浅析缓冲区溢出漏洞的利用与Shellcode编写

Posted 2021-10-20 Tr0e

文章目录

• 前言
• 汇编语言
• • 寄存器
  • 内存堆栈
  • CPU指令
  • 函数调用
• 总结

前言

缓冲区溢出（Buffer Overflow）是计算机安全领域内既经典而又古老的话题。1988 年的 Morris 蠕虫病毒，利用 UNIX 服务 finger 中的缓冲区溢出漏洞来获得访问权限并得到一个 shell，成功感染了 6000 多台机器。1996年前后，开始出现大量的缓冲区溢出攻击，因此引起人们的广泛关注。源码开放的操作系统首当其冲，Windows 系统下的缓冲区溢出也相继被发掘出来。

缓冲区是内存中存放数据的地方，缓冲区溢出漏洞是指在程序试图将数据放到及其内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出的现象。在 C 语言中，指针和数组越界不保护是 Buffer overflow 的根源，而且，在 C 语言标准库中就有许多能提供溢出的函数，如 strcat(), strcpy(), sprintf(), vsprintf(), bcopy(), gets() 和 scanf()。

与其他的攻击类型相比，缓冲区溢出攻击不需要太多的先决条件且杀伤力很强（可形成远程任意命令执行），同时在 Buffer Overflows 攻击面前，防火墙往往显得很无奈。本文将记录、学习下缓冲区溢出漏洞及其 Shellcode 的编写。

汇编语言

缓冲区溢出漏洞跟 CPU 内存堆栈紧密相关，在学习缓冲区溢出漏洞之前，必不可少得就是了解 CPU 中堆栈的概念和汇编语言的相关知识。

汇编语言参考教程： 王爽《汇编语言》笔记（详细），建议下载 PDF 电子书进行学习。

多数程序员学习的编程语言都是像 Java、Python、Go 等高级语言，这些编程语言均属于专门为人类设计的计算机语言。但是计算机本身并不理解高级语言，高级语言的源代码必须通过编译器转成二进制代码后才能在计算机上运行。计算机真正能够理解的是低级语言，它专门用来控制硬件。汇编语言就是低级语言，直接描述/控制 CPU 的运行。如果你想了解 CPU 到底干了些什么，以及代码的运行步骤，就一定要学习汇编语言。

汇编语言是一种以处理器指令系统为基础的低级程序设计语言。利用汇编语言编写程序的主要优点是可以直接、有效地控制计算机硬件，因而容易创建代码序列短小、运行快速的可执行程序。汇编语言是二进制指令的文本形式，与指令是一一对应的关系。比如，加法指令 00000011 写成汇编语言就是 ADD。只要还原成二进制，汇编语言就可以被 CPU 直接执行，所以它是最底层的低级语言。

汇编语言的主要应用场合：

1. 程序执行占用较短的时间，或者占用较小存储容量的场合；
2. 程序与计算机硬件密切相关，程序直接控制硬件的场合；
3. 需提高大型软件性能的场合或者没有合适的高级语言的场合。

汇编语言与具体的微处理器相联系，每种微处理器的汇编语言都不一样。通过都以常用的、结构简洁的 Intel 8086 汇编语言进行学习，学习汇编语言可以帮助我们充分获得底层编程的体验，深刻理解机器运行程序的机理。

寄存器

学习汇编语言，首先必须了解两个知识点：寄存器和内存模型。

先来看寄存器。CPU 本身只负责运算，不负责储存数据。数据一般都储存在内存之中，CPU 要用的时候就去内存读写数据。但是，CPU 的运算速度远高于内存的读写速度，为了避免被拖慢，CPU 都自带一级缓存和二级缓存。基本上，CPU 缓存可以看作是读写速度较快的内存。

