C 缓冲区溢出/溢出说明?
在给定的url中,此函数为: 主功能对应的组装代码为:C 缓冲区溢出/溢出说明?,c,assembly,x86,buffer-overflow,C,Assembly,X86,Buffer Overflow,在给定的url中,此函数为: 主功能对应的组装代码为: Dump of assembler code for function main: 0x8000490 <main>: pushl %ebp 0x8000491 <main+1>: movl %esp,%ebp 0x8000493 <main+3>: subl $0x4,%esp 0x8000496 <main+6>: movl $0x0,0
Dump of assembler code for function main:
0x8000490 <main>: pushl %ebp
0x8000491 <main+1>: movl %esp,%ebp
0x8000493 <main+3>: subl $0x4,%esp
0x8000496 <main+6>: movl $0x0,0xfffffffc(%ebp)
0x800049d <main+13>: pushl $0x3
0x800049f <main+15>: pushl $0x2
0x80004a1 <main+17>: pushl $0x1
0x80004a3 <main+19>: call 0x8000470 <function>
0x80004a8 <main+24>: addl $0xc,%esp
0x80004ab <main+27>: movl $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>: movl 0xfffffffc(%ebp),%eax
0x80004b5 <main+37>: pushl %eax
0x80004b6 <main+38>: pushl $0x80004f8
0x80004bb <main+43>: call 0x8000378 <printf>
0x80004c0 <main+48>: addl $0x8,%esp
0x80004c3 <main+51>: movl %ebp,%esp
0x80004c5 <main+53>: popl %ebp
0x80004c6 <main+54>: ret
0x80004c7 <main+55>: nop
主函数的汇编程序代码转储:
0x8000490:pushl%ebp
0x8000491:movl%esp,%ebp
0x8000493:subl$0x4,%esp
0x8000496:movl$0x0,0xfffffffc(%ebp)
0x800049d:PUSH$0x3
0x800049f:pushl$0x2
0x80004a1:pushl$0x1
0x80004a3:呼叫0x8000470
0x80004a8:添加$0xc,%esp
0x80004ab:movl$0x1,0xfffffffc(%ebp)
0x80004b2:movl 0xfffffffc(%ebp),%eax
0x80004b5:pushl%eax
0x80004b6:PUSH$0x80004f8
0x80004bb:呼叫0x8000378
0x80004c0:添加$0x8,%esp
0x80004c3:movl%ebp,%esp
0x80004c5:popl%ebp
0x80004c6:ret
0x80004c7:nop
在变量ret
中,它们将ret
指向要运行的下一条指令的地址。我无法理解,仅仅通过将下一条指令保留在ret
变量中,程序将如何跳转到下一个位置?
我知道缓冲区溢出是如何工作的,但是通过更改ret
变量,缓冲区溢出是如何工作的?
即使考虑到这是一个虚拟程序,只是为了让我们了解缓冲区溢出是如何工作的,更改
ret
变量似乎是错误的。这是一个缓冲区溢出示例的解释:
函数
的局部变量(包括buffer1
)与返回地址一起位于堆栈上,返回地址计算为超出buffer1
的12个字节。这是一个缓冲区溢出的例子,因为写入超过buffer1
12字节的地址时,写入的内容超出了buffer1
的适当范围。当函数
完成时,通过将返回地址替换为比原来大8的数字,而不是像往常一样在函数调用后弹出返回语句(x=1;
,在本例中),返回地址将是8个字节(在本例中为printf
语句)
跳过x=1代码>语句不是缓冲区溢出——它是修改返回地址的缓冲区溢出的结果
关于计算8作为跳过的适当偏移量的注释x=1代码>语句
:
另请参见8的计算,作为添加到返回地址的适当偏移量,以达到跳过x=1的目的代码>。他的发现与基于GDB的研究结果相矛盾。不管这个细节如何,关于如何使用缓冲区溢出来更改返回地址的解释仍然是一样的——只是一个向溢出中写入什么的问题
为完整起见,以下是基于GDB的对的分析:
我们所做的是将12添加到buffer1[]的地址。这个新的
地址是存储返回地址的位置。我们想跳过这一关
printf调用的赋值。我们怎么知道要把8加到
回信地址?我们首先使用一个测试值(例如1),然后编译
启动程序,然后启动gdb:
[aleph1]$gdb示例3
GDB是免费软件,欢迎您分发它的副本
在一定条件下,;键入“显示复制”以查看条件。
GDB绝对没有担保;有关详细信息,请键入“显示保修”。
GDB 4.15(I586-未知Linux),版权1995免费软件基金会。
(未找到调试符号)。。。
(gdb)拆卸主管道
主功能的汇编程序代码转储:
0x8000490:pushl%ebp
0x8000491:movl%esp,%ebp
0x8000493:subl$0x4,%esp
0x8000496:movl$0x0,0xfffffffc(%ebp)
0x800049d:PUSH$0x3
0x800049f:pushl$0x2
0x80004a1:pushl$0x1
0x80004a3:呼叫0x8000470
0x80004a8:添加$0xc,%esp
0x80004ab:movl$0x1,0xfffffffc(%ebp)
0x80004b2:movl 0xfffffffc(%ebp),%eax
0x80004b5:pushl%eax
0x80004b6:PUSH$0x80004f8
0x80004bb:呼叫0x8000378
0x80004c0:添加$0x8,%esp
0x80004c3:movl%ebp,%esp
0x80004c5:popl%ebp
0x80004c6:ret
0x80004c7:nop
我们可以看到,当调用函数()时,RET将是0x8004a8,
我们想跳过0x80004ab的赋值。下一个
我们要执行的指令是0x8004b2。一点数学
告诉我们距离是8字节
