缓冲区溢出练习记录

最新推荐文章于 2022-11-20 21:22:29 发布

ywtsee

最新推荐文章于 2022-11-20 21:22:29 发布

阅读量697

点赞数

分类专栏： c/c++ 文章标签：汇编 c gcc 测试语言存储

本文链接：https://blog.csdn.net/ywtsee/article/details/6262979

版权

c/c++ 专栏收录该内容

8 篇文章 0 订阅

订阅专栏

环境：

gcc

测试c代码如下overflow.c：

#include <stdio.h> void print() { printf("hello/n"); } void foo() { char buf1[4]; } void main() { foo(); }

练习的目的是在foo中对数组越界溢出，让程序打印出hello。

首先：gcc -g -fno-stack-protector overflow.c -o overflow

再查看：objdump -d overflow

查看两个函数的反汇编如下：

080483a4 <print>: 80483a4: 55 push %ebp 80483a5: 89 e5 mov %esp,%ebp 80483a7: 83 ec 08 sub $0x8,%esp 80483aa: c7 04 24 b0 84 04 08 movl $0x80484b0,(%esp) 80483b1: e8 fe fe ff ff call 80482b4 <puts@plt> 80483b6: c9 leave 80483b7: c3 ret 080483b8 <foo>: 80483b8: 55 push %ebp 80483b9: 89 e5 mov %esp,%ebp 80483bb: 83 ec 10 sub $0x10,%esp 80483be: c9 leave 80483bf: c3 ret

测试下foo()中栈的使用，修改下foo()，如下：

void foo() { char buf1[4]; buf1[0] = 'a'; buf1[1] = 'a'; buf1[2] = 'a'; buf1[3] = 'a'; buf1[4] = 'a'; }

重新反汇编看foo()中栈的使用，如下：

080483b8 <foo>: 80483b8: 55 push %ebp 80483b9: 89 e5 mov %esp,%ebp 80483bb: 83 ec 10 sub $0x10,%esp 80483be: c6 45 fc 61 movb $0x61,0xfffffffc(%ebp) 80483c2: c6 45 fd 61 movb $0x61,0xfffffffd(%ebp) 80483c6: c6 45 fe 61 movb $0x61,0xfffffffe(%ebp) 80483ca: c6 45 ff 61 movb $0x61,0xffffffff(%ebp) 80483ce: c6 45 00 61 movb $0x61,0x0(%ebp) 80483d2: c9 leave 80483d3: c3 ret

这样，就能看出buf1在栈中的位置为当前栈底指针%ebp-0xc开始的4个字节。

比较奇怪的是buf1[4]指向了%ebp的位置(很奇怪为什么会这样，C语言中数组不是连续存储的吗？按照我原来的理解buf1[4]会是%ebp-0x10)；不过这样就能推测出buf1[n]的值了。

目标是修改main()调用foo()函数的换回地址为print()的地址0x080483a4。这个返回地址应当是在调用foo()时压栈的，在栈中的位置为当前%ebp+0x4(因为调用foo后foo首先把原来的%ebp压栈)，所以只要将栈中%ebp+0x4这个地址中的值改为print()的入口地址0x80483a4就ok了。

在小端系统中，低字节在低位，所以，修改foo()如下：

void foo() { char buf1[4]; buf1[8] = 0xa4; buf1[9] = 0x83; buf1[10] = 0x04; buf1[11] = 0x08; }

编译后，执行：./overflow,输入如下：

hello Segmentation fault

打印出了“hello”.不过也出现了段错误。这个没有仔细跟，如果不想看见断错误，可以将foo()的buf1[8] = 0xaa(即对应调用系统print()函数的部分)，此时就可以输出“hello”，而不出现断错误：

hello