修改具有缓冲区溢出漏洞的C函数的返回地址

时间:2015-04-18 03:01:16

标签: linux buffer-overflow c

我正在尝试修改以下C程序,以便主函数将跳过printf(" x是1")行并且只打印" x是0"。

 void func(char *str) {
         char buffer[24];
         int *ret;

         ret = buffer + 28; // Supposed to set ret to the return address of func
         (*ret) += 32; // Add the offset needed so that func will skip over printf("x is 1")
         strcpy(buffer, str);
 }

 int main(int argc, char **argv) {
         int x;
         x = 0;
         func(argv[1]);
         x = 1;
         printf("x is 1");
         printf("x is 0");
         getchar();
 }

正如注释所暗示的那样,需要先将ret指针设置为函数的返回地址。然后我需要添加一个偏移量,将其推到我想跳过的行上。我在具有2 x Intel(R)Xeon(TM)CPU 3.20GHz的Linux系统上运行此代码。我正在使用gcc版本4.7.2(Debian 4.7.2-5)进行编译。我也尝试使用此(http://insecure.org/stf/smashstack.html)链接中的example3.c作为参考。这是使用gdb:

的主函数的反汇编
Dump of assembler code for function main:
    0x0000000000400641 <+0>:     push   %rbp
    0x0000000000400642 <+1>:     mov    %rsp,%rbp
    0x0000000000400645 <+4>:     sub    $0x20,%rsp
    0x0000000000400649 <+8>:     mov    %edi,-0x14(%rbp)
    0x000000000040064c <+11>:    mov    %rsi,-0x20(%rbp)
    0x0000000000400650 <+15>:    movl   $0x0,-0x4(%rbp)
    0x0000000000400657 <+22>:    mov    -0x20(%rbp),%rax
    0x000000000040065b <+26>:    add    $0x8,%rax
    0x000000000040065f <+30>:    mov    (%rax),%rax
    0x0000000000400662 <+33>:    mov    %rax,%rdi
    0x0000000000400665 <+36>:    callq  0x4005ac <func>
    0x000000000040066a <+41>:    movl   $0x1,-0x4(%rbp)
    0x0000000000400671 <+48>:    mov    $0x40075b,%edi
    0x0000000000400676 <+53>:    mov    $0x0,%eax
    0x000000000040067b <+58>:    callq  0x400470 <printf@plt>
    0x0000000000400680 <+63>:    mov    $0x400762,%edi
    0x0000000000400685 <+68>:    mov    $0x0,%eax
    0x000000000040068a <+73>:    callq  0x400470 <printf@plt>
    0x000000000040068f <+78>:    callq  0x400490 <getchar@plt>
    0x0000000000400694 <+83>:    leaveq
    0x0000000000400695 <+84>:    retq
 End of assembler dump.

使用我从示例中读取的内容,我的缓冲区长度为24个字节,我应该为SFP大小添加额外的4个字节。这意味着我添加28个字节以获得&lt; + 41&gt;的返回地址。然后看起来我想要跳转到&lt; + 73&gt;的最后一次printf调用。这应该是32的偏移量。但是,当我执行代码时,&#34; x是1&#34;还在打印。我似乎无法找出原因。我的数学或假设有问题吗?

1 个答案:

答案 0 :(得分:2)

你也应该反汇编函数func(),以便更好地了解事情的进展情况。此外,我没有理解你对strcpy()的调用的作用,只是导致我出现分段错误的原因,我将其评论为使代码正常工作。

不要忘记,您可以在代码中看到的大小以十六进制打印,而您在代码中输入缓冲区的小数位移。 所以,当你读到的东西是:

mov    %rdi,-0x28(%rbp)

您必须考虑40个字节(0x28 hexa = 40十进制),而不是28个字节。

上面的代码实际上是从func()函数反汇编中提取的。正如@cybermike所提到的,不要忘记虽然Alpeh1的文本仍然是关于这个主题的参考文献,但它现在已经变得很老了:架构和保护系统已经广泛发展到现在。

如上所述here,在x64架构上,编译器现在会尝试将堆栈地址与16字节边界对齐,因此要为24个字符数组分配大小,它实际上将保留32个字节,即。最近的边界。

添加为你的&#34; rest&#34;分配的8个字节。指针,然后你就知道你的返回地址正好在40个字节之外。

然后,查看main()反汇编,正常的返回地址是:

0x00000000004005fe <+41>:    movl   $0x1,-0x4(%rbp)

我们希望它是:

0x0000000000400614 <+63>:    mov    $0x4006bb,%edi

所以我们必须将回报率提高63-41 = 22。

因此,总而言之,我的练习按预期使用以下func()函数:

void func(char *str) {
    char buffer[24];
    int *ret;

    ret = buffer + 40; // Supposed to set ret to the return address of func
    (*ret) += 22; // Add the offset needed so that func will skip over printf("x is 1")
    //strcpy(buffer, str);

}

执行结果:

$ ./se 
x is 0