2.2 逆向实验2(修改邻接变量)

于 2022-07-19 20:40:01 发布
阅读量232 收藏 2
点赞数
分类专栏: 0day安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/125879536
版权

系统安全

1、实验清单

        win xp、VC6.0、ollydbg

2、实验代码及分析

#include <stdio.h>
#include <string.h>
#define PASSWORD "1234567"

int verifg_password(char *password)
{
    int authenticated;
    char buffer[8];//add local buffer to be overflowed
    authenticated=strcmp(password,PASSWORD);
    strcpy(buffer,password);//overflowed here!
    return authenticated;
}

main()
{
    int valid_flag=0;
    char password[1024];
    while(1)
    {
        printf("please input password:   ");
        scanf("%s",password);
        valid_flag=verify_password(password);
        if(valid_flag)
        {
            printf("incorrect password!\n\n");
        }
        else
        {
            printf("congratulation! You have passed the verification!\n");
            break;
        }

    }
}

        可以看出,在verify_password函数的栈帧中,局部变量 int authenticated 恰好位于缓冲区 char buffer[8]的下方:

 3、实验步骤

(1)对代码编译并运行,确保程序正常:

(2)假如我们输入的密码是7个“q”,strcmp应该放回1,即authenticated为1。Ollydbg动态调试的实际内存情况为见图2.2.1

 图2.2.1

        注:strcmp函数用法:

int strcmp(char str1,char str2);
//比较str1与str2是否相同,相同返回1;str1>str2,返回1,否则返回-1

        可知,栈帧数据如表2-2-1所示:

表2-2-1 栈帧数据分布情况
局部变量名内存地址偏移3处值偏移2处值偏移1处值偏移0处值
buffer[0~3]0x0012FB180x71('q')0x71('q')0x71('q')0x71('q')
buffer[4~7]0x0012FB1CNULL0x71('q')0x71('q')0x71('q')
authenticated0x0012FB200x000x000x000x01

        注:内存数据与数值数据不同,区别就是数值数据:高位在左边,低位在右边;内存数据有大端存储和小端存储之分。

(3)如果我们的输入超过7个字符,将会发生什么情况?这次我们输入的密码为“qqqqqqqrst”

(’q‘、’r‘、’s‘、’t‘的ASCII码相差1),结果如图2.2.2:

 图2.2.2

         这时的栈帧数据如表2-2-2所示:

表2-2-2 栈帧数据
局部变量名内存地址偏移3处值偏移2处值偏移1处值偏移0处值
buffer[0~3]0x0012FB180x71('q')0x71('q')0x71('q')0x71('q')
buffer[4~7]0x0012FB1C0x72('r')0x71('q')0x71('q')0x71('q')
authenticated被覆盖前0x0012FB200x000x000x000x01
authenticated被覆盖后0x0012FB200x000x000x74('t')0x73('s')

        authenticated变量的值来源于strcmp函数的返回值,之后会返回给main函数作为密码验证成功与否的标志变量。当authenticated为0时,表示验证成功;反之,验证不成功。

        我们已经知道越过数组buffer[8]的边界的后续数据可以改写变量authenticated,那么当我们输入8个’q‘的时候,按照前边的分析,buffer所拥有的8个字节将全部被’q‘的ASCII码0x71填满,而字符串的第9个字符——作为结尾的NULL将刚好写入下一个双字节的低位字节,恰好将authenticated从0x00 00 00 01改为0x00 00 00 00 。结果如图2.2.3所示:

        注:并不是任何8个字符都能冲破上述验证程序。只有输入的密码大于’1234567‘时,authenticated为1,在内存中的值为0x00 00 00 01,可以用字符串的截断符NULL淹没authenticated的低位字节而突破验证。

