6

我正在玩一个堆栈溢出示例。此示例如下所示:

 void return_input (void){ 
    char array[30];    
    gets (array); 
    printf("%s\n", array); 

 }

 main() { 
    return_input();    
    return 0;    
 }

所有这些代码都在名为overflow.c 的文件中。我们有一个名为return_input的易受攻击的函数,特别是它是 30 字节的 char 数组。我编译它并在gdb中打开易受攻击的函数并得到以下输出:

 (gdb) disas return_input
 0x08048464 <+0>:   push   %ebp
 0x08048465 <+1>:   mov    %esp,%ebp
 0x08048467 <+3>:   sub    $0x48,%esp
 0x0804846a <+6>:   mov    %gs:0x14,%eax
 0x08048470 <+12>:  mov    %eax,-0xc(%ebp)
 0x08048473 <+15>:  xor    %eax,%eax
 0x08048475 <+17>:  lea    -0x2a(%ebp),%eax
 0x08048478 <+20>:  mov    %eax,(%esp)
 0x0804847b <+23>:  call   0x8048360 <gets@plt>
 0x08048480 <+28>:  lea    -0x2a(%ebp),%eax
 0x08048483 <+31>:  mov    %eax,(%esp)
 0x08048486 <+34>:  call   0x8048380 <puts@plt>
 0x0804848b <+39>:  mov    -0xc(%ebp),%eax
 0x0804848e <+42>:  xor    %gs:0x14,%eax
 0x08048495 <+49>:  je     0x804849c <return_input+56>
 0x08048497 <+51>:  call   0x8048370 <__stack_chk_fail@plt>
 0x0804849c <+56>:  leave  
 0x0804849d <+57>:  ret    
 End of assembler dump.

正如您从函数序言中看到的,我们在堆栈上为局部变量保留了 hex48(dec 72) 字节。首先,我试图找到易受攻击的数组在堆栈上的起始地址。我认为是-0x2a(%ebp),对吗?Hex2a 是十进制的 42。据我了解,这意味着我们可以在开始覆盖堆栈中保存的 EBP 之前安全地写入 42 个字节。但是当我运行这个例子时,只需要正确的 37 个字节就可以得到分段错误:

rustam@rustam-laptop:~/temp/ELF_reader$ ./overflow
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Segmentation fault (core dumped)

37 字节如何足以溢出缓冲区?如果我们的本地 char 数组是保存的 EBP 的 -42 字节

4

1 回答 1

6

没有看到函数的整个反汇编很难说。

但是,我的猜测是存储在 -0xc(%ebp) 的 %gs:0x14 可能是您的堆栈金丝雀,如果检测到堆栈损坏,它会导致干净退出。所以这个值存储在 -0xc(%ebp),这意味着你的缓冲区实际上只有 30 个字节大,然后是后面的任何内容。

于 2012-06-17T07:51:34.337 回答