溢出攻击eip寄存器覆盖问题

wangyaoysu

     在自己的电脑上演示溢出攻.出现如下问题：
         gdb中测试覆盖eip。当输入的n个‘A’时可以eip显示为414141，差一个字节没覆盖。但当输入n+1个'A'时确显示是eip内容为函数调用返回ret语句地址的内容。
         求解～～～

zylthinking

分别啥时候 p $eip 的？

wangyaoysu

在gdb中i reg得到的eip的内容。是发生段错误后返回后的

wangyaoysu

是在gdb中调试出错返回后i reg得到的eip信息

zylthinking

第二次既然是正确的返回地址怎么会出错？

wangyaoysu

所以我也很不解。这个是打印结果：
Program received signal SIGSEGV, Segmentation fault.
0x08048434 in main ()
(gdb) i reg
eax            0x0        0
ecx            0xbffff2a8        -1073745240
edx            0x28d360        2675552
ebx            0x28bff4        2670580
esp            0xbffff2ec        0xbffff2ec
ebp            0x41414141        0x41414141
esi            0x0        0
edi            0x0        0
eip            0x8048434        0x8048434 <main+64>
eflags         0x10296        [ PF AF SF IF RF ]
我disas main得到的是<main+64>是ret。
如果是第一种情况时结果会是 0x414141 in ?();

zylthinking

这我也没办法解释了， 我倒知道有个栈破坏检测的东西， 但似乎也解释不通。
但看那个ret, 很显然是main 中 return 生成的； 倒不是 call 时那个返回地址

wangyaoysu

#include <stdio.h>
#include <string.h>
额～看来要搁浅了。
不过有另外发现就是如果arr的长度定义为5时就只是显示段错误。但如果长度是10的话还会调出** stack smashing detected ***显示错误。
int main(int argc, char **argv)
{
        char arr[5];

        strcpy(arr, argv[1]);
        printf("arr: 0x%c\n", *arr);

        return(0);
}

zylthinking

反汇编一下， 然后一步步跟， 总能得到解释的

sunuslee

lz，您可以看看这
http://sunus.is-programmer.com/
我这个blog废弃之前最后一篇就是写个缓冲区溢出小实验。
gcc是有栈检测的东西，你或许编译的时候需要加参数取消栈检测之后再进行实验