前言
上节实验介绍的改写邻接变量的方法很有用,但是这种漏洞利用对代码要求相对比较苛刻。本次实验将利用栈溢出修改函数的返回地址来冲破验证。
一、实验清单
1、实验所需环境
win xp、visual C++ 6.0、OllgDbg、UltraEidt
2、实验所用代码
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#define PASSWORD "1234567"
int verify_password(char *password)
{
int authenticated;
char buffer[8];
authenticated=strcmp(password,PASSWORD);
strcpy(buffer,password);//overflowed here!
return authenticated;
}
main()
{
int valid_flag=0;
FILE *file;
char password[1024];
file=fopen("C:\\password.txt","rw+");
if (file==NULL)
{
exit(0);
}
fscanf(file,"%s",password);
valid_flag=verify_password(password);
if(valid_flag)
{
printf("incorrect password!\n");
}
else
{
printf("congratulation! You have passed the verification!\n");
}
fclose(file);
}
二、实验思路
(1)弄清楚verify_password函数的栈帧情况,主要是buffer、authenticated、前栈帧ESP和返回地址在栈帧中的位置;
(2)要得到程序中密码验证通过的指令地址;
(3)在password.txt文件的相应偏移处填上密码验证通过的指令地址。
三、实验步骤
1、用OllyDbg加载得到的PE文件;
如图所示,可知通过验证程序分支的指令地址为0x0040110F。
0x004010EF处就是调用verify_password函数,之后在0x004010F7处将EAX中的函数返回值取出,在0x4010FA处与0相比较,然后决定跳转到提示验证错误的分支或提示验证通过的分支。
如果我们把返回地址覆盖成0x0040110F,那么在0x0040110F处的函数调用返回后,程序将跳转到验证通过的分支,而不是进入0x4010F4处分支判断代码。下面我们将构造exploit。
2、打开路径为“C:\\password.txt”的password.txt文件,用记事本打开,在其中写5个“4321”,并保存;
注:
(1)具体你的password.txt文件在哪儿,你要看代码的fopen处:
(2)为什么写5个“4321”?
在一个函数栈中,从高位到地位分别排列返回地址(4B)、前栈帧(4B)、局部变量authenticated(4B)、buffer(8B)。
3、用UltraEdit打开password.txt文件,并切换到十六进制模式下:
4、将新的返回地址0x0040110F填入0x10H~0x13H处,并保存,注意逆序输入:
5|、运行程序;
由于栈内EBP等被覆盖为无效值,使得程序在退出时堆栈无法平衡,导致崩溃。即使如此,我们已经成功地淹没了返回地址,并让处理器在函数返回时直接跳转到了提示验证通过的分支处。