堆栈溢出

Posted 2020-09-13 pyqb

这是一个简单的会溢出的程序

run时返现程序程序终止，并得到以下提示栈溢出而奔溃。eip的值并没有被改变。

查看寄存器的内容，发现eip的值并没有发生改变，这是因为gcc默认开启堆栈保护，当检测到有栈溢出时就会自动终止。

如果我们希望修改eip时不退出调试，比如编写shellcode时，我们需要关闭gcc的堆栈保护

gcc -fno-stack-protector overflow.c -o overflow

gdb overflow

run

这里提示试图执行0x41414141的错误指令而奔溃，而不是提示因为栈溢出而奔溃，eip的值被改变了，但是0x41414141是一个错误的机器指令所以执行它时会报错。

这时发现eip的值被改成了0x41414141

sysctl -w kernel.randomize=0关闭ubuntu地址随机化

修改堆栈溢出程序

gcc -mpreferred-stack-boundary=2 -fno-stack-protector -g meet.c -o meet

-fno-stack-protector关闭gcc堆栈保护

./meet Mr `perl -e \'print "A" x 400\'`

./meet Mr `perl -e \'print "A" x 600\'`

栈溢出

gdb meet

list

b 6

 

当拷贝的值大小没超过name的范围时

run Mr `perl -e \'print "A" x 400\'`

当拷贝的值大小超过name的范围时

run Mr `perl -e \'print "A" x 600\'`

 

可以看到函数的参数已经被破坏

两个指针都指向0x41414141，而相应的值是NULL，而print()无法处理NULL，所以就会出现段错误

 

长度从400增加到408

run Mr `perl -e \'print "A" x 404\'`

刚好改变了ebp，但没有改变eip

run Mr `perl -e \'print "A" x 408\'`

刚好改变了eip的值

这里的数字400~408并不重要，重要的时逐渐增加字符串的长度，直至缓冲区溢出刚好改写了栈中的eip值，而不涉及更多的变动，因为在缓冲区溢出之后，紧接着就是printf调用。