初級棧溢出_A_初識數組越界

今夜月明星稀
本想來點大道理申明下研究思路啥的，，但稍微調整一下講課的順序。從今天開始，將用3～4次給大家做一下棧溢出的掃盲。
棧溢出的文章網上還是有不少的（其實優秀的也就兩三篇），原理也不難，讀過基本上就能夠明白是怎么回事。本次講解將主要集中在動手調試方面，更加著重實踐。
經過這3～4次的棧溢出掃盲，我們的目標是：
會展溢出攻擊的基本原理
能夠動手調試簡易的棧溢出漏洞程序，并能夠利用漏洞執行任意代碼（最簡易的shellcode）
最主要的目的其實是激發大家的學習興趣——寡人求學若干年，深知沒有興趣是決計沒有辦法學出名堂來的。

本節課的基本功要求是：會C語言就行（大概能編水仙花數的水平）
我會盡量用最最傻瓜的文字來闡述這些內存中的二進制概念。為了避免一開始涉及太多枯燥的基礎知識讓您失去了興趣，我并不提倡從匯編和寄存器開始，也不想用函數和棧開頭。我準備用一個自己設計的小例子開始講解，之后我會以這個例子為基礎，逐步加碼，讓它變得越來越像真實的漏洞攻擊。
您需要的就是每天晚上看一篇帖子，然后用十分鐘時間照貓畫虎的在編譯器里把例子跟著走一遍，堅持一個星期之后您就會發現世界真奇妙了。
不懂匯編不是拒絕這門迷人技術的理由——今天的課程就不涉及匯編——并且以后遇到問題會隨時講解滴

所以如果你懂C語言的話，不許不學，不許說學不會，也不許說難，哈哈
開場白多說了幾句，下面是正題。今天我們來一起研究一段暴簡單無比的C語言小程序，看看編程中如果不小心出現數組越界將會出現哪些問題，直到這個單元結束您能夠用這些數組越界漏洞控制遠程主機。

#include <stdio.h>
#define PASSword "1234567"
int verify_password (char *password)
{
int authenticated;
char buffer[8]; // add local buff to be overflowed
authenticated=strcmp(password,PASSWORD);
strcpy(buffer,password); //over flowed here!
return authenticated;
}
main()
{
int valid_flag=0;
char password[1024];
while(1)
{
printf("please input password: ");
scanf("%s",password);
valid_flag = verify_password(password);
if(valid_flag)
{
printf("incorrect password!nn");
}
else
{
printf("Congratulation! You have passed the verification!n");
break;
}
}
}

對于這幾行簡單無比的程序，我還是稍作解釋。
程序運行后將提示輸入密碼
用戶輸入的密碼將被程序與宏定義中的“1234567”比較
密碼錯誤，提示驗證錯誤，并提示用戶重新輸入
密碼正確，提示正確，程序退出（真夠傻瓜的語言）

所謂的漏洞在于verify_password（）函數中的strcpy(buffer,password)調用。
由于程序將把用戶輸入的字符串原封不動地復制到verify_password函數的局部數組char buffer[8]中，用戶的字符串可能大于8個字符。當用戶輸入大于8個字符的緩沖區尺寸時，緩沖區就會被撐暴——即所謂的緩沖區溢出漏洞。

沖區給撐暴了又怎么樣？大不了程序崩潰么，有什么了不起！
此話不然，如果只是導致程序崩潰就不用我在這里浪費大家時間了。根據緩沖區溢出發生的具體情況，巧妙地填充緩沖區不但可以避免崩潰，還能影響到程序的執行流程，甚至讓程序去執行緩沖區里的代碼。
今天我們先玩一個最簡單的游戲。函數verify_password（）里邊申請了兩個局部變量
int authenticated;
char buffer[8];

當函數verify_password被調用時，系統會給它分配一片連續的內存空間，這兩個變量就分布在那里（實際上就叫函數棧幀，我們后面會詳細講解），如下圖

變量和變量緊緊地挨著。為什么緊挨著？當然不是他倆關系好，省空間啊，好傻瓜的問題，笑：）
用戶輸入的字符串將拷貝進buffer[8]，從示意圖中可以看到，如果我們輸入的字符超過7個（注意有串截斷符也算一個），那么超出的部分將破壞掉與它緊鄰著的authenticated變量的內容！
再復習一下程序，authenticated變量實際上是一個標志變量，其值將決定著程序進入錯誤重輸的流程（非0）還是密碼正確的流程（0）

下面是比較有趣的部分：
當密碼不是宏定義的1234567時，字符串比較將返回1或-1（這里只討論1，結尾的時候會談下-1的情況）
 

由于intel是所謂的大頂機，其實就是內存中的數據按照4字節（DWORD）逆序存儲，所以authenticated為1時，內存中存的是0x01000000
 

如果我們輸入包含8個字符的錯誤密碼，如“qqqqqqqq”，那么字符串截斷符0x00將寫入authenticated變量
 

這溢出數組的一個字節0x00將恰好把逆序存放的authenticated變量改為0x00000000。
函數返回，main函數中一看authenticated是0，就會歡天喜地地告訴你，oh yeah 密碼正確！這樣，我們就用錯誤的密碼得到了正確密碼的運行效果

下面用5分鐘實驗一下這里的分析吧。將代碼用VC6.0編譯鏈接，生成可執行文件。注意，

VC6.0或者更早的編譯器，不是7.0，不是8.0，不是.NET，不是VS2003，不是VS2005。為什么，其實不是高級的編譯器不能搞，是比較難搞，它們有特殊的GS編譯選項，為了不給咱們掃盲班增加負擔，所以暫時飄過，用6.0！
按照程序的設計思路，只有輸入了正確的密碼”1234567”之后才能通過驗證。程序運行情況如下：

要是輸入幾十個字符的長串，應該會崩潰。多少個字符會崩潰？為什么？賣個關子，下節課慢慢講。現在來個8個字符的密碼試下：

注意為什么01234567不行？因為字符串大小的比較是按字典序來的，所以這個串小于“1234567”，authenticated的值是-1，在內存里將按照補碼存負數，所以實際存的不是0x01000000而是0xffffffff。那么字符串截斷后符0x00淹沒后，變成0x00ffffff，還是非0，所以沒有進入正確分支。
總結一下，由于編程的粗心，有可能造成程序中出現緩沖區溢出的缺陷。
這種缺陷大多數情況下會導致崩潰，但是結合內存中的具體情況，如果精心構造緩沖區的話，是有可能讓程序作出設計人員根本意向不到的事情的
本節只是用一個字節淹沒了鄰接變量，導致了程序進入密碼正確的處理流程，使設計的驗證功能失效。

其實作為cracker，大家可能會說這有什么難的，我可以說出一堆方法做到這一點：
直接查看PE，找出宏定義中的密碼值，得到正確密碼
反匯編PE，找到爆破點,JZ JNZ的或者TEST EAX,EAX變XOR EAX,EAX的在分支處改它一個字節

但是今天介紹的這種方法與crack的方法有一個非常重要的區別，非常非常重要～～

就是～～～我們是在程序允許的情況下，用合法的輸入數據（對于程序來說）得到了非法的執行效果（對于程序員來說）——這是hack與crack之間的一個重要區別，因為大多數情況下hack是沒有辦法直接修改PE的，他們只能通過影響輸入來影響程序的流程，這將使hack受到很多限制，從某種程度上講也更加困難。這個區別將在后面幾講中得到深化，并被我不斷強調。
好了，今天的掃盲課程暫時結束，作為棧溢出的開場白，希望這個自制的漏洞程序能夠給您帶來一點點幫助。