栈溢出原理

栈溢出漏洞是由于使用了不安全的函数，如 C 中的 scanf, strcpy等，通过构造特定的数据使得栈溢出，从而导致程序的执行流程被控制。

要分析栈溢出漏洞，我们要先了解函数栈帧的结构。

在 C 函数中，每个函数都有一个栈帧，它用来保存这个函数的参数、局部变量、返回地址等信息，是系统栈的一部分。

假设有这样一个函数：

void foo(char *arg1, char *arg2) { int temp = 0char buffer[4]strcpy(buffer, arg1)}

这个函数的栈帧是这样的：

ESP 称为栈顶指针，用来指示当前栈帧的顶部

EBP 称为栈基址指针，用来指示当前栈帧的底部

在调用这个函数时，压栈的顺序为：

由于局部变量 buffer 的长度是 4 个字节，而在使用 strcpy 函数的时候并没有判断参数 arg1 的长度，因此，当传入的 arg1 的长度大于 4 个字节时，多出的字节将会依次覆盖掉局部变量 temp、调用者的 EBP、返回地址等。

通过精心构造 arg1 的值，就可以将返回地址覆盖为任意想要的值，以便于跳到 shellcode

可以将 shellcode 保存在 buffer 中，并将猛告誉返回地址覆枝段盖为 buffer 的起始地址，如图：

<br />

此外，我们可以采取相对移位的方法，如图：

在很多情况下，要精确定位 buffer 的起始位置是很难的，我们可以采用增大 “落点” 的面积的方式来增加命中的几率，具体做法是使用 nop 填充 buffer，如果落点在 nop，那友枯么系统会一直往下执行直到遇到 shellcode

如果函数返回地址的偏移按 DWORD 不定，可以用一片连续的跳转指令地址来覆盖函数返回地址，如图：

在函数返回时，esp 总是指向返回地址的下一个位置，所以，我们可以通过覆盖多一些栈帧，将 shellcode 写到返回地址之后的位置，并通过跳板指令重新回到栈中，如图：

那么，到哪儿去找跳板指令呢？在早期的 Windows 版本的动态链接库中，存在大量的 jmp esp 指令，而这些库在内存中的地址是相对固定的，如Win2000、XP、Win2003 的 0x7ffa4512

<br />

参考资料：

x86函数调用堆栈的 *** 作

《0day安全 软件漏洞分析技术》

1，什么是栈溢出？因为栈一般默认为1-2m，一旦出现死循环或者是大量的递归调用，在不断的压栈过程中，造成栈容量超过1m而导致溢出。2，解决方案：方法一：用栈把递归转换成非递归通常,一个函数在调用另一个函数之前,要作如下的事情:a)将实在参数,返回地址等信息传递给被调用函数保存b)为被调用函数的局部变量分配存储区c)将控制转移到被调函数的入口. 从被调用函数返回调用函数之前,也要做三件事情:a)保存被调函数的计算结果b)释放被调函数的数据区c)依照被调函数保存的返回地址将控制转移到调用函数.所有的这些,不论是变量还是地址,本质上来说都是"数据",都是保存在系统所分配的栈中的. 那么自己就可以写一个栈来存储必要的数据，以减少系统负担。 方法二：使用static对象替代nonstatic局部对象在递归函数设计中，可以使用static对象替代nonstatic局部对象（即栈对象），这不仅可以减少每次递归调用和返回时产生和释放nonstatic对象的开销，而且static对象还可以保存递归调用的中间状态，并且可为各个调用层谨信所访问。 方法三：增大堆栈大小值当创建一个线程的堆栈时，系统将会保留一个链接程序的/STACK开关指明的地址空间区域。但是，当调用CreateThread或_beginthreadex函数时，可以重载原先提交的内存数量。这两个函数都有一个参数，可以用来重载原先提交给堆栈的地址空间的内存数量。如果设定这个参数为0，那么系统将使用/STACK开关指明的已提祥晌轮交的堆栈大小值。后面将假定我们使用默认的堆栈大小值，即1MB的保留区域，每次提交一个页面的内存。 Java在创建线程时设置栈大小：thread(threadgroup group, runnable target, string name, long stacksize)

分配新的 thread 对象，以便将 target 作为其运行对象，将指定的 name 作为其名称，作为 group 所引用的线程组的一员，谨睁并具有指定的堆栈大小

解决递归调用栈溢出的方法是通过尾递归优化，事实上尾递归和循环的效果是一样的，所以，把循环看成是一种特殊的尾递归函数也是可以的。

尾递归，在函数返回的时候，调用自身本身，并且，return语句不能包含表达式。这样，编译器或者解释器就可以把尾递归做优化，使递归本身无论调用多少次，都只占用一个栈帧，不会出现栈溢出的情况。

扩展资料

针对堆栈溢出可能造成的计算机安全问题，通常有以下这些防范措施：

1、强制按照正确的规则写代旦轮码。

2、通过 *** 作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码。但由于攻击者并不一定要通过植入代码来实现攻击，同时linux在信号传递和GCC的在线重用都使用了可执行堆栈的属性，因此该方法依然有一定弱点。

3、利用编译器的边界检查来实现缓冲区的保护。该方法使得缓冲区溢出不可能塌亮出现，完全消除了缓冲区溢出的威胁，但代价较大，如性能速度变慢。

4、程序指针完整性检查，该方法能阻止绝大多数缓冲区溢出攻击团迟宽。该方法就是说在程序使用指针之前，检查指针的内容是否发生了变化。

参考资料来源：百度百科-堆栈溢出

参考资料来源：百度百科-栈溢出

---