网络安全实验一,栈溢出,更改返回地址,调用flag函数

最新推荐文章于 2024-03-31 14:42:10 发布
最新推荐文章于 2024-03-31 14:42:10 发布
阅读量2.2k 收藏 11
点赞数 4
分类专栏: 网络安全实验 文章标签: c语言 linux windows 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42700798/article/details/127429455
版权

栈溢出更改返回地址

题目及其代码

在源码里写了一个flag函数,让调用完vuln函数后返回到flag函数去执行

#include <stdio.h>
#include <unistd.h>//unistd.h为Linux/Unix系统中内置头文件

int vuln() {
 char buf[80];//存在越界可能
 gets(buf);//无限制输入,漏洞可利用
 return 0;
}

int flag(){
  printf("you got the flag!");
  return 0;
}

int main(int argc, char *argv[]) {
 vuln();
 return 0;
}

思路解析

vuln函数里的gets是一个明显的越界入口,可对buf的存储位置进行往高地址越界溢出,根据下图的栈帧示意可知:
在这里插入图片描述

我们通过对buf越界一定数量后可以达到对返回地址的修改,把返回地址更改到flag函数的入口地址,即让eip指针指向flag函数入口地址。
(eip寄存器表示了当前运行命令的位置)

代码调试及实验过程

具体调试的基本操作和界面参考第一篇文章:
进去后点击该文章目录:第一次调试

环境

VMware16
win xp sp3
vc6

所需工具

十六进制编辑器,本处使用的是Hex Editor Neo

创建工程,开始实验

1.代码写入

在这里插入图片描述

// test6.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <stdio.h>

int vuln() {
	
	char buf[80];
	gets(buf);
	return 0;
}

int flag(){
	printf("you got the flag!\n");
	return 0;
}

int main(int argc, char *argv[]) {
	vuln();
	printf("do you get the flag?\n");
	return 0;
}

2.进入调试界面

设置好断点,以及变量监控,此时涉及的变量有flag函数的地址,buf的地址:
在这里插入图片描述

根据变量监控,buf的开始地址为0x0012fedc,空间是80个单位,即如下图黑框所示:
在这里插入图片描述

其黑框下面一行中,0012ff80为寄存器的值,在局部变量结束时的位置都会存在,即栈底,004010ed是它的返回地址,我们可以随意输入一个数来看看这个返回地址是返回到哪:

在这里插入图片描述

输入结束继续跳转:
在这里插入图片描述

可以看到,其跳转回了主函数的调用vulp的下一条语句

3.更改返回地址

从上面我们已经找到了返回地址的位置,以及buf的开始地址,经过计算得知返回地址开始距离buf开始地址84个字节,返回地址占4个字节,需要编辑的字节总数为88个字节:

在这里插入图片描述

进入十六进制编辑器编辑出对应十六进制码,最后四个字节改为00401080即80104000(小端地址):

在这里插入图片描述

保存为txt后,复制到虚拟机和你的C语言文件编译连接后的.exe后缀的文件放在同一目录,一般在vc6的工作空间文件夹下的debug里面:

在这里插入图片描述

打开cmd,来到该文件目录下:
在这里插入图片描述

把txt文件作为参数传入到c语言的.exe文件中:

在这里插入图片描述

该修改后我们发现它输出了flag中的打印内容,即它已经执行了flag函数,但是同时你也会收到一个报错信息,原因是因为直接修改返回地址后c语言跳转到该地址执行完flag函数后return 0的时候没有一个正确的地址让它回到main函数里,因为原来回到main函数的返回地址已经被我们覆盖了,代码回到了一个错误的未知地址。

在这里插入图片描述

4.尝试不报错继续运行

对返回地址进行伪造,最终输出了主函数的打印值但仍然造成了报错,可能是更改后导致esp对应的栈顶回不到正确位置,或者调用flag后flag开头又创建了一个栈帧导致返回地址对不上,暂时未找到解决方案。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

