缓冲区溢出缓冲区长度
[英]Buffer overflow buffer length
问题描述
我有一个我需要解决的缓冲区溢出问题。 下面是问题,底部是我的问题:
#include <stdio.h>
#include <string.h>
void lan(void) {
printf("Your loyalty to your captors is touching.\n");
}
void vulnerable(char *str) {
char buf[LENGTH]; //Length is not given
strcpy(buf, str); //str to fixed size buf (uh-oh)
}
int main(int argc, char **argv) {
if (argc < 2)
return -1;
vulnerable(argv[1]);
return 0;
}
(gdb) disass vulnerable
0x08048408: push %ebp
0x08048409: mov %esp, %ebp
0x0804840b: sub $0x88, %esp
0x0804840e: mov 0x8(%ebp), %eax
0x08048411: mov %eax, 0x4(%esp)
0x08048415: lea -0x80(%ebp), %eax
0x08048418: mov %eax, (%esp)
0x0804841b: call 0x8048314 <strcpy>
0x08048420: leave
0x08048421: ret
End of assembler dump.
(gdb) disass lan
0x080483f4: push %ebp
0x080483f5: mov %esp, %ebp
0x080483f7: sub $0x4, %esp
0x080483fa: movl $0x8048514, (%esp)
0x08048401: call 0x8048324 <puts>
0x08048406: leave
0x08048407: ret
End of assembler dump.
然后我们有以下信息:
(gdb) break *0x08048420
Breakpoint 1 at 0x8048420
(gdb) run 'perl -e' print "\x90" x Length' 'AAAABBBBCCCCDDDDEEEE'
Breakpoint 1, 0x08048420 in vulnerable
(gdb) info reg $ebp
ebp 0xffffd61c 0xffffd61c
(gdb) # QUESTION: Where in memory does the buf buffer start?
(gdb) cont
Program received signal SIGSEGV, Segmentation fault.
最后,perl命令是写出字符0x90的LENGTH副本的简写。
我以前做过这样的几个问题,但是我在这里阻止的是以下问题:“通过查看汇编代码,LENGTH的值是多少?”
我不知道如何从给定的汇编代码中找到它。 我所知道的是......我们写入的缓冲区位于堆栈的-128(%ebp)位置(其中-128是十进制数)。 但是,我不知道从这里去哪里获得缓冲区的长度。
2 个解决方案
解决方案1
2 已采纳 2015-04-12 21:03:11
让我们来看看你的vulnerable功能。
首先,编译器创建一个帧并在堆栈上保留0x88字节:
0x08048408: push %ebp
0x08048409: mov %esp, %ebp
0x0804840b: sub $0x88, %esp
然后它将两个值放入堆栈:
0x0804840e: mov 0x8(%ebp), %eax
0x08048411: mov %eax, 0x4(%esp)
0x08048415: lea -0x80(%ebp), %eax
0x08048418: mov %eax, (%esp)
返回之前它做的最后一件事是调用strcpy(buf, str) :
0x0804841b: call 0x8048314 <strcpy>
0x08048420: leave
0x08048421: ret
所以我们可以推断它放在堆栈上的两个值是strcpy的参数。
mov 0x8(%ebp)将是char *str而lea -0x80(%ebp)将是char buf[LENGTH]的指针。
因此,我们知道您的缓冲区从-0x80(%ebp) ,因此假设编译器没有浪费任何空间,它的长度为0x80 = 128字节。
解决方案2
1 2015-04-12 21:01:50
我所知道的是..我们写入的缓冲区位于堆栈的-128位置(%ebp)
由于局部变量以%ebp结尾,并且您只有一个本地变量( buffer本身),因此可以断定它的长度最多为128 。 如果编译器为对齐添加了一些填充,则可能会更短。
缓冲区溢出
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.