1.进程使用的内存都可以按功能大致分为以下4个部分:
(1)代码区:这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指并执行。
(2)数据区:用于存储全局变量等。
(3)堆区:进程可以在堆区动态地请求一定大小的内存,并在用完之后还给堆区。动态分配和回收是堆区的特点。
(4)栈区:用于动态地存储函数之间的调用关系,以保证被调用函数在返回时恢复到母函数中继续执行。
2.Win32系统提供两个特殊的寄存器用于标识位于栈系统顶端的栈帧。
(1)ESP:栈指针寄存器,其内存放着一个指针,改指针永远指向系统栈最上面的一个栈帧的栈顶。
(2)EBP:基址指针寄存器,其内存放着一个指针,改指针永远指向系统栈最上面一个栈帧的底部。
(3)EIP:指令寄存器,其内存放着一个指针,该指针永远指向下一条等待执行的指令地址。
一个栈溢出利用实验
今天看了一个关于溢出的小实验,挺好玩的,于是自己也想玩玩,首先看看这个实验的源码。
我们准备在password.txt文件中植入二进制的机器码,在password.txt攻击成功时,密码验证程序应该执行植入代码,并在桌面上弹出一个消息框显示“failwest”字样.
首先我们要完成的几项工作:
(1)分析并调试漏洞程序,获得淹没返回地址的偏移。
(2)获得buffer的起始地址,并将其写入password.txt的相应偏移处,用来冲刷返回地址。
(3)向password.txt中写入可执行的机器代码,用来调用API弹出一个消息框。
如果在password.txt中写入恰好44个字符,那么第45个隐藏截断符NULL将冲掉authenticated,低字节中的1,从而突破密码证的限制。
正如我们所料,authenticated被冲刷后,程序直接进入验证通过的分支。
(1)buffer数组的起始地址位0x0018FB44
(2)password.txt文件中第53~56个字符的ASCLL码将写入栈帧的返回地址,成为函数返回后执行的指令地址。
用汇编语言调用MessageboxA需要3个步骤:
(1)装载动态链接库user32.dll。MessageBoxA是动态链接库user32.dll的倒出函数。
(2)在汇编语言中调用这个函数需要获得这个函数的入口地址。
(3)在调用前需要向栈中按从右向左的顺序压入MessageBoxA。
为了让植入的机器代码更加简洁明了,我们在实验准备中构造漏洞程序的时候已经人工加载了user32.dll这个库,多以可以不用考虑第一步。
MessageBoxA的入口参数可以通过user32.dll在系统中加载的基址和MessageBoxA在库中的偏移相加得到。(具体可以使用vc自带工具“Dependency Walker“获得这些信息)
好吧 ,我的vc没有这个功能,只有在OD中去找了。
入口地址=7599FD1E
将以下汇编代码一十六进制形式抄入password.txt。
第53~56字节为buffer的起始地址,最后保存,当再次打开程序的时候
果然和我们预想的一样,出现了对话框,点击确定后程序就会崩溃。
到此就全部结束了,最重要的地方就是MessageBoxA的地址和buffer的起始地址,并且buffer的起始地址要恰好覆盖掉第53~56个字符栈帧的返回地址。