ollydbg实践菜鸟级数组溢出

本例来自于《0day安全,软件漏洞分析技术》,但是由于ollydbg使用功底太差,而且这东西的调试远没有vs等工具智能,因而最初使用上出现了一些问题,记录一下,为后面的学习打点基础。


第一步,先用vc 6.0写一个验证密码的小程序,代码如下:


// crack.cpp : Defines the entry point for the console application.

//


#include "stdafx.h"

#define PASSWORD "1234567"


int verify_password(char *password)

{

int authenticated;

char buffer[8];

authenticated=strcmp(password,PASSWORD);

strcpy(buffer,password);      //纯粹为了缔造越界

return authenticated;

}


int main()

{

int vaild_flag=0;

char password[1024];

while(1)

{

printf("input password:   ");

scanf("%s",password);

vaild_flag=verify_password(password);

if(vaild_flag)

{

printf("incorrect!\n");

}

else

{

printf("right!\n");

break;

}

}

return 0;

}

中间有注释的一行,纯粹为了制造一个数组越界,没有任何实际意义,只是为了通过strcpy的越界,抹杀比这个数组先入栈的的整型变量authenticated的值,而这个值,又在主函数调用里面起到了输入判定的作用,当它为1时,提示password输入验证不通过,为0时通过。

调试后,debug里面生成crack.exe,能正常实现密码验证功能.


第二步,把这个crack.exe在ollydbg里面打开,开始调试,先按F9,再按F8,到达输入的起始点停住,程序运行界面如下:


此时为了让程序在后面调试中停住继而观察内存的值,需要设置断点,按ctrl+F,输入CALL crack.strcpy来寻找这行指令,(此处crack是程序名字)



找到之后,点击F2设置断点,然后在程序运行界面输入qqqqqqq并点击回车


程序没有继续向下执行,没有给出incorrect或者是right的提示,证明停在了断点处,此时回到ollydbg界面,点击F8单步执行一条指令,然后看右下角的堆栈窗口,会发现如下情景:


可以看到,刚才输入的qqqqqqq已经读入,而且此时程序已经执行过authenticated=strcmp(password,PASSWORD)这句话,就说明变量authenticated的值肯定为1,而且依据变量的入栈顺序,authenticated的位置正是上图中下面的00000001的位置,为了验证这个事情,可以重新执行上面的步骤,只不过输入值改为1111111,这时,authenticated应该为-1,果不其然,得到了下面的状态,authenticated成了FFFFFFFF:


因此,下面需要做的就是通过输入,和数组的赋值,通过溢出抹杀掉authenticated的值,让他成为0,就能够实现绕过密码。

由于从上图和上上图中发现,当authenticated判定为1而非-1的时候,只需要使得1的那2位变为0x00,那么就可以让下面成为00000000,于是可以想到输入qqqqqqqq,它如果赋值给buffer[8],可以造就一个刚好处于authenticated位置的\0,也就是0x00,试验一下,刚好是如下图所示状况:


这样,就轻松搞定了authenticated的值,继而绕过密码,点击F9继续执行,如图:


此时,1234567的密码已经没什么意义。

没有更多推荐了,返回首页