PT_silver
关注
专栏目录
逆向分析-栈溢出原理与实践(修改邻接变量
weixin_57421069的博客
10-14 974
0day安全:软件漏洞分析技术,用非法超长密码去修改buffer的临界变量authenticated从而绕过密码验证程序
如何修改邻接变量
ChopperCP的博客
03-22 342
教材《0day安全 软件漏洞分析技术(第二版)》,截取自本人的Onenote
0day安全2之栈溢出-修改邻接变量
weixin_41748164的博客
01-18 3768
目录前言原理Windows复现环境操作步骤 前言 本片博客是复现《0day安全:软件漏洞分析技术》2.2修改邻接变量,顺便加点自己在实践中的小问题。虽然这本书是2011年发行的,但对我这种小白来说还是颇为友好的。废话不多说正式开始。 原理 简单的说就是当局部变量var1在数组array1前声明时,如果没有array1对进行越界检查,则可能导致array1的在堆栈中超出原本的长度,对var1进行覆盖。如下图所示: Windows 复现环境 操作系统:windows xp sp2 home ollydbg
【0day安全实验二】2.2修改邻接变量
diamond_biu的博客
08-24 1011
实验目的 研究怎样用非法的超长密码去修改buffer的邻接变量authenticated从而绕过密码验证程序。 实验步骤 编写C程序 #include <stdio.h> #include <string.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8]; authenticated=strcmp(passw
逆向】栈溢出漏洞学习过程(一)通过字符串验证的简单程序分析
lanlanla的成长历程
01-08 3415
目录 前言: 1 准备程序 PS:翻车现场: 2 分析程序执行流程(栈溢出原理) 2.1 看代码中忘记的知识补充一下: 2.1.1 主函数中涉及的寄存器相关知识: 2.1.2 涉及到的指令 地址传送指令LEA PTR REP STOS int 3中断 段超越指令前缀 2.2 main函数中的初始化部分 2.3 scanf()函数部分 2.4 函数verify_pas...
Prim(普里姆)算法求最小生成树(邻接矩阵)
尘的博客
07-24 2万+
一、项目功能、方案选择及性能描述: 功能: 1.列出目标系统具有的各个功能,并简述其作用 建立无向图: 输入点的数目和标识、边的数目及其权值,使用二维数组的方式建立无向图并用邻接矩阵的方式进行存储。 找出最小生成树: 从输入的起始点开始,使用Prim算法来寻找最小生成树,并输出树的结点和边。 构造辅助数组: 设置一个一维数组每寻找一个顶点,清空一次,得到最小权值的顶点下标。 画出连通图: 使用EasyX画出之前输入的无向图及标记边的权值。 演示Prim算法: 逐步演示Prim算法的寻找过程,并把得到的最小.
图图的存储、BFS、DFS(听说叠词很可爱)
多选参数
02-15 330
1. 基本概念图的基本概念中我们需要掌握的有这么几个概念:无向图、有向图、带权图;顶点(vertex);边(edge);度(degree)、出度、入度。下面我们就从无向图开始讲解这几个概念...
【数据结构】第二章线性表:单链表的定义、插入和删除、查找、建立
weixin_37706349的博客
10-13 3730
2.3.1 单链表的定义 用链式存储的线性表统称为链表,本小节将会依次学习单链表、双链表、循环链表、静态链表。 一、什么是单链表 二、用代码定义一个单链表 (1)结构体变量和结构体类型的定义 菜鸟教程链接: 结构体变量和结构体类型的定义 | 菜鸟教程 typedef 关键字,将 struct LNode 这个结构体类型名字重新定义为 LNode 和 *LinkList(用来表示指向struct LNmde的指针); 下次想定义一个 struct LNode 结构体变量时,直接 L..
chapter5. Java数据结构与java算法
weixin_56137667的博客
08-04 788
一、数据结构和算法概述 数据结构包括:线性结构和非线性结构。 1线性结构 线性结构作为最常用的数据结构,其特点是数据元素之间存在一对一的线性关系。 一对一e.g. a[0] = 3; 线性结构有两种不同的存储结构,即顺序存储结构(数组)和链式存储结构(链表)。 顺序存储的线性表称为顺序表,顺序表中的存储元素是连续的 链式存储的线性表称为链表,链表中的存储元素不一定是连续的,元素节点中存放数据元素以及相邻元素的地址信息(链表可以充分利用碎片内存) 线性结构常见的有:数组、队列、链表和栈,后面我们会详细讲解.
【墨尘の笔记】数据结构与算法
IntFase的博客
04-20 1251
前言 仙人指路 [第一章](# 第一章)为入门,讲解数据结构是干什么的 [第二章](# 第二章)到第四章是数据结构基础,主要讲解链表,栈,队列,串等 [第五章](# 第五章)是二叉树 [第六章](# 第六章)是图,此章偏难,非考研或算法从业可粗略看 [第七章](# 第七章)到第八章是查找以及各种排序 [第九章](# 第九章)为补充,教材中没有的部分概念我随机补充上去 墨尘の话 本文内容主要参考王道考研,其中21版本咸鱼学长的课尚可,20版本比较枯燥,可选择性学习 浙大陈越姥姥的课比较精简且侧重于练习,能看懂
