码迷,mamicode.com
首页 > 编程语言 > 详细

【汇编杂项】关于_高级语言中 数组越界与汇编中 栈溢出的_联系的思考

时间:2018-10-14 20:56:45      阅读:252      评论:0      收藏:0      [点我收藏+]

标签:bubuko   ptr   for   call   导致   color   长度   原理   end   

  • 数组越界

    数组越界,是刚开始学习编程时,就不断被别人提醒的一个点,“相当可怕”。获取不合理数值,造成程序异常or操作计算机重要内存,造成威胁。。。原因是什么呢?数组在汇编中以栈机制实现,其中内存分配的机制与数组越界的风险有很大关系。今天做个小实验,来简单探讨下这个。

  • 代码

    先展示问题代码

1 #include<stdio.h>
2 int main(){
3     int a[3]={0,1,2};
4     for(int i=0;i<=3;i++){
5         a[i]=0;
6         printf("test");  
7     }   
8     return 0;   
9 }    

    

    诸君很容易看出,第4行for循环内的结束条件设置的显然有问题,数组a长度位3,显然下标只能到2,而循环中却做了一个对所谓a[3]的赋0操作,这就是常说的数组下标越界问题。

    看一下,这个问题代码给我们带来了什么样的麻烦。。。

    我编译出可执行文件,运行。。。瞬间屏幕被 “test” 字符串填满。。。

 

技术分享图片

    仅仅两三秒,就不知做了多少次循环了,计算机运算就是快/xyx/xyx/xyx,展示下页长。。。

技术分享图片

    

    显然,由于这个数组越界的问题,我们陷入了死循环,(疯狂ctrl+c,终于停了,如图)

 

技术分享图片

 

  • 思考

    那。。。为什么会死循环?

    汇编语言里找问题,用gcc拿出中间汇编文件,查看汇编代码(没有采用什么O1/O2的优化编译,所以以下仍含有栈帧的概念)。

 1         .file   "test.c"
 2         .intel_syntax noprefix
 3         .section        .rodata
 4 .LC0:
 5         .string "test"
 6         .text
 7         .globl  main
 8         .type   main, @function
 9 main:
10 .LFB0:
11         .cfi_startproc
12         push    rbp
13         .cfi_def_cfa_offset 16
14         .cfi_offset 6, -16
15         mov     rbp, rsp
16         .cfi_def_cfa_register 6
17         sub     rsp, 16
18         mov     DWORD PTR [rbp-16], 0
19         mov     DWORD PTR [rbp-12], 1
20         mov     DWORD PTR [rbp-8], 2
21         mov     DWORD PTR [rbp-4], 0
22         jmp     .L2
23 .L3:
24         mov     eax, DWORD PTR [rbp-4]
25         cdqe
26         mov     DWORD PTR [rbp-16+rax*4], 0
27         mov     edi, OFFSET FLAT:.LC0
28         mov     eax, 0
29         call    printf
30         add     DWORD PTR [rbp-4], 1
31 .L2:
32         cmp     DWORD PTR [rbp-4], 3
33         jle     .L3
34         mov     eax, 0
35         leave
36         .cfi_def_cfa 7, 8
37         ret
38         .cfi_endproc
39 .LFE0:
40         .size   main, .-main
41         .ident  "GCC: (GNU) 4.8.5 20150623 (Red Hat 4.8.5-16)"
42         .section        .note.GNU-stack,"",@progbits

    

    (杂鱼懒得删了,全贴,这是intel风格64位汇编代码,带诸君看)

    开始分析,第11行到38行就是main函数了,.cfi_startproc和.cfi_endproc是调用框架指令,用来标记这是一段函数(这里涉及调用框架,诸君有兴趣自行探索)。

    

    12行起到16行:一系列操作据说是函数调用框架的规范步骤,成为前序,就是为了调用main函数和函数返回的正常做的工作,这里不做深究。

    

    我们看17行,将rsp(栈顶寄存器)减了16字节,这就是为下面的数组及变量开辟空间。接着四步就可以看出一次录入了 a[0],a[1],a[2],i 的值。接着jmp无条件跳转到 L2段。

 

    !!!L2里就涉及到for循环的控制了,我们开始接近问题的本源了。cmp 操作数,用来比较 [rbp-4] (我们知道这里放的是变量i) 与3的大小,接着jle(什么jump when less or equal,差不多这样),若结果为小于等于则跳转到L3。

 

    L3内,上来就把我们的i的值取了出来(因为后面依据下标取数组元素要用到),接着cdqe是将32为寄存器拓展为64为寄存器rax。我们就从出问题的时间点来排查,假设这时i的值已为3(即下标已经越界了),可是到了26行时 i 的值又被赋为了0,这一步其实对应 c 文件里for循环中 a[i] = 0; 这一步,但是这里由于栈帧中内存的分配导致越界后操作到了 i 的值。可想而知,程序的逻辑是for循环到 i==4(i<=3) 时结束,而每次 i一到 3 又被我们重置为 0,for循环又如何停止???所以就死循环了呗。

    (附一张main栈帧的简图,方便诸君理解)

技术分享图片

    没错,分析到这里基本就没什么问题了,可是学习不止于此。。。

  • 拓展

    既然我们知道死循环是由于 i 变量被非法篡改了,导致无法满足 i>3 的截止条件,那么我们可不可以“将错就错”,使 i 的值被非法篡改为满足条件的值(比如4)

    即 a[i]=0; ==> a[i]=4; 那么汇编就变为 mov DWORD PTR [rbp-16+rax*4],4 。(虽然没啥意义,但从侧面印证了,的确是 i 的值被篡改导致问题)

  • 思考

    幸而这里只是一个不那么紧要的变量被改,导致这个小小的程序出错。然而更多时候,这样的问题威胁更大:堆栈溢出!这是缓冲区溢出中危害较大的一种了,原理就是我们设计的程序并没有对接受的数据做长度的检查,导致该程序分配到的内存空间(栈区/缓冲区)放不下这么多内容,从而,这些数据被写入到其他不合理的内存空间,比如上图中返回地址,一旦被修改,下一条被执行的保不齐就是一条shellcode,系统被别人拿了特权;又或者恶意导致计算机宕机。。。(懂得不多,差不多也就了解到写。意在引起诸君对栈溢出的关注,无论是以后走安全,还是走马农,有良好的“意识”)

  • 扯闲篇

    关于CFI(函数调用框架),还是想扯点东西的,毕竟专门去了解了一堆,但是看网上人家都说现在都不用栈帧这些了,不知诸君想看不。。。

 

【汇编杂项】关于_高级语言中 数组越界与汇编中 栈溢出的_联系的思考

标签:bubuko   ptr   for   call   导致   color   长度   原理   end   

原文地址:https://www.cnblogs.com/hackmylife/p/9781481.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!