缓冲区溢出漏洞实验室
Buffer overflow vulnerability lab
我正在通过实验室演示缓冲区溢出漏洞利用。我有它的工作,但有一个地方我不太明白,我希望有人能为我解释。
这是带有漏洞的代码:
/* Vunlerable program: stack.c */
/* You can get this program from the lab’s website */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int bof(char *str)
{
char buffer[24];
/* The following statement has a buffer overflow problem */
strcpy(buffer, str); ➀
return 1;
}
int main(int argc, char **argv)
{
char str[517];
FILE *badfile;
badfile = fopen("badfile", "r");
fread(str, sizeof(char), 517, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}
实验的一个步骤是确定分配给缓冲区的内存大小[24]。为此,我所做的是 运行 bof 函数上的 gdb,我可以看到在我的系统上分配的内存是 0x20,即 32 位。
如果我改变缓冲区的大小,我可以运行 gdb 找到分配的内存槽。但是,如果没有 gdb,我是否应该能够知道分配给 buffer[24] 的内存量是多少?如果我更改为 buffer[8],我是否应该一眼就知道 32 位系统上的内存块是什么,或者它是否因系统而异?如果我应该知道,谁能解释一下。
这取决于目标平台、编译器和编译标志。
例如,调试模式下的 GCC 7.2 x86 (-O0
) 在 16 字节边界上对齐堆栈帧并分配一个帧指针 (ebp)。
示例:(godbolt link)
bof(char*):
push ebp ; -4
mov ebp, esp
sub esp, 40 ; -40
sub esp, 8 ; -8
push DWORD PTR [ebp+8] ; -4
lea eax, [ebp-32] ; 32 bytes to top of stack frame
push eax ; -4
call strcpy ; stack is aligned to 16 bytes (-64)
add esp, 16
mov eax, 1
leave
ret
对 (-O2
) 进行优化后,帧指针被省略,但堆栈仍按 16 字节对齐 (godbolt link):
bof(char*):
sub esp, 52 ; -52
push DWORD PTR [esp+56] ; -4
lea eax, [esp+20] ; 36 bytes to top of stack frame
push eax ; -4
call strcpy ; stack is aligned to 16 bytes (-64)
mov eax, 1
add esp, 60
ret
强制 4 字节堆栈对齐 (-O2 -mpreferred-stack-boundary=2
) (godbolt link):
bof(char*):
sub esp, 24 ; -24
push DWORD PTR [esp+28] ; -4
lea eax, [esp+4] ; 24 bytes to top of stack frame
push eax ; -4
call strcpy
mov eax, 1
add esp, 32
ret
启用堆栈保护器 (-O2 -fstack-protector-all
) (godbolt link):
bof(char*):
sub esp, 52 ; -52
mov eax, DWORD PTR gs:20
mov DWORD PTR [esp+36], eax ; stack check value at -16 (-52+36)
xor eax, eax
push DWORD PTR [esp+56] ; -4
lea eax, [esp+16] ; 40 bytes to top of stack frame, leaving exactly 24 bytes to check value
push eax
call strcpy
add esp, 16
mov edx, DWORD PTR [esp+28]
xor edx, DWORD PTR gs:20
jne .L5
mov eax, 1
add esp, 44
ret
.L5:
call __stack_chk_fail
其他编译器可能有完全不同的结果。
在现实生活中,缓冲区溢出是在汇编模式下通过分析指令和计算函数的 return 地址的字节数来利用的,因此无论源代码是什么或它是如何编译的都无关紧要(无论如何,此信息通常不可用)。
我正在通过实验室演示缓冲区溢出漏洞利用。我有它的工作,但有一个地方我不太明白,我希望有人能为我解释。
这是带有漏洞的代码:
/* Vunlerable program: stack.c */
/* You can get this program from the lab’s website */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int bof(char *str)
{
char buffer[24];
/* The following statement has a buffer overflow problem */
strcpy(buffer, str); ➀
return 1;
}
int main(int argc, char **argv)
{
char str[517];
FILE *badfile;
badfile = fopen("badfile", "r");
fread(str, sizeof(char), 517, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}
实验的一个步骤是确定分配给缓冲区的内存大小[24]。为此,我所做的是 运行 bof 函数上的 gdb,我可以看到在我的系统上分配的内存是 0x20,即 32 位。
如果我改变缓冲区的大小,我可以运行 gdb 找到分配的内存槽。但是,如果没有 gdb,我是否应该能够知道分配给 buffer[24] 的内存量是多少?如果我更改为 buffer[8],我是否应该一眼就知道 32 位系统上的内存块是什么,或者它是否因系统而异?如果我应该知道,谁能解释一下。
这取决于目标平台、编译器和编译标志。
例如,调试模式下的 GCC 7.2 x86 (-O0
) 在 16 字节边界上对齐堆栈帧并分配一个帧指针 (ebp)。
示例:(godbolt link)
bof(char*):
push ebp ; -4
mov ebp, esp
sub esp, 40 ; -40
sub esp, 8 ; -8
push DWORD PTR [ebp+8] ; -4
lea eax, [ebp-32] ; 32 bytes to top of stack frame
push eax ; -4
call strcpy ; stack is aligned to 16 bytes (-64)
add esp, 16
mov eax, 1
leave
ret
对 (-O2
) 进行优化后,帧指针被省略,但堆栈仍按 16 字节对齐 (godbolt link):
bof(char*):
sub esp, 52 ; -52
push DWORD PTR [esp+56] ; -4
lea eax, [esp+20] ; 36 bytes to top of stack frame
push eax ; -4
call strcpy ; stack is aligned to 16 bytes (-64)
mov eax, 1
add esp, 60
ret
强制 4 字节堆栈对齐 (-O2 -mpreferred-stack-boundary=2
) (godbolt link):
bof(char*):
sub esp, 24 ; -24
push DWORD PTR [esp+28] ; -4
lea eax, [esp+4] ; 24 bytes to top of stack frame
push eax ; -4
call strcpy
mov eax, 1
add esp, 32
ret
启用堆栈保护器 (-O2 -fstack-protector-all
) (godbolt link):
bof(char*):
sub esp, 52 ; -52
mov eax, DWORD PTR gs:20
mov DWORD PTR [esp+36], eax ; stack check value at -16 (-52+36)
xor eax, eax
push DWORD PTR [esp+56] ; -4
lea eax, [esp+16] ; 40 bytes to top of stack frame, leaving exactly 24 bytes to check value
push eax
call strcpy
add esp, 16
mov edx, DWORD PTR [esp+28]
xor edx, DWORD PTR gs:20
jne .L5
mov eax, 1
add esp, 44
ret
.L5:
call __stack_chk_fail
其他编译器可能有完全不同的结果。
在现实生活中,缓冲区溢出是在汇编模式下通过分析指令和计算函数的 return 地址的字节数来利用的,因此无论源代码是什么或它是如何编译的都无关紧要(无论如何,此信息通常不可用)。