由于不想做点鼠标的猴子,于是就自己尝试了一下利用,结果拐弯就是大坑——不是在踩坑的路上,就是在坑里摸爬滚打。幸亏有大佬指点,不然还在坑里。
程序内存栈是从高地址往低地址分配内存的,正因如此,当程序在栈中,某个变量写入的字节超过了这个变量本身所申请的字节数时,会改变其他相邻变量的值,轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。
#include <stdio.h>void success() { printf("You Hava already controlled it."); }void vulnerable(){ int val = 0; char s[10]; gets(s); if (val == 1) printf("hunzin");}int main(int argc, char **argv){ vulnerable(); return 0;}
使用od打开该exe文件,下面为主要汇编代码,在主函数打断点后运行:
在输入字符串后暂停,可以看到0060FEFC对应的00401400为vulnerable函数结束时跳转的地址。
0060FEEC对应的是变量val的值,0060FEF8为vulnerable函数的基地址(EBP),从0060FEE2后存入用户输入的字符串,由于gets没有限制用户输入长度,所以可以构造输入来达到覆盖变量的值和函数返回地址。
012345678916进制字符串为30313233 34353637 3839。
由于在终端输入,x等字符都会算作一个单独字符,所以我们使用重定向来解决,先用c写一个简单payload程序:
#include<stdio.h>int main(){ int index = ; int i; for (i = 0; i < index; ++i) { printf("A"); } char a[100] = ""; printf("%s", a); return 0;}
由于上面的代码有一个变量val,我们就修改该变量。通过上面的内存栈图可以看到,用户输入的字符串后面就是val变量的值。也就是说,我们需要先填充10个字符,随后紧跟上我们要改的数值。
内存中采用的是小端存储,所以00000001在内存的形式为x01x00x00x00。
根据上面的计算,到返回地址需要填充26个字符,success函数的地址为004013B0,修改payload代码数据,生成exe:
刚开始用vs搞,怎么也无法成功,后来发现需要用gcc编译器,vs的编译器似乎有某种机制,不按正常套路出牌。还有一些保护机制也要进行关闭,否则也没有办法成功,建议大家在linux上尝试。
另外,还有strcpy、strcmp等函数也存在这样的漏洞。
读完有话想说?点击留言按钮,让上万读者听到你的声音!
原文始发于微信公众号(酒仙桥六号部队):一次踩坑无数的栈溢出实验 | 技术精选0139
评论