当前位置：首页 > news >正文

从汇编代码理解数组越界访问漏洞

news 2025/9/12 16:44:32

数组越界访问漏洞是 C/C++ 语言中常见的缺陷，它发生在程序尝试访问数组元素时未正确验证索引是否在有效范围内。通常情况下，数组的索引从0开始，到数组长度减1结束。如果程序尝试访问小于0或大于等于数组长度的索引位置，就会导致数组越界访问。由于 C/C++ 没有对数组做边界检查，不检查下标是否越界可以提升程序运行的效率，导致在程序编译过程中它并不定会造成编译错误。攻击者可以利用数组越界访问漏洞来读取或修改程序内存中的数据，甚至执行恶意代码。这种漏洞可能会导致程序崩溃、拒绝服务，或者泄露敏感信息。因此，在开发软件时，应该确保对数组访问进行边界检查，以防止发生这种类型的漏洞。

一、漏洞代码示例

首先展示一个包含数组越界访问漏洞的代码：

#include<stdio.h>
int main(){int a[7]={0,1,2,3,4,5,6};for(int i=0;i<=7;i++){a[i]=0;printf("This is a test!\n");}return 0;
}

可以很容易看出，数组的长度为7，下标只能取到6，而在代码的第4行for循环的终止条件却为 i<=7，导致在第6行会执行一个"a[7]=0"的赋值操作，出现数组越界问题。

我们编译并执行上述代码，发现居然成功通过编译，没有任何报错！但是陷入了死循环，并输出了满屏的"This is a test!"。

上述代码中的数组越界访问导致程序陷入死循环，那么为什么会出现这种现象呢？

二、汇编代码分析

我们通过 Compiler Explorer 将上述程序处理为 intel 风格的x86_64汇编代码看看：

下面我们来分析上述汇编代码。

4-6行：常规的栈帧初始化，这里不做赘述。
7-14行：栈顶指针（rsp）减32字节，为数组及变量开辟空间，接着分别赋入 a[0] - a[6] 以及变量 i 的值。
15行：跳转至L2段。
24-25行：比较（cmp）指针[rbp-4]处存放的值（变量i的值）与7的大小，如果小于或等于则跳转到L3段（jle，jump when less or equal）。
17行：取出指针指向[rbp-4]位置的值，存入寄存器eax中。
18行：执行cdqe指令，将32位寄存器eax扩展为64位寄存器rax。
19行：到了导致数组越界的关键地方，在这里将0赋值给了[rbp-32+rax*4]，我们假设某个时刻rax（存放变量i的寄存器）为7（即下标已经越界），此时，[rbp-32+rax*4] = [rbp-4] = i = 0（如14行）。也就是说，每当i=7时，在源代码第6行a[i]=0处会再次将0赋值给i，就导致for循环中 i=7 -> i=0，最终产生死循环。

小结一下，导致死循环的根本原因是数组赋值语句a[i]=0非法篡改了i的值。假设这里我们将a[i]=0更改为a[i]=7，此时[rbp-32+rax*4]= [rbp-4] = i = 7，程序依然可以正常执行。

三、进一步分析

这里我们更改一下示例代码为：

#include<stdio.h>
void func1()
{long a[2]={0,1};a[3] = 0;a[4] = 0;
}void func2()
{printf("func2 excuted!");
}int main(){func1();printf("No error!");return 0;
}

执行上述代码，会出现异常：

因为在函数func1栈的高地址位存放了其返回地址，当该函数执行完后，cpu依据这个地址信息回到main函数中继续执行后续代码，而第5行a[3]=0处，将数值0覆盖了该返回地址，因此导致程序异常。根据上述逻辑，如果我们将a[3]指向函数func1的返回地址，理论上程序应该也可以正常执行。

同样地，通过Compiler Explorer得到该程序的汇编代码：

将a[3]指向函数func1的返回地址，即修改 a[3]=0 为 a[3]=0x401171，再次执行程序，可以正常得到输出结果：

另外，我们还可以做如下修改：

a[3]=0x401151;
a[4]=0x401171;

将数组a指向函数func2的初始化地址，让func1调用并执行func2函数。执行程序，得到如下输出结果：（成功调用了函数func2）。

四、总结

根据上述示例可以发现，通过数组越界来覆盖函数的返回地址可以更改程序的执行流程。同样地，攻击者可以填写存放恶意代码的地址，从而引导函数func1去执行该恶意代码。因此，在编写代码中对数组做边界检查尤为重要。

参考

[1] [汇编杂项]关于_高级语言中数组越界与汇编中栈溢出的_联系的思考 - SachieW - 博客园 (cnblogs.com)

[2] 通过查看汇编理解数组越界 - 知乎 (zhihu.com)

[3] CPU眼里的：数组越界 | 堆栈溢出_哔哩哔哩_bilibili

从汇编代码理解数组越界访问漏洞

一、漏洞代码示例

二、汇编代码分析

三、进一步分析

四、总结

参考

相关文章：

从汇编代码理解数组越界访问漏洞

skynet 使用protobuf

Vue Router 4 与 Router 3 路由配置与区别

python借助elasticsearch实现标签匹配计数

Yolo-world+Python-OpenCV之摄像头视频实时目标检测

vue-treeselect 的基本使用

Vue（二）

Python基于深度学习的车辆特征分析系统

推理还原的干货

【Redis 神秘大陆】006 灾备方案

【Java基础】17.异常处理

【python】flask结合SQLAlchemy，在视图函数中实现对数据库的增删改查

APIGateway的认证

MacOS Github Push项目精简版步骤

Eclipse的基本使用讲解(建项目，建包，建类，写代码(基本语法))新手入门必备

3D模型处理的并行化

盲人安全导航技巧：科技赋能让出行更自如

问，由于java存在性能上，以及部分功能上的缺点，请问如何正确使用C，C++，Go，这三个语言，提升Java Web项目的性能？

【信号与系统 - 9】傅里叶变换的性质习题

C#探索之路基础夯实篇(5)：语法糖概念解析

论文解读：交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（二）

UE5 学习系列（三）创建和移动物体

条件运算符

蓝牙 BLE 扫描面试题大全(2)：进阶面试题与实战演练

HashMap中的put方法执行流程（流程图）

佰力博科技与您探讨热释电测量的几种方法

Java求职者面试指南：Spring、Spring Boot、MyBatis框架与计算机基础问题解析

MySQL 知识小结（一）

android13 app的触摸问题定位分析流程

【LeetCode】3309. 连接二进制表示可形成的最大数值（递归|回溯|位运算）