稍微好一点的数学告诉我们,距离是0x8004a8-0x8004b2=0xA
或10个字节,而不是8个字节。堆栈上的布局如下(地址向下-随着堆栈的增长):
buffer+。。。价值发现描述
=================================================================================
+24 3#从主管道开始,推送$0x3
+20 2#从主管道开始,推送$0x2
+16 1#从主管道开始,推送$0x1
+12#从main,呼叫0x8000470
+8#从功能,推送%ebp
+4%ebp(函数)填充(3字节)#ABI-编译器将不会u pack_vars
+0缓冲区[5];
... 缓冲区1[12];#可能已优化(未使用)
... int*ret#可能会被优化掉(改为使用reg)
棘手的是,buffer
从一个四字节对齐的地址开始,即使它的大小不是四字节的倍数。“有效大小”是8个字节,因此如果在其开头添加8个字节,则会找到保存的帧指针,如果再向下移动4个字节,则会找到保存的返回地址(根据您的反汇编,它是main+0x24
/0x80004a8
。添加8会跳到“中间”在两个指令中,结果是垃圾-您没有跳过x=1
语句。捕捉得很好。更新了我的答案以注意您发现的错误。+1
Dump of assembler code for function main:
0x8000490 <main>: pushl %ebp
0x8000491 <main+1>: movl %esp,%ebp
0x8000493 <main+3>: subl $0x4,%esp
0x8000496 <main+6>: movl $0x0,0xfffffffc(%ebp)
0x800049d <main+13>: pushl $0x3
0x800049f <main+15>: pushl $0x2
0x80004a1 <main+17>: pushl $0x1
0x80004a3 <main+19>: call 0x8000470 <function>
0x80004a8 <main+24>: addl $0xc,%esp
0x80004ab <main+27>: movl $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>: movl 0xfffffffc(%ebp),%eax
0x80004b5 <main+37>: pushl %eax
0x80004b6 <main+38>: pushl $0x80004f8
0x80004bb <main+43>: call 0x8000378 <printf>
0x80004c0 <main+48>: addl $0x8,%esp
0x80004c3 <main+51>: movl %ebp,%esp
0x80004c5 <main+53>: popl %ebp
0x80004c6 <main+54>: ret
0x80004c7 <main+55>: nop
[aleph1]$ gdb example3
GDB is free software and you are welcome to distribute copies of it
under certain conditions; type "show copying" to see the conditions.
There is absolutely no warranty for GDB; type "show warranty" for details.
GDB 4.15 (i586-unknown-linux), Copyright 1995 Free Software Foundation, Inc...
(no debugging symbols found)...
(gdb) disassemble main
Dump of assembler code for function main:
0x8000490 <main>: pushl %ebp
0x8000491 <main+1>: movl %esp,%ebp
0x8000493 <main+3>: subl $0x4,%esp
0x8000496 <main+6>: movl $0x0,0xfffffffc(%ebp)
0x800049d <main+13>: pushl $0x3
0x800049f <main+15>: pushl $0x2
0x80004a1 <main+17>: pushl $0x1
0x80004a3 <main+19>: call 0x8000470 <function>
0x80004a8 <main+24>: addl $0xc,%esp
0x80004ab <main+27>: movl $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>: movl 0xfffffffc(%ebp),%eax
0x80004b5 <main+37>: pushl %eax
0x80004b6 <main+38>: pushl $0x80004f8
0x80004bb <main+43>: call 0x8000378 <printf>
0x80004c0 <main+48>: addl $0x8,%esp
0x80004c3 <main+51>: movl %ebp,%esp
0x80004c5 <main+53>: popl %ebp
0x80004c6 <main+54>: ret
0x80004c7 <main+55>: nop
buffer + ... value found description
=================================================================================
+24 3 # from main, pushl $0x3
+20 2 # from main, pushl $0x2
+16 1 # from main, pushl $0x1
+12 <main+24> # from main, call 0x8000470 <function>
+8 <frameptr main> # from function, pushl %ebp
+4 %ebp(function) padding (3 bytes) # ABI - compiler will not _pack_ vars
+0 buffer[5];
... buffer1[12]; # might be optimized out (unused)
... int *ret # might be optimized out (reg used instead)