1

我正在阅读以下关于缓冲区溢出的论文: http ://www1.telhai.ac.il/sources/private/academic/cs/557/2659/Materials/Smashing.pdf

根据论文中的例子,攻击者将代码注入溢出的缓冲区,并修改返回地址指向缓冲区的地址。由于注入的代码和局部变量都位于堆栈上,攻击者不应该确保她/他在代码溢出缓冲区之前为局部变量留出足够的空间吗?从广义上讲,我很困惑当代码和局部变量都在堆栈上时如何维护堆栈......是否有局部变量覆盖注入代码的机会???

4

1 回答 1

0

一种解决方案是不使用任何局部变量。这不一定是对小代码的大约束,无论如何都要调用其他东西来完成它的工作。(非常相对地说它不是一个很大的限制,它超出了我的范围,但由于这不是最容易编写的代码,因此在这种情况下它不是一个很大的限制)。

但这甚至没有必要。堆栈看起来像:

Function A Arg 2
Function A Arg 1
Function A Arg 0
Return Address into caller
Function A Local 1
Function A Local 0
Function B Arg 1
Function B Arg 0
Return Address into place in Function A's executable code.
Function B Local 2
Function B Local 1
Function B Local 0
Function C Arg 0
Return Address into place in Function B's executable code.
Function C Local 3
Function C Local 2
Function C Local 1
Function C Local 0
...

缓冲区溢出使其看起来像:

Function A Arg 2
Function A Arg 1
Function A Arg 0
Return Address into caller
Function A Local 1
NastyCode bytes 0-3
NastyCode bytes 4-7
NastyCode bytes 8-B
NastyCode bytes C-E
NastyCode bytes F-10
NastyCode bytes 10-13
NastyCode bytes 14-17
NastyCode bytes 18-1B
NastyCode bytes 1F-20
...
NastyCode arg 0 (etc.)
Return Address (of NastyCode [may not even be valid, may return to original caller, or may jump into something it'll set up]).
NastyCode Local 2
NastyCode Local 1
NastyCode Local 0
Return Address (should be of Function F, into a point in Function E but it's changed to point to byte 0 of NastyCode)
Function F Local 2
Function F Local 1
Function F Local 0

因此写入堆栈的可执行代码可以远离该代码的本地变量。

于 2012-08-07T16:38:01.987 回答