堆栈溢出 - 奇数返回地址

时间:2011-11-20 16:01:12

标签: linux gcc stack

我正在通过“The Shellcoder's Handbook”中的一个例子。然而,它并没有那么好。我正在运行Debian 2.6.32-5-686内核,i386。

以下演练旨在引导读者了解发生缓冲区溢出时发生的事情。

该计划:

include <stdio.h>
include <string.h>

void return_input(void)
{
    char array[30];
    gets (array);
    printf("%s\n", array);
}

int main ()
{
    return_input();
    return 0;
}

游戏的目的是将“AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD”传递给数组,而数组反过来会用超额'D'覆盖返回地址。

我这样编译:

gcc -ggdb -m32 -o test -fno-stack-protector -mpreferred-stack-boundary=2 test.c

我运行gdb test并开始调查:

(gdb) disas return_input 
Dump of assembler code for function return_input:
0x080483f4 <return_input+0>:    push   %ebp
0x080483f5 <return_input+1>:    mov    %esp,%ebp
0x080483f7 <return_input+3>:    sub    $0x24,%esp
0x080483fa <return_input+6>:    lea    -0x1e(%ebp),%eax
0x080483fd <return_input+9>:    mov    %eax,(%esp)
0x08048400 <return_input+12>:   call   0x804830c <gets@plt>
0x08048405 <return_input+17>:   lea    -0x1e(%ebp),%eax
0x08048408 <return_input+20>:   mov    %eax,(%esp)
0x0804840b <return_input+23>:   call   0x804832c <puts@plt>
0x08048410 <return_input+28>:   leave  
0x08048411 <return_input+29>:   ret    
End of assembler dump.
(gdb) break *0x08048400
Breakpoint 1 at 0x8048400: file test.c, line 7.
(gdb) break *0x08048411
Breakpoint 2 at 0x8048411: file test.c, line 9.

此时我们介绍了两个断点。就在致电gets之前。在函数返回之前的另一个。现在我们运行它:

(gdb) run
Starting program: ./test 

Breakpoint 1, 0x08048400 in return_input () at test.c:7
7       gets (array);
(gdb) x/20x $esp
0xbffff3ac: 0xbffff3b2  0xb7fca304  0xb7fc9ff4  0x08048440
0xbffff3bc: 0xbffff3d8  0xb7eb75a5  0xb7ff1040  0x0804844b
0xbffff3cc: 0xb7fc9ff4  0xbffff3d8  *0x0804841a*    0xbffff458
0xbffff3dc: 0xb7e9ec76  0x00000001  0xbffff484  0xbffff48c
0xbffff3ec: 0xb7fe18c8  0xbffff440  0xffffffff  0xb7ffeff4

这就是在调用gets之前堆栈的样子。我用星号(0x0804841a)标记了返回地址。让我们改写一下:

(gdb) continue
Continuing.
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD

Breakpoint 2, 0x08048411 in return_input () at test.c:9
9   }
(gdb) x/20x 0xbffff3ac
0xbffff3ac: 0xbffff3b2  0x4141a304  0x41414141  0x41414141
0xbffff3bc: 0x42424242  0x42424242  0x43434242  0x43434343
0xbffff3cc: 0x43434343  0x44444444  *0x44444444*    0xbf004444
0xbffff3dc: 0xb7e9ec76  0x00000001  0xbffff484  0xbffff48c
0xbffff3ec: 0xb7fe18c8  0xbffff440  0xffffffff  0xb7ffeff4

以上是在从函数返回之前堆栈的样子。正如你所看到的,我们用那些多余的'D'覆盖了返回地址。结果。让我们完成:

(gdb) x/li $eip
0x8048411 <return_input+29>:    ret    
(gdb) stepi
Cannot access memory at address 0x44444448
嗯,嗯?这0x44444448来自无处可怜。不知何故,gcc在我们返回之前修改了返回地址。感谢。

有什么想法吗?我是否正确假设gcc已经完成了自己的内部检查,返回地址是否有效。如果没有,它会在它中留下一些废话,以防止我们制作一个讨厌的回复地址?

有什么方法吗?我在这里尝试了一切 - http://www.madhur.co.in/blog/2011/08/06/protbufferoverflow.html。结果相同。

1 个答案:

答案 0 :(得分:4)

这是预期的结果 - 页面错误。您的程序已被操作系统停止,因为您正在访问未分配给任何物理内存的虚拟内存。

您看到的消息只是调试器通知您这一事实。

相关问题
最新问题