鸢柒不下雨
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
栈溢出覆盖返回地址实践
ChuMeng1999的博客
01-10 1038
目录预备知识1.关于栈溢出的一些基础知识2.对“栈”简单介绍实验目的实验环境实验步骤一使用Olldbg动态调试程序,观察栈溢出的过程实验步骤二 预备知识 1.关于栈溢出的一些基础知识 如果你关注网络安全,那么你一定听说过缓冲区溢出。简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据撑爆了小缓冲区,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,本质都是一样的。 2.对“栈”简单介绍 从计算机科学的角度讲,栈指的是一种数据结构,是一种先进后出的数据表。
网络安全——栈溢出漏洞逆向分析
05-14
计算机程序一般都会使用到一些内存,这些内存会提供给程序内部使用,或者是存放用户的输入数据,这样的内存一般称作缓冲区。 溢出是指盛放的内容超出容器容量而溢出,在计算机程序中,就是数据使用到了被分配好的内存空间之外的内存空间。 缓冲区溢出,简单来说就是,计算机对接收的输入数据没有进行有效的检测(理想的情况是程序检查数据长度并且不允许输入超过缓冲区长度的字符),向缓冲区内填充数据时超过了缓冲区本身的容量,而导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。 栈溢出是缓冲区溢出中最为常见的一种。只不过栈溢出发生在栈上,而堆溢出发生在堆上,其实他们的原理都是一样的。
缓冲区溢出(栈溢出实验 之 改变栈内的变量
大头的博客
07-25 2109
注:本文属于个人原创,错误处请各位指正 一、缓冲区溢出 百度百科“缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。” 在缓冲区填充超过变量所属内存的长度的字符,超出目标变量内存,可能导致程序出错或不可预知的结果。...
简单栈溢出实验
最新发布
autistic_savant1的博客
03-31 638
栈溢出
网络安全实验一,栈溢出,数组溢出输出why u r here?!
weixin_42700798的博客
10-14 2024
网络安全实验栈溢出,why u r here
网络空间安全导论实验——简单栈溢出
zinc_96的博客
11-28 129
网络空间安全导论实验——简单栈溢出
网络安全实验一,栈溢出更改变量值使得判断通过,so, can u find flag
weixin_42700798的博客
10-15 1709
网络安全实验一,栈溢出更改变量值使判断得以通过,winxp,vc6
简单实现栈溢出实验(IDA)
fightte的博客
10-10 5888
有关栈溢出的相关知识 最近学校讲到了栈溢出,并有一道很基础的题,在此可以记录一下,感兴趣的人可以了解了解
逆向分析-栈溢出原理与实践(修改函数返回地址
weixin_57421069的博客
10-20 669
0day安全:软件漏洞分析技术,栈溢出原理与实践,改写邻接变量的方法是很有用的,但这种漏洞利用对代码环境的要求相对比较苛刻。更通用、更强大的攻击通过缓冲区溢出改写的目标往往不是某一个变量,而是瞄准栈帧最下方的 EBP 和函数返回地址等栈帧状态值
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验
07-07
此资源包含完整实验报告(加上你的学号姓名即可提交)
网络安全技术》大作业:缓冲区溢出实验报告
12-27
一、缓冲区溢出原理 缓冲区溢出是因为在程序执行时数据的长度超出了预先分配的空间大小,导致覆盖了其他数据的分配区域,从而执行非授权指令,获取信息,取得系统特权进而进行各种非法操作导致程序运行失败、系统宕...
论文研究-一种抗地址淹没的缓冲区栈溢出算法.pdf
07-22
首先利用IDA Pro对源程序反汇编分析,然后建立新的库函数,并通过修改GCC源代码来实现程序执行时对函数返回地址的备份的方法来检测缓冲区溢出攻击的发生。与其他栈溢出攻击检测方法相比,RetProtect算法可有效地阻止...
网络安全实验报告五_网络安全实验_
09-28
该资料是中科大网络安全第五次实验报告,是将给出的foo01()和fool02()函数替代原有的foo()函数,并通过gdb调试,判断有无缓冲区溢出漏洞
栈溢出的简单实验
weixin_43894468的博客
09-17 1315
实验用到first和first.c文件,first中的代码如下,可以看到用于攻击的wuwu()函数是永远不会被调用执行的;但是gets()是一直读取输入的字符直到读取\n才停止,由于gets()没有读取长度的限制,可以通过读取超出规定长度的字符来修改栈帧中的返回地址,从而达到攻击目的; 右键first,使用IDA打开,打开之后可以看到是这样的汇编指令,按Tab键可以看地址,空格可以看反编译代码; main()函数 wuwu()函数 进入运行vbox虚拟机,打开虚拟机后先挂载共享文件夹,挂载后才能使用共
实验栈溢出攻击:代码植入
qq_63982199的博客
05-05 263
《0day安全》书中的通过栈溢出达到的代码植入实验记录。将返回地址修改到buffer数组的地址,执行buffer数组中的代码达成目的。
C语言高级编程:利用堆栈溢出修改函数返回地址
ARM-Linux
08-09 3374
利用函数栈溢出,修改函数返回地址,进而调用别的函数。 测试环境: win10 x86-64 gcc: x86_64-pc-cygwin 代码 #include <stdio.h> #include <stdlib.h> #include <string.h> int len; typedef void ( * p_fun)(vo...
手把手栈溢出从入门到放弃(上)
G653214的博客
11-11 570
0x00 写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携
栈溢出实验
混子
04-11 1373
前言 由于不想做点鼠标的猴子,于是就自己尝试一下利用,结果拐弯就是一坑,这不是在踩坑的路上,就是在坑里摸爬滚打,太艰难了,幸亏有卓佬和晨佬指点,不然还在坑里 # 栈溢出原理 程序内存栈是从高地址往低地址分配内存的,正因如此,当程序在栈中,某个变量写入的字节超过了这个变量本身所申请的字节数时,会改变其他相邻变量的值,轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。
编写整数加减法器: 设在main中有如下数组: char int1[n+1]; char int2[n+1]; 编写函数 Char * addsub(char int1[],char int2[],int flag, int n); 当flag为0时表示加法运算,当flag为1时表示减法运算,做n位的加减法运算,将运算结果保存至int2中,在main函数中输出运算结果。m和n分别是int1和int2的长度。在函数中必须要计算OF,CF,SF,ZF,将4个F作为返回返回,并在main函数中输出4个值,判定是否产生了溢出,是哪一种溢出。用c++语言准确表示
05-29
在这个代码中,我们首先定义了一个 `addsub` 函数,它接收两个整数 `int1` 和 `int2`,一个标志 `flag`(0 表示加法,1 表示减法),一个整数长度 `n`,以及四个布尔类型的变量 `OF`,`CF`,`SF`,`ZF`。 在 `add...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值