4.3.2 Linux32环境下函数的返回地址
编译、链接、执行程序buffer_overflow.c,并关闭Linux的栈保护机制,参见截图:
下面用gdb调试程序:
在foo函数的入口、调用strcpy函数处和foo返回处设置断点:
继续运行,找到函数的返回地址:
buff的起始地址B到保存函数的返回地址A之间的偏移:
A-B=0xbffff29c-0xbffff280=0x1c=16+12=28
因此,如果Lbuffer的长度超过28字节,将会发生缓冲区溢出,Lbuffer中偏移28的4个字节“ABCD”将覆盖地址为0xbffff29c内存单元的值,即foo的返回地址变为“ABCD”(0x44434241)。
由于0x44434241不可访问,因此出现断错误。
4.3.3 Linux32环境下的Shellcode编写
编译、链接、执行shell_asm_fix_opcode.c,可以通过缓冲区溢出获得shell,参见下图:
4.4做实验并写实验报告
没有修改文件前:
为了找出发生溢出的原因,用gdb调试:
由于lvictim没有发生溢出,所以为了调试方便,我把老师的源代码buffer[512]改成了buffer[500],如图:
重新编译运行,发生段错误:
下面开始用gdb调试,找出smash_largebuf函数的返回地址所在的内存单元与缓冲区起始地址的距离。
先反编译smash_largebuf函数:
然后设置三个断点:
下面启动进程,得到函数的返回地址0xbffff35c:
继续执行到下一个断点,buff的开始地址在0xbffff158,存放在0xbfffed30中:
所以:
0xbffff35c-0xbffff158=0x204=516
OFF_SET=516
BUFFER_ADDRESS有一个范围,可以从0xbffff158开始设置
程序中需要改动的地方如下:
下面开始演示攻击lvictim,并获得shell,要注意关闭地址随机化:
可以看到,已经获得了shell,实验成功了。
完