如何解决缓冲区溢出攻击而无需更改返回地址
我需要在下面的示例代码中调用登录函数。我们可以通过使用缓冲区溢出攻击直接将返回地址更改为登录函数来实现。但是我需要将寄信人地址保持不变。还有其他方法可以在不更改返回地址的情况下打印登录消息吗?
char getpass()
{
int flag = 'F';
char pass[10];
gets(pass);
return (char) flag;
}
void login()
{
printf("Logged in");
exit(0);
}
void main()
{
printf("Enter Passwd");
if(getpass() == 'T')
{
login();
}else{
print("Failed");
exit(1);
}
}
解决方法
使其生效取决于编译器决定如何布置变量。如果flag
之后在内存中出现pass
,则输入的字符数多于pass
将导致flag
被覆盖。
当我在调试器中运行该程序并打印这些变量的地址时,我得到了以下信息:
(gdb) start
Temporary breakpoint 1 at 0x40060e: file x1.c,line 19.
Starting program: /home/dbush/./x1
Temporary breakpoint 1,main () at x1.c:19
19 printf("Enter Passwd");
Missing separate debuginfos,use: debuginfo-install glibc-2.17-292.el7.x86_64
(gdb) step
20 if(getPass() == 'T')
(gdb)
getPass () at x1.c:6
6 int flag = 'F';
(gdb)
8 gets(pass);
(gdb) p pass
$1 = "\000\000\000\000\000\000\000\000",<incomplete sequence \341>
(gdb) p &pass
$2 = (char (*)[10]) 0x7fffffffdec0
(gdb) p &flag
$3 = (int *) 0x7fffffffdecc
我们可以看到在此特定实例中 flag
比pass
的开头晚了12个字节。我的机器也是little-endian,这意味着flag
的4个字节中的第一个包含要覆盖的值。
因此,我们可以通过输入13个字符(最后一个为T
)来利用缓冲区溢出漏洞。这将导致10个字符写入pass
,另外两个字符写入pass
和flag
之间的填充字节,T
的第一个字节中的字符flag
,而flag
第二个字节中终止的空字节为0。现在变量flag
包含'T'
,这是从函数返回的内容。
还请注意,这样做不会将flag
之后的内容写入函数的返回值。这是可能的,因为flag
是int
,并且使用的字节序少。
示例输入/输出:
[dbush@db-centos7 ~]$ ./x1
Enter Passwd1234567890TTT
Logged in[dbush@db-centos7 ~]$
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。