gdb 查看是否 栈溢出_[原理分析]Linux下的栈溢出案例分析-GDB调试操练[1]

最新推荐文章于 2023-06-26 22:00:56 发布
最新推荐文章于 2023-06-26 22:00:56 发布
阅读量163 收藏 1
点赞数
文章标签: gdb 查看是否 栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39992072/article/details/113021500
版权

摘要: 本文主要演示linux平台下的栈溢出,首先依据理论对演示样例代码进行溢出攻击;结果是溢出攻击成立,可是与设想的有区别。然后採用GDB调试工具对发生的意外。进行深入的分析。

測试的平台:1.  ubuntu 9;   gcc 4.4.1;   Gdb 7.0-ubuntu

2.  ubuntu系统安装在virtual box 3.2.8虚拟机上。

演示样例代码例如以下:

#include

void overflow(char* arg)

{

char buf[12];

strcpy(buf, arg);

}

int main(int argc, char *argv[])

{

if(argc > 1)

overflow(argv[1]);

return 0;

}

假设依照一般的方式编译:

gcc –o stackoverflow stackoverflow.c

linux系统可以探測到程序中的stack  overflow,从而终止程序,例如以下图所看到的:

d3904efa92d3784f02483ed9b72a9e86.png

那有没有办法让系统不探測到stack overflow。此处能够在编译时,禁用堆栈保护,详细命令例如以下:

gcc –fno-stack-protector –o stackoverflow stackoverflow.c

然后採用gdb调试stackoverflow,

2990ea810efc39d8321eda3e47f29a23.png

这里的输出跟设想的存在非常大的区别,由于设想中的函数栈例如以下:

31f1dc02fd20d21cde6eb6b701abed31.png

前面的12个字节填充buf,然后接下来的4个字节填充ebp,最后的4个字节填充RET地址。那么照理说,这里的eip应该是0x65656565,那为什么此处是0x61616161,刚好是aaaa的值呢?

依据单步调试的结果。发现eip变为0x61616161是在main函数退出后达到的,依照设想应该是在overflow退出时。eip变为0x65656565。

为什么overflow退出后还能回到main函数?可能的原因:输入的字符串没有覆盖掉ret地址,可是字符串却意外地将main的返回地址给覆盖掉了?

但就算是覆盖,为什么覆盖的值没有採用e的值,而是採用的a的值?要知道a是在字符串的起始处?这点的确让人奇怪。

1. 我们还是採用一步步调试的方式来观察问题所在。先看下gcc编译后的反汇编代码:

使用到的命令:

set disassembly-flavor intel  //将汇编设定为intel风格;

disassemble main  //反汇编main函数。

Main函数:

1. push ebp

2. mvo ebp, esp

3. and esp, 0xfffffff0

4. sub esp, 0x10

5. cmp DWORD PTR [ebp+0x8], 0x1

6. jle 0x804841d

7. mov eax, DWORD PTR [ebp+0xc]

8. add eax, 0x4

9. mov eax, DWORD PTR [eax]

10. mov DWORD PTR [esp], eax

11. call 0x80483e4

12. mov eax, 0x0

13. leave

14. ret

然后再来看下。overflow的反汇编代码,命令:disassemble overflow

Overflow函数:

1. push ebp

2. mov ebp, esp

3. sub esp, 0x28

4. mov eax, DWORD PTR[ebp+0x8]

5. mov DWORD PTR[esp+0x4], eax

6. lea eax, [ebp-0x14]

7. mov DWORD PTR [esp], eax

8. call 0x804831c

9. leave

10. ret

我们单步调试上述的指令,关注当中esp值的变化。

总图例如以下,后面是对当中每一步的分析:

2702aef462cbf66a1f91732319b66558.png

在完毕main.1后,命令p $esp后,esp的值变为:Esp = 0xbffff438

Main.3后。esp的值变为0xbffff430,预计是用于对齐;

Main.4后,esp的值为0xbffff420;

