我正在玩一个堆栈溢出示例。这个例子如下所示:
void return_input (void){
char array[30];
gets (array);
printf("%s\n", array);
}
main() {
return_input();
return 0;
}
所有这些代码都在名为overflow.c的文件中。我们有一个名为 return_input 的易受攻击的函数,特别是它的30字节字符数组。我编译了它并在 gdb 中打开了易受攻击的函数,得到了以下输出:
(gdb) disas return_input
0x08048464 <+0>: push %ebp
0x08048465 <+1>: mov %esp,%ebp
0x08048467 <+3>: sub $0x48,%esp
0x0804846a <+6>: mov %gs:0x14,%eax
0x08048470 <+12>: mov %eax,-0xc(%ebp)
0x08048473 <+15>: xor %eax,%eax
0x08048475 <+17>: lea -0x2a(%ebp),%eax
0x08048478 <+20>: mov %eax,(%esp)
0x0804847b <+23>: call 0x8048360 <gets@plt>
0x08048480 <+28>: lea -0x2a(%ebp),%eax
0x08048483 <+31>: mov %eax,(%esp)
0x08048486 <+34>: call 0x8048380 <puts@plt>
0x0804848b <+39>: mov -0xc(%ebp),%eax
0x0804848e <+42>: xor %gs:0x14,%eax
0x08048495 <+49>: je 0x804849c <return_input+56>
0x08048497 <+51>: call 0x8048370 <__stack_chk_fail@plt>
0x0804849c <+56>: leave
0x0804849d <+57>: ret
End of assembler dump.
从函数序言中可以看出,我们在堆栈上为局部变量保留了hex48(dec 72)字节。首先,我试图找到易受攻击的数组在堆栈上启动的地址。我认为这是-0x2a(%ebp),我是对的吗? Hex2a是小数点后42位。据我所知,这意味着我们可以在开始覆盖保存在堆栈上的EBP之前安全地写入42个字节。但是当我运行这个例子时,只需要37个字节即可获得分段错误:
rustam@rustam-laptop:~/temp/ELF_reader$ ./overflow
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Segmentation fault (core dumped)
如果37个字节足以溢出缓冲区?如果我们的本地字符数组是保存的EBP中的-42字节
答案 0 :(得分:6)
如果没有看到整个功能的反汇编,很难分辨。
但是,我的猜测是,存储在-0xc(%ebp)的%gs:0x14可能是您的stack canary,如果检测到堆栈损坏,则会导致干净退出。 所以这个值存储在-0xc(%ebp),这意味着你的缓冲区实际上只有30个字节大,后面跟着是什么。