这是源代码。
#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>
void win()
{
printf("code flow successfully changed\n");
}
int main(int argc, char **argv)
{
char buffer[64];
gets(buffer);
}
main 的汇编代码
0x0000000000400604 <+0>: stp x29, x30, [sp, #-96]!
0x0000000000400608 <+4>: mov x29, sp
0x000000000040060c <+8>: str w0, [sp, #28]
0x0000000000400610 <+12>: str x1, [sp, #16]
0x0000000000400614 <+16>: add x0, sp, #0x20
0x0000000000400618 <+20>: bl 0x4004d0 <gets@plt>
0x000000000040061c <+24>: mov w0, #0x0 // #0
0x0000000000400620 <+28>: ldp x29, x30, [sp], #96
0x0000000000400624 <+32>: ret
win 的汇编代码
0x00000000004005e4 <+0>: stp x29, x30, [sp, #-16]!
0x00000000004005e8 <+4>: mov x29, sp
0x00000000004005ec <+8>: adrp x0, 0x400000
0x00000000004005f0 <+12>: add x0, x0, #0x6e0
0x00000000004005f4 <+16>: bl 0x4004c0 <puts@plt>
0x00000000004005f8 <+20>: nop
0x00000000004005fc <+24>: ldp x29, x30, [sp], #16
0x0000000000400600 <+28>: ret
源代码来自protostar-stack4。据我所知,你必须覆盖 $pc 才能运行 win 函数。所以我尝试覆盖 $pc,但我不能。我在 main+32 处放置了一个断点,并以 100*a 运行它,但 $pc 和 $x30 都没有被覆盖。我应该怎么做才能覆盖$pc?我是否走在正确的道路上?请帮忙。
$x0 : 0x0
$x1 : 0x0000fffff7fb1290 → 0x0000000000000000
$x2 : 0xfbad2288
$x3 : 0x0000fffff7fae8d0 → 0x00000000fbad2288
$x4 : 0x6161616161616161 ("aaaaaaaa"?)
$x5 : 0x0000fffffffff384 → 0x0000000000000000
$x6 : 0x6161616161616161 ("aaaaaaaa"?)
$x7 : 0x6161616161616161 ("aaaaaaaa"?)
$x8 : 0x6161616161616161 ("aaaaaaaa"?)
$x9 : 0x6161616161616161 ("aaaaaaaa"?)
$x10 : 0x6161616161616161 ("aaaaaaaa"?)
$x11 : 0x6161616161616161 ("aaaaaaaa"?)
$x12 : 0x6161616161616161 ("aaaaaaaa"?)
$x13 : 0x6161616161616161 ("aaaaaaaa"?)
$x14 : 0x6161616161616161 ("aaaaaaaa"?)
$x15 : 0x6161616161616161 ("aaaaaaaa"?)
$x16 : 0x1
$x17 : 0x6161616161616161 ("aaaaaaaa"?)
$x18 : 0x0
$x19 : 0x0000000000400630 → <__libc_csu_init+0> stp x29, x30, [sp, #-64]!
$x20 : 0x0
$x21 : 0x00000000004004e0 → <_start+0> mov x29, #0x0 // #0
$x22 : 0x0
$x23 : 0x0
$x24 : 0x0
$x25 : 0x0
$x26 : 0x0
$x27 : 0x0
$x28 : 0x0
$x29 : 0x0000fffffffff360 → "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"
$x30 : 0x0000fffff7e62218 → <__libc_start_main+232> bl 0xfffff7e77d00 <__GI_exit>
$sp : 0x0000fffffffff360 → "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"
$pc : 0x0000000000400624 → <main+32> ret
$cpsr: [negative ZERO CARRY overflow interrupt fast]
$fpsr: 0x0
$fpcr: 0x0
我该怎么办?
从代码中可以看到,编译器已将返回地址低于放在堆栈上的缓冲区中,因此无论你写入多少字节,都不可能覆盖它。
具体来说,
stp x29, x30, [sp, #-96]!x29[sp]x30[sp, 8][sp, 32]add x0, sp, 0x20您可以覆盖的是由任何名为
main__libc_start_main()不幸的是,在许多系统上,该函数根本不返回;它改为调用
exit()__libc_start_maingetsmainvoid other_func(void) {
char buf[64];
gets(buf);
}
int main(void) {
other_func();
return 0;
}
现在,您的溢出不会覆盖
other_func()main()other_func()main()ret 指令执行之后;在
ret 的 main指令上放置断点仍然为时过早。)看起来这个练习是针对 x86 的,其中返回地址通常位于堆栈帧的顶部,因为它是由在堆栈帧设置之前执行的
call指令保存的。 在 x86 系统上,您的溢出确实会覆盖
mainthe_function_called_by_main()的返回地址,但实际上如果你想模拟缓冲区溢出攻击,我们可以覆盖
main()#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int bufferOverflow(const char * str)
{
char buffer[12];
/* This line has a buffer overflow vulnerability. */
strcpy(buffer, str);
return 1;
}
int main(int argc, char ** argv)
{
char aString[512];
FILE *badfile;
printf("Buffer overflow vulnerability starting up...\n");
badfile = fopen("badfile", "r");
fread(aString, sizeof(char), 512, badfile);
bufferOverflow(aString);
printf("bufferOverflow() function returned\n");
return 1;
}
输入 badfile 由以下几行创建:
for (int i = 0; i < 512; i++) {
buffer[i] = i+1;
}
// to locate the return address
buffer[24] = 0x01;
buffer[25] = 0x23;
buffer[26] = 0x45;
buffer[27] = 0x67;
现在我们使用gdb(这里我使用gef
)来看看如果我运行这个程序会发生什么。我设置了break main,然后设置了
runmain()0x0000ffffffffe908
bufferOverflow(),我们可以看到该函数的返回地址已被存储到
0x0000ffffffffe8f80x0000ffffffffe8f0bufferOverflow()main()0x0000ffffffffe9080x201f1e1d67452301