栈溢出实验
栈溢出实验
目标
通过对程序输入的密码的长度、内容等修改,实现缓冲区溢出的发生实验,栈溢出问题涉及到计算机体系结构、内存管理、编程语言和程序执行原理等多个领域。通过实验,可以深入了解计算机系统的底层工作原理,从而更好地理解计算机科学和计算机工程。
测试步骤与结果
淹没相邻变量改变程序流程实验
源文件分析
观察源文件中的判断函数,可以看到strcpy()函数没有限制长度,因此可以确定这其中有栈溢出的漏洞
x32dbg中定位子函数
通过x32dbg,我们根据主函数我们找到了verify_password函数所在位置,并进行分析,尝试了解这个函数中的栈结构
栈结构分析
我们输入的字符串是12345+6,从图中的栈结构里我们看到,从0019FAC8地址往下的栈中装的是我们的输入值转换为的ASCII码,也就说明这一段是分给strcpy的缓冲区,通过之前的分析,我们知道了在0019FAD0中装的是经过strcmp函数判断之后的返回值,若为0则表示与预设密码相同,而这个变量在buffer缓冲区的下面,说明先进栈,也就是authenticated变量的值,于是我们就可以知道如果将输入的值的长度增加,由于strcpy没有长度限制,所以输入的值可以溢出到下面,来改变authenticated变量的值,以达到最终改变整个函数返回值的目的
进行淹没相邻变量
我们可以看到分给strcpy()得到的值的位置只有8字节,其中还有c语言数组自带的一字节空字符,所以只要我们输入超过7字节的内容就可以达到溢出的目的,而我们的最终目的是让0019FAD0地址处的值为0,因此我们需要输入的是8字节的任意内容加3字节的空字符,通过python生成文本进行输入即可,生成的带有空字符的字符串为“UUUUUUUU ”进行输入,再观察栈中内容的变化如下:
我们看到本来存储strcmp判断结果的栈中已经被flood,显示为我们想要的0,这样我们就可以越过判断了。
结果展示
修改原理图示
python代码附录
1 | inp = '55'*8 + '00'*3 |
淹没返回地址改变程序流程实验
栈结构分析
由于这两个实验的子函数相同,所以上一道题中分析过的这里就略过。现在我们分析一下子函数的返回值情况,这次我们在文件中输入的是233122,可以看到和之前的结果大同小异,都是在buffer缓冲区下存储着authenticated的值,而在这个值之后我们可以看到函数结束后返回的地方是00401114地址处,于是我们就可以将buffer长度增加到淹没这个返回地址,并把它改成输出正确的函数的地址处,这样我们就可以直接跳过判断了。
进行淹没返回地址
我们可以看到输出”congratulations“的函数所在地址为0040112F,所以我们只需要把前面16个字节占掉并把这个地址写入即可,由于是小端存储,所以我们只需要在文件中写入16字节的随意内容加上’2F1140‘转化为ASCII码的字符即可。用python生成这样一串字符:”/@ “写入password.txt文件中
结果展示
写入后重新调试文件,可以看到栈中的内容发生的变化:
这样在子函数进行之后就会自动跳转到输出正确的函数了,下面来看一下结果:
修改原理的图示
python代码附录
1 | inp = '11'*16 + '2F114000' |
实验结论
栈溢出实验是一项重要的计算机科学实践,通过这个实验,我们更加深入了解了计算机底层原理、内存管理和程序执行过程。在实验中我学到了如何发现和利用栈溢出漏洞。通过这次实验,不仅加深了我对计算机系统的理解,还提高了我的调试技能。并认识了如何使用调试工具来定位和修复程序中的错误,这将对我们今后的软件开发和故障排除工作非常有帮助。
此外,栈溢出实验也向我们展示了软件安全的重要性,栈溢出是一种常见的计算机安全漏洞,而解决这类漏洞却需要严密的代码审查和漏洞修复,这个经验对于将来从事信息安全相关工作的我们来说,是非常宝贵的。
附加题
分析PE格式加载到内存中的地址变化
刚进入PE文件时,装载地址为77891000,从77941A93开始进行指令的装入,而程序指令在装入内存之后基地址为00401000,偏移量为77850000字节。
分析函数跳转时sp,bp,ip的变化
1、接下来分析一下主函数在调用子函数时候的情况,首先看一下主函数的结构与此时的指针:
2、在执行输出‘Address of foo = %p\n’的函数之前,先Push入了foo()函数的地址401000,之后push入保存着‘Address of foo = %p\n’字符串的地址4060DC,指针变化如下,可以看到ESP改变了8字节,而EBP没有变化,EIP变化了10字节
内存如下,可以看到栈中从底到顶依次装着返回地址、foo()函数位置还有待输出的字符串:
3、在执行输出‘Address of bar = %p\n’的函数之前经历的过程与上面相似,这里不再多介绍,再执行完输出‘Address of bar = %p\n’的函数之后,各个指针如下,可以看到EBP还是没有变,ESP又减少了8字节,说明就是刚刚进栈的两个元素占了8字节,EIP指向401092
内存如下,可以看到‘Address of bar = %p\n’字符串和bar()函数的地址位置依次进入了栈:
4、在进入foo函数之前,push了ecx进入栈中,内存和指针分别如下,可以看到EBP仍然没有变,EIP指向401096,而ESP又减少了4字节,因为PUSH了ecx进入栈中
5、进入foo函数,栈指针和内存如下,EBP仍然没有变化,而ESP向上移动了4字节,foo函数的返回值入栈,EIP指向401000。
6、进入foo函数后,esp进行的减12字节的操作,中间三段地址装了传入的参数,内存和指针如下
7、总的说来就是,进入函数时,先push入需要调用的外面的参数,之后Push入函数的返回地址,最后再push入局部变量的地址
淹没返回地址进行bar函数的输出
程序逻辑分析
主函数
可以看到先调用了两个输出子函数地址的函数,之后把我们往程序中输入的内容的地址放在ecx中并压入栈,最后进入到foo函数中
foo函数
可以看到有一条命令repne movsd,这条命令就是起到复制的功能,因此可以考虑在这里进行栈溢出攻击
bar函数
进行栈溢出攻击
我们输入987654,在执行foo函数过程中观察栈的内存变化,可以看到在做完repne movsd操作之后,我们输入的987654放入了之前进入函数时候开辟出的一块12字节的空白区域中,而这段区域下紧接着就是返回的地址,因此我们可以尝试输入一个11字节的数据来对返回地址进行淹没(后面还有一字节自带的空白符),前8字节的数据可以为任意数据,只需要让后三字节数据指向bar地址00401060即可,通过python我们生成了符合要求的字符串:‘`@’
我们尝试把这段字符串输入之后观察内存变化,可以看到之前存放着返回地址的位置已经被替换为bar函数的地址
在执行之后我们可以看到指针顺利跳到bar函数处
结果展示
修改原理展示
修改程序
把foo函数返回地址改为bar函数进入地址即可实现破解
运行破解后的文件,成功
python代码附录
1 | inp = '11'*12 + '601040' |