经典转载 - 缓冲区溢出原理和实践(Phrack).docVIP

经典转载 - 缓冲区溢出的原理和实践(Phrack) 经典转载 - 缓冲区溢出的原理和实践(Phrack) 简 介 在过去的几个月中,被发现和利用的缓冲区溢出漏洞呈现上升趋势.例如syslog, splitvt, sendmail 8.7.5, Linux/FreeBSD mount, Xt library, at等等.本文试图 解释什么是缓冲区溢出, 以及如何利用. 汇编的基础知识是必需的. 对虚拟内存的概念, 以及使用gdb的经验是十分有益 的, 但不是必需的. 我们还假定使用Intel x86 CPU, 操作系统是Linux. 在开始之前我们给出几个基本的定义: 缓冲区,简单说来是一块连续的计算机内 存区域, 可以保存相同数据类型的多个实例. C程序员通常和字缓冲区数组打交道. 最常见的是字符数组. 数组, 与C语言中所有的变量一样, 可以被声明为静态或动态 的. 静态变量在程序加载时定位于数据段. 动态变量在程序运行时定位于堆栈之中. 溢出, 说白了就是灌满, 使内容物超过顶端, 边缘, 或边界. 我们这里只关心动态 缓冲区的溢出问题, 即基于堆栈的缓冲区溢出. 进程的内存组织形式 为了理解什么是堆栈缓冲区, 我们必须首先理解一个进程是以什么组织形式在 内存中存在的. 进程被分成三个区域: 文本, 数据和堆栈. 我们把精力集中在堆栈 区域, 但首先按照顺序简单介绍一下其他区域. 文本区域是由程序确定的, 包括代码(指令)和只读数据. 该区域相当于可执行 文件的文本段. 这个区域通常被标记为只读, 任何对其写入的操作都会导致段错误 (segmentation violation). 数据区域包含了已初始化和未初始化的数据. 静态变量储存在这个区域中. 数 据区域对应可执行文件中的data-bss段. 它的大小可以用系统调用brk(2)来改变. 如果bss数据的扩展或用户堆栈把可用内存消耗光了, 进程就会被阻塞住, 等待有了 一块更大的内存空间之后再运行. 新内存加入到数据和堆栈段的中间. /------------------ 内存低地址 | | | 文本 | | | |------------------| | (已初始化) | | 数据 | | (未初始化) | |------------------| | | | 堆栈 | | | ------------------/ 内存高地址 Fig. 1 进程内存区域 什么是堆栈? ~~~~~~~~~~~~~ 堆栈是一个在计算机科学中经常使用的抽象数据类型. 堆栈中的物体具有一个特性: 最后一个放入堆栈中的物体总是被最先拿出来, 这个特性通常称为后进先处(LIFO)队列. 堆栈中定义了一些操作. 两个最重要的是PUSH和POP. PUSH操作在堆栈的顶部加入一 个元素. POP操作相反, 在堆栈顶部移去一个元素, 并将堆栈的大小减一. 为什么使用堆栈?