Main.7-10,这里主要将argv[]的arg[1]字符串的首地址取出来。而且将其放置在esp中,此时esp的值为0xbffff420;

运行overflow.1后。esp的值变为:0xbffff41c,当中存放着main的下一条语句的地址。

通过命令:x $esp能够看到overflow返回的地址:

0xbffff41c   0x0804841d

Overflow.1运行后,esp的值变为0xbffff418,用于存放ebp的值;

Overflow.3运行后,esp的值变为0xbffff3f0,

Overflow.5-7运行后,将字符串的地址放置在3f0+0x4地址处,然后再将暂时字符串也即buf的首地址[ebp-0x14]放置在3f0地址处(当前的esp指向处);

运行完overflow.8后,我们查看buf起始处后,发现的确完毕了内容的赋值,命令例如以下:

X 地址。

a0a36ef0020104be196ac90e1e85b6f1.png

运行完leave指令后,发现esp的值变为:0xbffff41c。刚好指向的返回main的地址;然后再运行ret指令后。发现esp变为0xbffff420。然后,程序跳回到main函数;

然后再运行main函数中的leave指令,依照设想中leave指令运行后。esp的值应该变为43c,指向main的返回地址;可是实际我们运行后,esp的值变为0xbffff404,当中的内容刚好是0x61616161。也就是aaaa的值;这里我们測试时使用的參数的头四个字符刚好是aaaa;

942d4d42910b04edc456858017bc115a.png

到这里为止,就明确整个问题的症结:

Main函数中调用leave指令时。esp的值并没有调整到位。本来应该指向43c(前面的地址忽略)的,此处却指向的404?

那么为什么会产生这种状况?照理说这是编译器该干的事。为什么此处编译器没有尽责呢?

奇怪的是:

不发生栈溢出时,也即我们输入的字符串长度不超过12时,main中的leave指令运行后,程序能够正常的返回到43c的位置,顺利退出。

那这里的问题就非常奇怪了:栈溢出是发生在overflow中。程序能够从overflow中顺利返回到main中,然后main的leave指令就不正常了。假设overflow中没有栈溢出,程序也顺利返回到main函数,然后main的leave指令能够正常工作。

上述的问题的症结在于搞清楚leave指令本身;猜想其可能会依赖某些寄存器,或者依赖特定的存储单元来达到恢复目的。

首先看看能不能stepi进入leave;答案是leave是单条指令。不是一个处理函数;

所以我们试试能不能从寄存器上发现点什么。发现事实上对比vistual studio中的操作,

Leave指令应该等效为:

