北京大学计算机科学技术研究所

1、北京大学计算机科学技术研究所北京大学计算机科学技术研究所缓冲区溢出攻击技术栈溢出攻击技术北京大学计算机科学技术研究所北京大学计算机科学技术研究所北京大学计算机科学技术研究所北京大学计算机科学技术研究所内容北京大学计算机科学技术研究所北京大学计算机科学技术研究所缓冲区溢出攻击的威胁北京大学计算机科学技术研究所北京大学计算机科学技术研究所缓冲区溢出攻击的基本概念北京大学计算机科学技术研究所北京大学计算机科学技术研究所缓冲区溢出攻击的发展历史北京大学计算机科学技术研究所北京大学计算机科学技术研究所缓冲区溢出攻击背景知识与技巧北京大学计算机科学技术研究所北京大学计算机科学技术研究所GCC编译器基础北京

2、大学计算机科学技术研究所北京大学计算机科学技术研究所GDB调试器的使用北京大学计算机科学技术研究所北京大学计算机科学技术研究所VC6.0命令行北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32平台调试器北京大学计算机科学技术研究所北京大学计算机科学技术研究所背景知识进程内存空间ESPEIP0 xc00000000 x80000000LinuxWin32北京大学计算机科学技术研究所北京大学计算机科学技术研究所Linux进程内存空间北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32进程内存空间北京大学计算机科学技术研究所北京大学计算机科学技术研究所汇编语言基础知识寄

3、存器寄存器名寄存器名说明说明功能功能eax:累加器加法乘法指令的缺省寄存器, 函数返回值ecx计数器REP & LOOP指令的内定计数器edx除法寄存器存放整数除法产生的余数ebx: 基址寄存器在内存寻址时存放基地址esp栈顶指针寄存器SS：ESP当前堆栈的栈顶指针ebp栈底指针寄存器SS：EBP当前堆栈的栈底指针esi, dei源、目标索引寄存器在字符串操作指令中，DS：ESI指向源串ES：EDI指向目标串eip 指令寄存器CS:EIP指向下一条指令的地址eflags标志寄存器标志寄存器cs代码段寄存器当前执行的代码段ss椎栈段寄存器stack segment, 当前堆栈段ds数据段

4、寄存器data segment, 当前数据段北京大学计算机科学技术研究所北京大学计算机科学技术研究所汇编语言基础知识汇编指令命令命令解释解释PUSH%esp -= 4; movl %REG, (%esp)POP movl (%esp), %REG; %esp += 4JMPmovl addr, %eipCALLpushl %eip; %eip = addressLEAVEmov %ebp, % esp; pop %ebpRETpopl %eip北京大学计算机科学技术研究所北京大学计算机科学技术研究所栈的基本结构北京大学计算机科学技术研究所北京大学计算机科学技术研究所函数调用过程北京大学计算机科

5、学技术研究所北京大学计算机科学技术研究所函数调用过程示例21Ret-addebpretValStack frameespespespespmain ebpespfunc ebpespespespespesp北京大学计算机科学技术研究所北京大学计算机科学技术研究所缓冲区溢出攻击的本源北京大学计算机科学技术研究所北京大学计算机科学技术研究所缓冲区溢出示例北京大学计算机科学技术研究所北京大学计算机科学技术研究所栈溢出攻击的原理北京大学计算机科学技术研究所北京大学计算机科学技术研究所Return addBuffer(96bytes)ilong_ptr高地址低地址Para2 Para1Return ad

6、dReturn addReturn addReturn addshellcode栈溢出攻击示例北京大学计算机科学技术研究所北京大学计算机科学技术研究所Linux系统下的栈溢出攻击北京大学计算机科学技术研究所北京大学计算机科学技术研究所NOPshellcodeLow AddressNOPNOPRETRETRETHigh Addressvulnerable1.c: stackexploit1.c:NSR溢出模式北京大学计算机科学技术研究所北京大学计算机科学技术研究所RETshellcodeLow AddressRETRETNOPNOPNOPHigh Addressvulnerable2. c: s

7、tackexploit2.c:RNS溢出模式北京大学计算机科学技术研究所北京大学计算机科学技术研究所shellcodeLow AddressFILE NULLHigh Addressvulnerable2.c: stackexploit3.c:0 xc0000000RETRETRETR.S溢出模式利用环境变量北京大学计算机科学技术研究所北京大学计算机科学技术研究所栈溢出模式分析北京大学计算机科学技术研究所北京大学计算机科学技术研究所Shellcode C版本北京大学计算机科学技术研究所北京大学计算机科学技术研究所Shellcode 汇编版本shellcode_asm.cshellcode_as

8、m_fix.c去除0北京大学计算机科学技术研究所北京大学计算机科学技术研究所Shellcode Opcode版本北京大学计算机科学技术研究所北京大学计算机科学技术研究所给出远程登录的Shellcode北京大学计算机科学技术研究所北京大学计算机科学技术研究所渗透防火墙的Shellcode北京大学计算机科学技术研究所北京大学计算机科学技术研究所在真实Linux世界中的栈溢出攻击北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32系统下的栈溢出攻击北京大学计算机科学技术研究所北京大学计算机科学技术研究所漏洞程序北京大学计算机科学技术研究所北京大学计算机科学技术研究所如何利用？与Linu

9、x平台有何不同？北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32对废弃栈的处理调用者的栈调用参数返回地址EBP局部变量 Shellcode地址RSSSSSSSSNNNNNNNNEBPESPESP%北京大学计算机科学技术研究所北京大学计算机科学技术研究所调用者的栈调用参数Return addressEBP局部变量 Shellcode地址地址R中含空字节SSSSRNNNNNNNNWin32栈地址含有空字节北京大学计算机科学技术研究所北京大学计算机科学技术研究所如何解决?北京大学计算机科学技术研究所北京大学计算机科学技术研究所通过跳转指令执行Shellcode调用者的栈调用参数Re

10、turn addressEBP局部变量SSSSRNNNNNNNNEBPESPESPESPESP北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32远程缓冲区溢出北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32 Shellcode C语言版北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32 Shellcode 汇编语言版北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32 Shellcode Opcode版北京大学计算机科学技术研究所北京大学计算机科学技术研究所Win32完整的本地Shellcode北京大学计算机科学技术研究所北京大学计算机科学技术研究所从Kernel32.dll获取地址北京大学