作者：Jason
整理：Backend < mailto: backend@nsfocus.com >
主页： http://www.nsfocus.com
日期：2000-04-12

前言

我在互联网上阅读过许多关于缓冲区溢出的文章。其中的绝大多数都是基于*NIX操作系统平台的。后来有幸拜读了ipxodi所著的《Windows系统下的堆栈溢出》（已刊登在绿盟网络安全月刊2000年第三期中），又碰巧看到了Jason先生的《Windows NT Buffer Overflow's From Start to Finish》，得益匪浅。在翻译Jason先生的文章时，由于我的机器安装了Windows 2000 Server，在调试原文程序时发现细节略有出入。因此本文提供的有关源程序、动态链接库、偏移量等是以我在自己机器上调试为准。（对不同版本的动态链接库，都需要编程者自己调试。）

这篇文章应该属入门级。虽然比较简单，但对于Windows系统下的缓冲区溢出具有一定的通用性。例如，堆栈溢出地址的确定，跳转指令的查找和使用，溢出执行代码的编写，等等。只要发现Windows系统下存在缓冲区溢出漏洞的程序，基本上都可通过这些步骤进行攻击测试。但正如ipxodi所指出的，由于Windows下动态链接库的版本更新较快，一定要根据编程者的实际平台进行调试。在发布此类安全漏洞公告或溢出攻击程序时，源代码、系统平台和动态链接库的版本号都应该尽量列清楚。否则别人调试起来可能会头疼得很厉害。；）

调试、测试环境

Microsoft Visual C++ 6.0
Microsoft Windows 2000 Server （中文版，内部版本号：2195）

调试、测试过程

首先，写一个存在缓冲区溢出漏洞的应用程序。该程序可读取文件的内容，这样我们就能通过修改被读取文件的内容来使程序溢出。;-)　在Visual C++开发环境中创建一个新的控制台应用程序，选择”An Application that supports MFC”并单击”Finish”。（注：其实并不一定非是MFC应用程序不可，只不过是我自己的习惯而已。;-）））向这个应用程序中添加一些必要的代码，如下：

CWinApp theApp;

using namespace std;

void overflow(char* buff);

void overflow(char* buff)
{
CFile file;
CFileException er;
if(!file.Open(_T("overflow.txt"),CFile::modeRead,&er))
{
er.ReportError();
return;
}

int x = file.GetLength();
file.Read(buff,x);
}

int _tmain(int argc, TCHAR* argv[], TCHAR* envp[])
{
int nRetCode = 0;

// initialize MFC and print and error on failure
if (!AfxWinInit(::GetModuleHandle(NULL), NULL, ::GetCommandLine(), 0))
{
// TODO: change error code to suit your needs
cerr << _T("Fatal Error: MFC initialization failed") << endl;
nRetCode = 1;
}
else
{
char buff[10];
overflow(buff);
}
return nRetCode;
}

　　现在先来分析一下上面这段C＋＋代码，找一找哪里有漏洞。这是一个MFC控制台应用程序，”main”函数与其它程序会有些不同，但工作机制基本一致。我们主要分析该函数中”else”那段代码。首先是第一行”char buff[10]”，定义了一个10字符长的本地变量。我们都知道，本地变量的内存空间是在堆栈里分配的。（如果你连这个都不知道，建议不要继续往下看了。：））然后是将buff变量作为参数调用overflow函数。好了，现在让我们分析overflow函数。首先是一个Cfile对象，然后是一个CfileException对象。接下来会试图以读权限打开当前目录下的文件”overflow.txt”。如果打开成功，则将该文件中的所有内容读取到buff数组变量中。发现了问题没有？buff变量只有10字符长。如果读取的文件内容长度是100时会发生什么问题呢？对了，“缓冲区溢出”！而且是在堆栈中发生的缓冲区溢出。在后面的测试中就能看到，我们利用这个漏洞能做些什么！；）现在让我们创建文本文件”overflow.txt”，并将它放到这个应用程序的project目录下。

在进行下一步前，先让我们探讨一下关于Windows NT/2000的内存结构。NT/2000的每一个进程都在启动时分配了4GB（0xFFFFFFFF）的虚拟内存。其中的某些部份实际上是由所有进程共享的，例如核心和设备驱动程序区域。但它们都会被映射到每个进程的虚拟地址空间里。实际上没有进程分配到4GB的物理内存，而是仅当需要时才分配物理内存。因此每一个进程都有各自的4GB虚拟内存，编址范围从0x00000000到0xFFFFFFFF。其中，0x00000000－0x0000FFFF是为NULL指针分配而保留的。访问该区域内存将导致“非法访问”错误。0x00010000－0x7FFEFFFF是用户进程空间。EXE文件的映像被加载到其中（起始地址0x00400000），DLL（动态链接库）也被加载到这部份空间。如果DLL或EXE的代码被装入到该范围的某些地址，就能够被执行。访问该区域中没有代码装入的地址将导致“非法访问”错误。0x7FFF0000－0x7FFFFFFF是保留区域，对此区域的任何访问都将导致“非法访问”错误。0x80000000－0xFFFFFFFF仅供操作系统使用。用于加载设备驱动程序和其它核心级代码。从用户级应用程序（ring 3）访问此区域将导致“非法访问”错误。

现在回到”overflow.txt”文件。现在我们将向这个文本文件中不断添加字符，直到弹出应用程序非法访问的系统对话框。在这里，填充什么字符是很重要的（原因待会就知道了）。我选择小写字母”a”来填充文本文件。我们已经知道缓冲区只有10字符长，那么先填充11个字符。（注意：以debug方式编译应用程序，否则结果可能会有所不同。）咦？没反应。我们继续填充字符……直到填充了18个字符应用程序才崩溃。但这个崩溃对我们的用处还不大。继续填充！当字符串长度为24时，运行程序并观察弹出的对话框信息：“”0x61616161”指令引用的”0x61616161”内存。该内存不能为”written”。”我想大家都应该知道”0x61”所代表的ASCII码是什么吧？；）如果你的机器