但是 CPU 缓存还是不够快，另外数据在缓存里面的地址是不固定的，CPU 每次读写都要寻址也会拖慢速度。因此除了缓存之外，CPU 还自带了寄存器（register），用来储存最常用的数据。也就是说，那些最频繁读写的数据（比如循环变量），都会放在寄存器里面，CPU 优先读写寄存器，再由寄存器跟内存交换数据。
早期的 x86 CPU 只有 8 个寄存器，而且每个都有不同的用途。现在的寄存器已经有100多个了，都变成通用寄存器，不特别指定用途了，但是早期寄存器的名字都被保存了下来，上图是 8086 CPU 的寄存器思维导图。

寄存器不依靠地址区分数据，而依靠名称。每一个寄存器都有自己的名称，我们告诉 CPU 去具体的哪一个寄存器拿数据，这样的速度是最快的。有人比喻寄存器是 CPU 的零级缓存。

【补充】

1）数据段的操作：

2）栈操作：

3）PUSH 指令：

4）程序在内存中的映像

当进程被加载到内存时，会被分成很多段：

1. 代码段：保存程序文本，指令指针 EIP 就是指向代码段，可读可执行不可写；
2. 数据段：保存初始化的全局变量和静态变量，可读可写不可执行；
3. BSS：未初始化的全局变量和静态变量；
4. 堆(Heap)：动态分配内存，向地址增大的方向增长，可读可写可执行；
5. 栈(Stack)：存放局部变量，函数参数，当前状态，函数调用信息等，向地址减小的方向增长，可读可写可执行；
6. 环境/参数段（environment/argumentssection）：用来存储系统环境变量的一份复制文件，进程在运行时可能需要。例如，运行中的进程，可以通过环境变量来访问路径、shell 名称、主机名等信息。该节是可写的，因此在缓冲区溢出（buffer overflow）攻击中都可以使用该段。

5）Debug程序

内存堆栈

寄存器只能存放很少量的数据，大多数时候，CPU 要指挥寄存器，直接跟内存交换数据。所以，除了寄存器，还必须了解内存怎么储存数据。

程序运行的时候，操作系统会给它分配一段内存，用来储存程序和运行产生的数据。这段内存有起始地址和结束地址，比如从 0x1000 到 0x8000，起始地址是较小的那个地址，结束地址是较大的那个地址。

1、Heap（堆）

程序运行过程中，对于动态的内存占用请求（比如新建对象，或者使用malloc命令），系统就会从预先分配好的那段内存之中，划出一部分给用户，具体规则是从起始地址开始划分（实际上，起始地址会有一段静态数据，这里忽略）。举例来说，用户要求得到 10 个字节内存，那么从起始地址 0x1000 开始给他分配，一直分配到地址 0x100A，如果再要求得到 22 个字节，那么就分配到 0x1020。

这种因为用户主动请求而划分出来的内存区域，叫做 Heap（堆）。它由起始地址开始，从低位（地址）向高位（地址）增长。Heap 的一个重要特点就是不会自动消失，必须手动释放，或者由垃圾回收机制来回收。

2、Stack（栈）

除了 Heap 以外，其他的内存占用叫做 Stack（栈）。简单说，Stack 是由于函数运行而临时占用的内存区域。

请看下面的例子：

int main() {
   int a = 2;
   int b = 3;
}

上面代码中，系统开始执行 main 函数时，会为它在内存里面建立一个帧（frame），所有 main 的内部变量（比如 a 和 b）都保存在这个帧里面。main 函数执行结束后，该帧就会被回收，释放所有的内部变量，不再占用空间。

如果函数内部调用了其他函数，会发生什么情况？

int main() {
   int a = 2;
   int b = 3;
   return add_a_and_b(a, b);
}

上面代码中，main 函数内部调用了 add_a_and_b 函数。执行到这一行的时候，系统也会为 add_a_and_b 新建一个帧，用来储存它的内部变量。也就是说，此时同时存在两个帧：main 和 add_a_and_b。一般来说，调用栈有多少层，就有多少帧。

等到 add_a_and_b 运行结束，它的帧就会被回收，系统会回到函数 main 刚才中断执行的地方，继续往下执行。通过这种机制，就实现了函数的层层调用，并且每一层都能使用自己的本地变量。