Mov  esp, ebp

Pop  ebp

之前关注的都是esp,那依照上面的等效的话,接下来应该关注ebp寄存器的变化。

所以,接下来要做的1. 首先验证上述的的等效成立,2. 要盯着ebp在运行过程中的变化。

对于问题1的验证,我们偷个懒,直接baidu之,发

weixin_39992072
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Debug Stack Overflow的问题
小猪爱拱地
12-13 1989
例子代码如下: #include #include void return_input() { char array[20]; gets(array); printf("%s\n", array); } int main(int argc, char **argv) { return_input(); } gcc -fno-stack-protector
栈溢出调试-gdb-例子
03-26
通过列举linux平台下的例子,并结合gdb描述了堆栈溢的过程。
gdb 笔记(10)— 检查内存泄漏、堆溢出、栈溢出、全局内存溢出、释放后继续使用
wohu1104的专栏
06-07 6109
(Address Sanitizer)是一个 内存错误检测器,它可以发现很多内存相关的错误,比如内存泄漏、释放之后再次使用、堆内存溢出、栈溢出等。以下代码都使用 编译。编写一段内存泄漏的示例代码,如代码清单所示。简单地使用 和 分配一块内存,但是不释放。...
Linux】栈保护 栈溢出 stack smashing detected 定位方法
热门推荐
rentong123的博客
04-17 1万+
程序中能明确看到某个变量的值被篡改,这种情况一般定位思路:使用watch命令观察该变量;执行c继续运行,程序会停在观察点发生变化的地方;执行where命令,查看当前的位置,即定位到哪行语句篡改了被观察的变量。即先看堆栈,大致确定是哪个函数。然后进到该函数中,逐条语句执行、查看堆栈信息,直到看到栈被破坏。遇到函数调用层次比较多时,效率会比较低,但也算有效。
GDB常用调试方法及其底层原理
最新发布
mrqiuwen的博客
06-26 3198
介绍了常用的GDB调试方法,各种断点的使用;介绍了GDB调试的底层原理
linux-GDB-tutorial.zip_GDB手册_Linux Gdb调试_gdb_gdb教程
09-21
Linux下的GDB(GNU Debugger)是一款强大的源代码级调试器,专为各种编程语言,如C、C++、Fortran等,在Linux操作系统上调试应用程序而设计。本教程旨在帮助开发者快速掌握GDB的使用,从而高效地定位和解决程序中的...
GDB.rar_GDB chm -CSDN_gdb_gdb beginner_gdb chm_gdb调试
09-22
GDB调试手册》是为嵌入式系统开发者和初学者提供的一份宝贵资源,它详细阐述了GDB(GNU调试器)的使用方法和调试技巧。GDB是一款强大的开源调试工具,广泛应用Linux和其他类UNIX环境,用于调试C、C++等语言编写...
gdb完全手册.pdf.zip_GDB pdf_GDB中文手册_gdb_linux_linux gdb pdf
07-15
1. **GDB安装**:介绍如何在Linux环境中安装GDB,包括通过包管理器或源码编译的方式。 2. **基本使用**:讲解如何启动GDB,设置源代码路径,以及加载调试目标。 3. **断点管理**:详述如何设置、删除和启用/禁用...
gdb-6.7a.tar.gz_Linux Gdb调试
09-23
Linux系统下的GDB调试与KGDB内核调试详解》 在Linux系统开发与维护过程中,调试工具扮演着至关重要的角色。本文将深入探讨两款重要的调试工具:GDB(GNU Debugger)和KGDB(Kernel GNU Debugger),它们是Linux...
原来gdb的底层调试原理这么简单
IOT物联网小镇
12-14 3201
一、前言 这篇文章来聊聊大名鼎鼎的GDB,它的豪门背景咱就不提了,和它的兄弟GCC一样是含着金钥匙出生的,在GNU的家族中的地位不可撼动。相信每位嵌入式开发工程师都使用过gdb来调试程序,如果你说没有用过,那只能说明你的开发经历还不够坎坷,还需要继续被 BUG吊打。 我们都知道,在使用gcc编译时,可以使用-g选项在可执行文件中嵌入更多的调试信息,那么具体嵌入了哪些调试信息?这些调试信息是如何与二进制的指令之间进行相互交互?在调试的时候,调试信息中是如何获取函数调用栈中的上下文信息? 针对上面这些疑惑,道
linux上排查分析程序crash的各种方法
blackeye2004的专栏
06-06 3113
你可以使用Valgrind的子工具,如Memcheck、Cachegrind等,对程序进行分析并找出潜在的问题。通过命令"ltrace ",你可以查看程序执行期间调用的库函数,从而帮助你定位崩溃的原因。查看日志文件:首先,你可以检查系统日志文件,如/var/log/messages、/var/log/syslog、/var/log/dmesg等,以了解有关程序崩溃的信息。日志调试:如果你在程序中集成了日志记录,你可以查看日志文件以了解程序崩溃时的执行路径、错误消息等。
