栈溢出系列学习

技术研究
Created At :
Count:457 Views 👀 :
  1. 栈基础学习
  2. 栈溢出实战讲解

栈基础学习

栈溢出实战讲解

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
#include <stdio.h>
#define PASSWORD "1234567"
int verify_password (char *password)
{
int authenticated;
char buffer[8];// add local buffto be overflowed
authenticated=strcmp(password,PASSWORD); 
 
strcpy(buffer,password);//over flowed here! //因为strcpy将源字符串拷贝到目标字符串时,并不检查目标字符串的长度,如果源字符串过长会导致目标内存后面的空间被覆盖
return authenticated;
}
main()
{
int valid_flag=0;
char password[64];
while(1)
{
printf("please input password: ");
scanf("%s",password);
valid_flag = verify_password(password);
if(valid_flag)
{
printf("incorrect password!\n\n");
}
else
{
printf("Congratulation! You have passed theverification!\n");
break;
}
}
}

这是一个简单的pwn栈题,我们用vc6++来调试一下他

我们在main函数scanf 里输入了9个1

接着进入verify_password函数,注意栈变化

注意看上面这个图的红框 是authenticated的值,我们返回的就是这个值

这里strcpy函数给他覆盖了

上图红框为传入的参数,12ff3c的位置就是password的地址

黑框为返回地址,main函数的地址

绿框为 main函数的栈底也就是此时栈的栈底(为什么传入调用方栈底,是因为要用栈底来寻址,如果访问参数 是以这个位置为加法访问的 如果访问局部变量 是以这个位置为减法访问的)

蓝框为局部变量authenticated,但此时返回值被我们输入的1给覆盖了

本来的FF FF FF FF 变成了31 00 FF FF 所以此时如果我们再写长一点去覆盖黑框的返回地址呢? 是不是已经控制了 程序流,我们试一试

正常来看我们输出的是incorrect password! 我们尝试让他输出Congratulation! You have passed theverification!,就覆盖返回地址为00401100

成功控制

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 1204342476@qq.com

💰

©2016-2023 answer77

Built with Hexo and 3-hexo theme

×

Help us with donation