我正在阅读以下关于缓冲区溢出的论文: http://www1.telhai.ac.il/sources/private/academic/cs/557/2659/Materials/Smashing.pdf
根据论文中的示例,攻击者在溢出的缓冲区中注入代码,并修改返回地址以指向缓冲区的地址。由于注入的代码和局部变量都位于堆栈上,攻击者不应该确保她/他在用代码溢出缓冲区之前为局部变量留出足够的空间吗?从广义上讲,我很困惑当代码和局部变量都在堆栈上时如何维护堆栈......局部变量是否有可能覆盖注入的代码???
一种解决方案是不使用任何局部变量。这不一定是对代码的很大限制,这些代码将很小,并且无论如何都要通过调用其他内容来完成其工作。(非常相对地说它不是一个很大的约束,它超出了我的tbh,但由于这不是最容易编写的代码,所以在这种情况下它不是一个很大的约束)。
不过,这甚至没有必要。堆栈将如下所示:
Function A Arg 2
Function A Arg 1
Function A Arg 0
Return Address into caller
Function A Local 1
Function A Local 0
Function B Arg 1
Function B Arg 0
Return Address into place in Function A's executable code.
Function B Local 2
Function B Local 1
Function B Local 0
Function C Arg 0
Return Address into place in Function B's executable code.
Function C Local 3
Function C Local 2
Function C Local 1
Function C Local 0
...
缓冲区溢出会诱使它看起来像:
Function A Arg 2
Function A Arg 1
Function A Arg 0
Return Address into caller
Function A Local 1
NastyCode bytes 0-3
NastyCode bytes 4-7
NastyCode bytes 8-B
NastyCode bytes C-E
NastyCode bytes F-10
NastyCode bytes 10-13
NastyCode bytes 14-17
NastyCode bytes 18-1B
NastyCode bytes 1F-20
...
NastyCode arg 0 (etc.)
Return Address (of NastyCode [may not even be valid, may return to original caller, or may jump into something it'll set up]).
NastyCode Local 2
NastyCode Local 1
NastyCode Local 0
Return Address (should be of Function F, into a point in Function E but it's changed to point to byte 0 of NastyCode)
Function F Local 2
Function F Local 1
Function F Local 0
因此,写入堆栈的可执行代码可以远离该代码的本地变量。