所有的帧都存放在 Stack，由于帧是一层层叠加的，所以 Stack 叫做栈。生成新的帧，叫做"入栈"，英文是 push；栈的回收叫做"出栈"，英文是 pop。Stack 的特点就是，最晚入栈的帧最早出栈（因为最内层的函数调用，最先结束运行），这就叫做"后进先出"的数据结构。每一次函数执行结束，就自动释放一个帧，所有函数执行结束，整个 Stack 就都释放了。

Stack 是由内存区域的结束地址开始，从高位（地址）向低位（地址）分配。比如，内存区域的结束地址是 0x8000，第一帧假定是16字节，那么下一次分配的地址就会从 0x7FF0 开始；第二帧假定需要 64 字节，那么地址就会移动到 0x7FB0。

CPU指令

了解寄存器和内存模型以后，就可以来看汇编语言到底是什么了。下面是一个简单的程序 example.c：

int add_a_and_b(int a, int b) {
   return a + b;
}

int main() {
   return add_a_and_b(2, 3);
}

使用 gcc 将这个程序转成汇编语言：

$ gcc -S example.c

上面的命令执行以后，会生成一个文本文件 example.s，里面就是汇编语言，包含了几十行指令。这么说吧，一个高级语言的简单操作，底层可能由几个，甚至几十个 CPU 指令构成。CPU 依次执行这些指令，完成这一步操作。example.s 经过简化以后，大概是下面的样子：

_add_a_and_b:
   push   %ebx
   mov    %eax, [%esp+8] 
   mov    %ebx, [%esp+12]
   add    %eax, %ebx 
   pop    %ebx 
   ret  

_main:
   push   3
   push   2
   call   _add_a_and_b 
   add    %esp, 8
   ret

可以看到，原程序的两个函数 add_a_and_b 和 main，对应两个标签 _add_a_and_b 和 _main。每个标签里面是该函数所转成的 CPU 运行流程。

1、Push 指令

根据约定，程序从 _main 标签开始执行，这时会在 Stack 上为 main 建立一个帧，并将 Stack 所指向的地址，写入 ESP 寄存器。后面如果有数据要写入 main 这个帧，就会写在 ESP 寄存器所保存的地址。

然后，开始执行第一行代码：push 3。push 指令用于将运算子放入 Stack，这里就是将 3 写入 main 这个帧。虽然看上去很简单，push 指令其实有一个前置操作。它会先取出 ESP 寄存器里面的地址，将其减去 4 个字节，然后将新地址写入 ESP 寄存器。使用减法是因为 Stack 从高位向低位发展，4 个字节则是因为 3 的类型是 int，占用 4个字节。得到新地址以后， 3 就会写入这个地址开始的四个字节。

第二行指令—— push 2也是一样，push 指令将 2 写入 main 这个帧，位置紧贴着前面写入的 3。这时，ESP 寄存器会再减去 4个字节（累计减去8）。

2、call 指令

第三行的call指令用来调用函数。

call   _add_a_and_b

上面的代码表示调用 add_a_and_b 函数。这时，程序就会去找 _add_a_and_b 标签，并为该函数建立一个新的帧。下面就开始执行 _add_a_and_b 的代码。

push   %ebx

这一行表示将 EBX 寄存器里面的值，写入 _add_a_and_b 这个帧。这是因为后面要用到这个寄存器，就先把里面的值取出来，用完后再写回去。这时，push 指令会再将 ESP 寄存器里面的地址减去 4 个字节（累计减去12）。

3、mov 指令

mov 指令用于将一个值写入某个寄存器。

mov    %eax, [%esp+8] 

这一行代码表示，先将 ESP 寄存器里面的地址加上 8 个字节，得到一个新的地址，然后按照这个地址在 Stack 取出数据。根据前面的步骤，可以推算出这里取出的是 2，再将 2 写入 EAX 寄存器。下一行代码也是干同样的事情。

mov    %ebx, [%esp+12] 

