2.3 修改函数返回地址

前言

一、实验清单

1、实验所需环境

2、实验所用代码

二、实验思路

三、实验步骤

---

前言

        上节实验介绍的改写邻接变量的方法很有用，但是这种漏洞利用对代码要求相对比较苛刻。本次实验将利用栈溢出修改函数的返回地址来冲破验证。

---

一、实验清单

1、实验所需环境

        win xp、visual C++ 6.0、OllgDbg、UltraEidt

2、实验所用代码

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#define PASSWORD "1234567"

int verify_password(char *password)
{
	int authenticated;
	char buffer[8];
	authenticated=strcmp(password,PASSWORD);
	strcpy(buffer,password);//overflowed here!
	return authenticated;
}

main()
 {
	int valid_flag=0; 
	FILE *file;
	char password[1024];
	file=fopen("C:\\password.txt","rw+");
	if (file==NULL)
	{
		exit(0);
	}
	fscanf(file,"%s",password);
	valid_flag=verify_password(password);
	if(valid_flag)
	{
		printf("incorrect password!\n");
	}
	else 
	{
		printf("congratulation! You have passed the verification!\n");
	}
	fclose(file);
 }

二、实验思路

        （1）弄清楚verify_password函数的栈帧情况，主要是buffer、authenticated、前栈帧ESP和返回地址在栈帧中的位置；

        （2）要得到程序中密码验证通过的指令地址；

        （3）在password.txt文件的相应偏移处填上密码验证通过的指令地址。

三、实验步骤

1、用OllyDbg加载得到的PE文件；

        如图所示，可知通过验证程序分支的指令地址为0x0040110F。

        0x004010EF处就是调用verify_password函数，之后在0x004010F7处将EAX中的函数返回值取出，在0x4010FA处与0相比较，然后决定跳转到提示验证错误的分支或提示验证通过的分支。

        如果我们把返回地址覆盖成0x0040110F，那么在0x0040110F处的函数调用返回后，程序将跳转到验证通过的分支，而不是进入0x4010F4处分支判断代码。下面我们将构造exploit。

2、打开路径为“C:\\password.txt”的password.txt文件，用记事本打开，在其中写5个“4321”，并保存；

        注：

        （1）具体你的password.txt文件在哪儿，你要看代码的fopen处：

        （2）为什么写5个“4321”？

        在一个函数栈中，从高位到地位分别排列返回地址（4B）、前栈帧（4B）、局部变量authenticated（4B）、buffer(8B)。

3、用UltraEdit打开password.txt文件，并切换到十六进制模式下：

 4、将新的返回地址0x0040110F填入0x10H~0x13H处，并保存，注意逆序输入：

 5|、运行程序；

        由于栈内EBP等被覆盖为无效值，使得程序在退出时堆栈无法平衡，导致崩溃。即使如此，我们已经成功地淹没了返回地址，并让处理器在函数返回时直接跳转到了提示验证通过的分支处。

---