3

在给定的 url 中给出了这个函数:http: //insecure.org/stf/smashstack.html

void function(int a, int b, int c) {
   char buffer1[5];
   char buffer2[10];
   int *ret;

   ret = buffer1 + 12;
   (*ret) += 8;
}

void main() {
  int x;

  x = 0;
  function(1,2,3);
  x = 1;
  printf("%d\n",x);
}

main函数对应的汇编代码为:

Dump of assembler code for function main:
0x8000490 <main>:       pushl  %ebp
0x8000491 <main+1>:     movl   %esp,%ebp
0x8000493 <main+3>:     subl   $0x4,%esp
0x8000496 <main+6>:     movl   $0x0,0xfffffffc(%ebp)
0x800049d <main+13>:    pushl  $0x3
0x800049f <main+15>:    pushl  $0x2
0x80004a1 <main+17>:    pushl  $0x1
0x80004a3 <main+19>:    call   0x8000470 <function>
0x80004a8 <main+24>:    addl   $0xc,%esp
0x80004ab <main+27>:    movl   $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>:    movl   0xfffffffc(%ebp),%eax
0x80004b5 <main+37>:    pushl  %eax
0x80004b6 <main+38>:    pushl  $0x80004f8
0x80004bb <main+43>:    call   0x8000378 <printf>
0x80004c0 <main+48>:    addl   $0x8,%esp
0x80004c3 <main+51>:    movl   %ebp,%esp
0x80004c5 <main+53>:    popl   %ebp
0x80004c6 <main+54>:    ret
0x80004c7 <main+55>:    nop

在变量ret中,它们指向ret要运行的下一条指令的地址。我无法理解仅通过将下一条指令保留在ret变量中,程序将如何跳转到下一个位置?我知道缓冲区溢出是如何工作的,但是通过更改ret变量,这是如何进行缓冲区溢出的?即使考虑到这是一个虚拟程序并且只是为了让我们了解缓冲区溢出的工作原理,更改ret变量似乎也是错误的。

4

2 回答 2

4

解释这是如何成为缓冲区溢出的示例:

的局部变量function,包括buffer1,与返回地址一起在堆栈上,计算为超出 12 个字节buffer1。这是缓冲区溢出的一个示例,因为写入超出 12 个字节的地址超出buffer1buffer1. 通过在完成时将返回地址替换为比原来大 8 的数字function,而不是像往常一样弹出返回到函数调用之后的语句(x = 1;在这种情况下),返回地址将晚 8 个字节(在printf声明,在这种情况下)。

跳过x = 1;语句不是缓冲区溢出——而是缓冲区溢出修改了返回地址的结果。

注意计算 8 作为跳过x = 1;语句的正确偏移量:

另请参阅FrankH对计算 8 作为适当偏移量的仔细重新评估,以添加到返回地址以实现跳过的意图x = 1;。他的发现与基于 GDB 对insecure.org 源文章的分析相矛盾。 不管这个细节如何,关于如何使用缓冲区溢出来更改返回地址的解释保持不变——只是将什么写入溢出的问题。

为了完整起见,这里是对insecure.org 源文章的基于 GDB 的分析

我们所做的是将 12 添加到 buffer1[] 的地址。这个新地址是存储返回地址的地方。我们想跳过将赋值传递给 printf 调用。我们怎么知道要在退货地址上加 8?我们先使用一个测试值(例如 1),编译程序,然后启动 gdb:

[aleph1]$ gdb example3
GDB is free software and you are welcome to distribute copies of it
 under certain conditions; type "show copying" to see the conditions.
There is absolutely no warranty for GDB; type "show warranty" for details.
GDB 4.15 (i586-unknown-linux), Copyright 1995 Free Software Foundation, Inc...
(no debugging symbols found)...
(gdb) disassemble main
Dump of assembler code for function main:
0x8000490 <main>:       pushl  %ebp
0x8000491 <main+1>:     movl   %esp,%ebp
0x8000493 <main+3>:     subl   $0x4,%esp
0x8000496 <main+6>:     movl   $0x0,0xfffffffc(%ebp)
0x800049d <main+13>:    pushl  $0x3
0x800049f <main+15>:    pushl  $0x2
0x80004a1 <main+17>:    pushl  $0x1
0x80004a3 <main+19>:    call   0x8000470 <function>
0x80004a8 <main+24>:    addl   $0xc,%esp
0x80004ab <main+27>:    movl   $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>:    movl   0xfffffffc(%ebp),%eax
0x80004b5 <main+37>:    pushl  %eax
0x80004b6 <main+38>:    pushl  $0x80004f8
0x80004bb <main+43>:    call   0x8000378 <printf>
0x80004c0 <main+48>:    addl   $0x8,%esp
0x80004c3 <main+51>:    movl   %ebp,%esp
0x80004c5 <main+53>:    popl   %ebp
0x80004c6 <main+54>:    ret
0x80004c7 <main+55>:    nop

我们可以看到,当调用 function() 时,RET 将为 0x8004a8,我们想跳过 0x80004ab 处的赋值。我们要执行的下一条指令是 at 0x8004b2。一个小数学告诉我们距离是 8 个字节。

稍微好一点的数学告诉我们,距离是0x8004a8 - 0x8004b2 = 0xA10 个字节,而不是 8 个字节。

于 2013-10-27T05:31:03.933 回答
1

堆栈上的布局是这样的(地址向下 - 随着堆栈的增长):

buffer + ...       value found       description
=================================================================================
+24                3                 # from main,     pushl $0x3
+20                2                 # from main,     pushl $0x2
+16                1                 # from main,     pushl $0x1
+12                <main+24>         # from main,     call  0x8000470 <function>
+8                 <frameptr main>   # from function, pushl %ebp
+4  %ebp(function) padding (3 bytes) # ABI - compiler will not _pack_ vars
+0                 buffer[5];
...                buffer1[12];      # might be optimized out (unused)
...                int *ret          # might be optimized out (reg used instead)

棘手的是它buffer从一个四字节对齐的地址开始,即使它的大小不是四字节的倍数。“有效大小”是 8 个字节,所以如果你在它的开头添加 8 个字节,你会找到保存的帧指针,如果你再往下 4 个字节,保存的返回地址(根据你的反汇编,它是main+0x24/ 0x80004a8. 加上 8 会跳转到两个指令的“中间”,结果是垃圾——你没有跳过x = 1语句。

于 2013-10-27T08:12:54.107 回答