上面的代码将 ESP 寄存器的值加 12 个字节，再按照这个地址在 Stack 取出数据，这次取出的是 3，将其写入 EBX 寄存器。

4、add 指令

add 指令用于将两个运算子相加，并将结果写入第一个运算子。

add    %eax, %ebx

上面的代码将 EAX 寄存器的值（即2）加上 EBX 寄存器的值（即3），得到结果 5，再将这个结果写入第一个运算子 EAX 寄存器。

5、pop 指令

pop 指令用于取出 Stack 最近一个写入的值（即最低位地址的值），并将这个值写入运算子指定的位置。

pop    %ebx

上面的代码表示，取出 Stack 最近写入的值（即 EBX 寄存器的原始值），再将这个值写回 EBX 寄存器（因为加法已经做完了，EBX 寄存器用不到了）。注意，pop 指令还会将 ESP 寄存器里面的地址加4，即回收4个字节。

6、ret 指令

ret 指令用于终止当前函数的执行，将运行权交还给上层函数。也就是，当前函数的帧将被回收。该指令没有运算子。随着 add_a_and_b 函数终止执行，系统就回到刚才 main 函数中断的地方，继续往下执行。

add    %esp, 8 

上面的代码表示，将 ESP 寄存器里面的地址，手动加上 8 个字节，再写回 ESP 寄存器。这是因为 ESP 寄存器的是 Stack 的写入开始地址，前面的pop操作已经回收了 4 个字节，这里再回收 8 个字节，等于全部回收。最后，main 函数运行结束，ret 指令退出程序执行。

函数调用

上面演示的代码案例，只是为了方便理解汇编程序的指令而简化并省略了部分汇编指令，实际上对于函数调用、返回过程中的内存操作细节的描述并不准确……为了后续更好地理解缓冲区溢出漏洞，不得不进一步了解函数调用过程中 CPU 内存栈的变化细节。

实际上，函数调用中栈的工作过程如下：

调用函数前
　　压入栈
　　　 1）上级函数传给 A 函数的参数
　　　 2）返回地址 ( EIP )
　　　 3）当前的 EBP
　　　 4）函数的局部变量

调用函数后
　　恢复 EBP
　　恢复 EIP
　　局部变量不作处理

下面用一个例子来讲函数调用过程中栈的变化:

int sum(int _a,int _b)
{
    int c=0;
    c=_a+_b; 
    return c;
}
 
int main()
{
    int a=10;
    int b=20;
    ret=sum(a,b); 
    return 0；
}

1、 main 函数的栈在调用 sum 函数之前如图：
2、接着调用 ret=sum(a,b) 函数，首先函数参数从右至左入栈：
3、call 指令调用 sum 函数时实际上分两步：push EIP 将下一条指令入栈保存起来，作为后续 sum 函数执行完毕后的返回地址，然后 esp-4 令 esp 指针下移：
4、执行指令push ebp 将 main 父函数的基指针入栈保存：
5、接着还需执行指令 mov ebp esp ，将 esp 的值存入 ebp，也就等于将 ebp 指向 esp（目的是将 ebp 指向后面由 sum 函数触发的新的栈帧的栈底）：

6、然后执行指令sub esp 44H将 esp下移动一段空间，创建 sum 函数的栈栈帧：

7、sum 函数的内部逻辑实现过程忽略，直接看看函数返回。sum 函数执行完以后，程序将执行指令 mov esp ebp，将 ebp 的值赋给 esp，也就等于将 esp 指向 ebp，销毁 sum 函数栈帧：

8、接着执行pop ebp指令，将 ebp 出栈，将栈中保存的 main 函数的基址赋值给 ebp ：
9、执行指令ret ，ret 相当于 pop eip，就是把之前保存的函数返回地址(也就是 main 函数中下一条该执行的指令的地址)出栈：
10、最后执行add esp,8 指令，因为传入 sum 函数的参数已经不需要了，我们将 esp 指针上移：

此时函数整个调用过程就结束了，main 函数栈恢复到了调用之前的状态。

总结

本文参考文章：

1. 缓冲区溢出漏洞；
2. 网络攻防实战技术之——缓冲区溢出篇；
3. BiliBili视频教程——缓冲区溢出分析基础篇。