4个字节，所以我们可以控制这个地址，然后让这个地址指向偏移-4位置，然后这位置里面的值是hack函数地址，即可hack成功！

哈哈，因为我自己出的题目，要求不能用pwntools工具,所以只能用ASCII码来构造，构造来构造去发现ecx的堆栈地址是0xFF这种开头的，这种ASCII码对不上，超过能显示正常字符的ASCII码了，所以最后放弃了，我重新把题目代码改了下，改成了下面的样子。

题目要求：不能使用pwntools，让程序执行hack函数。

#include <stdio.h>
int _a = 1;
int _b = 2;
int _c = 3;
int _d = 4;
int _e = 5;
int _f = 6;
int _g = 7;
int _h = 0x5655556d;
int _i = 8;
int _j = 9;

void hack()
{
    asm("mov esp,0xffffd57c\n");
    printf("Hack Success!!!!\n");
    asm("mov ebx,0\n");
    asm("mov eax,1\n");
    asm("int 0x80\n");
}

int main()
{
    printf("Hello,Please Start Hack!\n");
    char buf[20];
    scanf("%s",buf);
    return 0;
}

解题思路：

这题目不同电脑可能运行效果不一样，因为我把地址写死了，我这里把hack函数地址写到了全局变量，而且故意是第8个全局变量，因为这位置刚好是 .data段中地址是 可以用ASCII码来显示的，然后我在hack函数开头用了一个汇编设置了栈顶，因为不设置的话调用printf函数会失败，最后用汇编调用int 80(中断)，功能号1 exit来强制退出程序，让其能显示出Hack Suucess字符串。

因为构造中是要[ecx-4]才是返回地址，所以我们要填入的地址是0x56557028,字符串是VUp(

因为内存中是大端存储，我们要反过来，改成(pUV。

最后加上20个字符串用来做溢出，payload如下。

Payload:

11111111111111111111(pUV

调试图：

Pwn菜鸡小分队

最后感谢大家的阅读，本菜鸡也是刚学，文章中如有错误请及时指出。

大家也可以来群里骂我哈哈哈，群里有PWN、RE、WEB大佬，欢迎交流