linux 栈溢出
sky123博客
02-01 3735
栈基础知识 栈结构 函数调用过程 32位为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序 普通函数传参:参数基本都压在栈上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64位程序: 普
GDB原理
qq_41306849的博客
12-18 1837
可以看到,ptrace确实是一个强大的系统调用;gdb就是基于ptrace这个系统调用来做的。其原理是利用ptrace系统调用,在被调试程序和gdb之间建立追踪关系。然后所有发送给被调试程序(被追踪线程)的信号(除SIGKILL)都会被gdb截获,gdb根据截获的信号,查看被调试程序相应的内存地址,并控制被调试的程序继续运行。GDB常用的使用方法有断点设置和单步调试,接下来我们来分析一下他们是如何实现的。 1.建立调试关系: 用gdb调试程序有2种模式,包括使用gdb启动程序,以及attach到现有进程。分
栈溢出崩溃排查(二)
马大叔的工作日记
06-12 5143
(接上文) 竟然全是0,试着输出再多一些,输入dps esp L100,终于能看到熟悉的调用栈了,当然这种形式与我们平时看windbg的不同,这里把调用栈的原始数据输出了,具体调用流程,还要我们自己去分析。 实际上到这里,已经猜到十有八九是发生了栈溢出,其判断理由有二,第一EIP和EBP的值同时被覆盖掉了,第二EIP和EBP的值跟ESP指向的栈上的值相同,都是0,想想函数的调用过程,当函数调用
linux 内存溢出排查_java 内存溢出 栈溢出的原因与排查方法
weixin_32819265的博客
12-23 1968
1、 内存溢出的原因是什么?内存溢出是由于没被引用的对象(垃圾)过多造成JVM没有及时回收,造成的内存溢出。如果出现这种现象可行代码排查:一)是否应用中的类中和引用变量过多使用了Static修饰 如public staitc Student s;在类中的属性中使用 static修饰的最好只用基本类型或字符串。如public static int i = 0; //public static Str...
linux 编译条件检查,如何利用GCC编译选项检测栈溢出
weixin_42342206的博客
05-02 443
Stack smashing是堆栈缓冲区溢出(stack buffer overflow)的一个时髦称谓。它表示利用代码中存在的缓冲区溢出bug而发起的攻击。在早期,这完全是程序员的责任,他们要确保代码中不存在缓冲区溢出的问题。但是随着时间推移,技术的不断发展,现在像gcc这样的编译器已经有编译选项用来确保缓冲区溢出问题不被攻击者利用来破坏系统或者程序。有一次当我试图重现一个缓冲区溢出的问题时我才...
gdb 查看是否 栈溢出_GDB调试之二栈溢出
weixin_29442031的博客
02-23 1348
查看是否允许的core dump文件大小。如果只是临时需要用到可以使用命令ulimit -c unlimited临时打开则发生段错误时会在当前目录下产生core文件。若是需要配置一直生效并指定core文件生成路径和一些其他的信息可以用如下命令在etc/sysctl.conf目录中添加kernel.core_pattern=/var/coredump/%t-%e-%p-%c.corekernel.c...
[原理分析]Linux下的栈溢出案例分析-GDB调试操练[1]
bigbug_zju的专栏
10-08 8920
本文主要演示linux平台下的栈溢出,首先根据理论对示例代码进行溢出攻击;结果是溢出攻击成立,但是与设想的有差别;然后采用GDB调试工具对发生的意外,进行深入的分析
gdb 查看是否 栈溢出_ASLR、DEP与栈保护(HFUT-ZRB's Task)
weixin_39692623的博客
11-25 962
任务2:ASLR、DEP与栈保护一、任务内容①查阅资料,了解地址空间布局随机化(Address Space Layout Randomization,ASLR)的原理和作用。②在Windows操作系统中,基于VC 6编写、编译包含简单自定义函数func( )调用的控制台小程序,利用反编译结果或调试跟踪分析func( )的调用与地址;基于VS C++编译上述同一代码,并分析func( )的调用与地址...
Linux下C++开发GDB中文手册
12-21
Linux下C开发,GDB是重要的调试工具。GDB(GNU Debugger)是一个功能强大的调试器,可以在Linux操作系统下用于C语言程序的调试,帮助程序员在程序开发时发现和解决错误。本手册将对GDB的使用进行详细介绍,包括GDB的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值