2.2.2 突破密码验证程序
bangren3304的博客
09-17 519
2.2.2 突破密码验证程序 实验环境 同1.4 Crack小实验 实验流程 在vc6.0中编写test.c文件编译运行 #include <stdio.h> #define PASSWORD "1234567" int verify_password (char * password) { int authenticated; char buffer[8...
X86 栈溢出原理与实现
weixin_41487541的博客
08-28 1011
前言 本篇旨在通过简单的例子来学习32位栈利用,随手散记。 一、函数栈帧 每一个函数独占自己的栈帧空间。当前正在运行的函数栈帧总是在栈顶。Win32 系统提供两个特殊的寄存器用于表示位于系统栈顶端的栈帧:ESP(栈指针寄存器)和EBP(基址指针寄存器)。 在函数栈帧中,一般包括以下几类重要信息: (1)局部变量:为函数局部变量开辟的内存空间。 (2)栈帧状态值:保存前栈帧底部,用于在本栈帧被弹出后恢复上一个栈帧。 (...
1_修改程序验证流程
u012129783的博客
04-11 662
1,下面这段程序中,verify_password是验证密码的函数,我们要做的是把编译好的程序直接跳过程序验证流程。 #include &lt;stdio.h&gt; #define PASSWORD "1234567" int verify_password (char *password) { int authenticated; authenticated=strcmp(p...
栈溢出利用——修改邻接变量
teacity的专栏
12-31 1582
原理:一般情况下函数的局部变量在栈中一个挨着一个排列,如果这些局部变量中有数组之类的缓冲区,并且程序中存在数组越界的缺陷,那么越界的数组元素就有可能破坏栈中相邻变量的值,甚至破坏栈帧中所保存的EBP值、返回地址等重要数据。实践心得:首先使用OD打开PE文件,然后F8单步执行,当到需要输入密码的的时候输入一个不合法的字符串,例如qqqqqqq测试,回车以后返回到OD,然后在OD中可以看到程序要调
[超详细]栈溢出漏洞原理实例讲解
热门推荐
Breeze的博客
05-03 2万+
[超详细]通过实例讲解栈溢出漏洞 文章目录[超详细]通过实例讲解栈溢出漏洞代码简介分析程序整体执行流程程序执行细节及栈空间变化栈溢出通过栈溢出控制程序执行结果通过栈溢出插入代码 本篇文章通过《0day安全:软件漏洞分析技术》书中第二章中所用到的一个程序的栈溢出漏洞的复现,以及使用OD一步步调试来学习栈溢出完整的原理。程序虽然简单,但在一些基础薄弱的人眼中还是无法理解,所以导致很多新手到了这里就被“...
Crack密码验证小实验
Bonjour~
04-13 2082
首先来看一段用于密码验证的C语言代码:#include<stdio.h> #include<string.h>#define PASSWORD "1234567"int verify_password(char *password) { int authenticated; authenticated = strcmp(password,PASSWORD); return a
破解密码验证程序
白水的博客
11-12 1万+
程序:由 密码验证程序 编译出来的 .exe 文件 工具:IDA Por、OllyDbg、LoadPE、UltraEdit、VS\VC++ 在本次破解中,由源代码编译出来的.exe文件命名为 crack.exe 首先用 IDA 打开 crack.exe 在 IDA View-A 中找到 main 函数(默认情况下IDA会自动识别出main函数) 然后 按空格键,出现如下界面 ...
缓冲区溢出漏洞
weixin_30615767的博客
04-03 134
缓冲区溢出就是在大缓冲区数据向小缓冲区复制的过程中,由于没有注意到小缓冲区的边界,“撑爆”了较小的缓冲区,从而冲掉了和小缓冲区相邻内存区域的其他数据而引起的内存问题。缓冲区溢出是常见的内存错误之一,成功的利用该漏洞可以修改内存中变量的值,甚至可以劫持进程,执行恶意代码最终获得主机的控制权。 进程使用的内存按照功能大致分为以下四个部分: 1、代码区:这个区域存储着被装入执行的二进制机器代码,处理...
第2章 栈溢出原理与实践(上)
yellow的博客
02-28 394
栈溢出原理与实践之修改函数返回地址
图的遍历实验邻接矩阵与链表实现详解
2. 遍历算法实现:实验中,学生需要实现PrintGraphDFS和PrintGraphBFS函数,分别对应DFS和BFS的遍历输出。对于无向图,DFS和BFS的结果一致,反映出这两个算法的特性;而在有向图中,由于边的方向性,BFS的遍历顺序会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值