- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我正在尝试修改以下 C 程序,以便 main 函数将跳过 printf("x is 1") 行,只打印“x is 0”。
void func(char *str) {
char buffer[24];
int *ret;
ret = buffer + 28; // Supposed to set ret to the return address of func
(*ret) += 32; // Add the offset needed so that func will skip over printf("x is 1")
strcpy(buffer, str);
}
int main(int argc, char **argv) {
int x;
x = 0;
func(argv[1]);
x = 1;
printf("x is 1");
printf("x is 0");
getchar();
}
正如注释所暗示的,ret 指针需要首先设置为函数的返回地址。然后我需要添加一个偏移量,将其推到我想跳过的线上。我在配备 2 个 Intel(R) Xeon(TM) CPU 3.20GHz 的 Linux 系统上运行此代码。我正在使用 gcc 版本 4.7.2 (Debian 4.7.2-5) 进行编译。我还尝试使用此 ( http://insecure.org/stf/smashstack.html) 链接中的 example3.c 作为引用。下面是使用 gdb 对 main 函数的反汇编:
Dump of assembler code for function main:
0x0000000000400641 <+0>: push %rbp
0x0000000000400642 <+1>: mov %rsp,%rbp
0x0000000000400645 <+4>: sub $0x20,%rsp
0x0000000000400649 <+8>: mov %edi,-0x14(%rbp)
0x000000000040064c <+11>: mov %rsi,-0x20(%rbp)
0x0000000000400650 <+15>: movl $0x0,-0x4(%rbp)
0x0000000000400657 <+22>: mov -0x20(%rbp),%rax
0x000000000040065b <+26>: add $0x8,%rax
0x000000000040065f <+30>: mov (%rax),%rax
0x0000000000400662 <+33>: mov %rax,%rdi
0x0000000000400665 <+36>: callq 0x4005ac <func>
0x000000000040066a <+41>: movl $0x1,-0x4(%rbp)
0x0000000000400671 <+48>: mov $0x40075b,%edi
0x0000000000400676 <+53>: mov $0x0,%eax
0x000000000040067b <+58>: callq 0x400470 <printf@plt>
0x0000000000400680 <+63>: mov $0x400762,%edi
0x0000000000400685 <+68>: mov $0x0,%eax
0x000000000040068a <+73>: callq 0x400470 <printf@plt>
0x000000000040068f <+78>: callq 0x400490 <getchar@plt>
0x0000000000400694 <+83>: leaveq
0x0000000000400695 <+84>: retq
End of assembler dump.
使用我从示例中读到的内容,我的缓冲区长 24 个字节,我应该为 SFP 大小额外添加 4 个字节。这意味着我要添加 28 个字节才能到达 <+41> 的返回地址。然后看起来我想跳转到 <+73> 处的最后一个 printf 调用。这应该是 32 的偏移量。但是,当我执行代码时,仍然打印“x is 1”。我似乎无法找出原因。我的数学或假设有问题吗?
最佳答案
您也应该反汇编 func() 函数,以便更好地了解事情的进展情况。此外,我不明白您对 strcpy() 的调用的作用,这对我来说只是一个段错误的原因,我将其注释掉以使您的代码正常工作。
请不要忘记,您在代码中看到的大小是以十六进制打印的,而您在代码中输入的缓冲区移位是十进制的。因此,当您阅读以下内容时:
mov %rdi,-0x28(%rbp)
您必须想到 40 个字节(0x28 六进制 = 40 个十进制),而不是 28 个字节。
上面的代码实际上是从func()函数反汇编中提取出来的。正如@cybermike 提到的,不要忘记虽然 Alpeh1 的文本仍然是该主题的引用,但它现在已经很老了:体系结构和保护系统到目前为止已经广泛发展。
如前所述here ,在 x64 架构上,编译器现在将尝试将堆栈地址与 16 字节边界对齐,因此要为 24 字符数组分配大小,它实际上会保留 32 字节,即。最近的边界。
加上为“rest”指针分配的 8 个字节,那么您就知道返回地址恰好位于 40 个字节之外。
然后看main()反汇编,正常的返回地址是:
0x00000000004005fe <+41>: movl $0x1,-0x4(%rbp)
我们希望它是:
0x0000000000400614 <+63>: mov $0x4006bb,%edi
因此我们必须将返回增加 63 - 41 = 22。
总而言之,我使用以下 func() 函数让您的练习按预期进行:
void func(char *str) {
char buffer[24];
int *ret;
ret = buffer + 40; // Supposed to set ret to the return address of func
(*ret) += 22; // Add the offset needed so that func will skip over printf("x is 1")
//strcpy(buffer, str);
执行结果:
$ ./se
x is 0
关于linux - 修改存在缓冲区溢出漏洞的C函数的返回地址,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29744353/
前言: 有时候,一个数据库有多个帐号,包括数据库管理员,开发人员,运维支撑人员等,可能有很多帐号都有比较大的权限,例如DDL操作权限(创建,修改,删除存储过程,创建,修改,删除表等),账户多了,管理
这个问题已经有答案了: Condition variable deadlock (2 个回答) 已关闭 5 年前。 在研究多线程时,我编写了以下代码,但在屏幕上没有观察到输出。我在这里做错了什么?我期
复制代码 代码如下: <IfModule mod_rewrite.c> RewriteEngineOn RewriteBase/ #将www.zzvips.com跳转到www.zzv
复制代码 代码如下: <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / # 把 www.zzvips.com
复制代码 代码如下: Const T_GATEWAY = "1.1.1.1" '网关 Const T_NEWDNS1 = "2.2.2.2" 'DNS1
0. 修改索引 大文本字段支持排序 PUT http://localhost:9200/lrc_blog/_mapping //请求体 { "properties": { "title": { "t
仅 react 当状态发生变化时重新渲染 . 那么为什么我会直接看到我对真实 DOM 所做的更改呢? 我知道我正在修改真实的 DOM,但是当我根本没有改变状态时触发重新渲染的是什么。 import R
Xcode beta 5 推出 @FetchRequest对于 SwiftUI。 我有一个 View ,它有一个 @FetchRequest . NSFetchRequest是在管理器中创建的,该管理
关闭。这个问题需要更多 focused .它目前不接受答案。 想改进这个问题?更新问题,使其仅关注一个问题 editing this post . 7年前关闭。 Improve this questi
我有一个表达式[text][id]应替换为链接 text 解决方案是( id 是整数) $s = preg_replace("/\[([^\]]+)(\]*)\]\[([0-9]+)\]/","$1$
我在 repo 中有一个文件,我不想让任何人更新。 我能做什么? 最佳答案 你想要svn锁:http://www.linxit.de/svnbook/en/1.2/svn.ref.svn.c.lock
说我有项目 list 。我想导出到csv,但在此之前我想做一些计算/修改。 基本上,设置如下所示: PS C:\Files> gci Directory: C:\Files Mode
我有一个非常简单的问题 - 是否可以修改 Java API 的源代码,例如Junit,JABX ? 我知道这似乎是一个非常愚蠢的问题,但它一直困扰着我一段时间。 最佳答案 如果您可以掌握源代码,那么请
我有一个带有变量/列的小标题,其中包括不同形状的小标题列表。我想为其中一个变量中的每个(子)标题添加一个变量/列。 例如此类数据 library("tibble") aaa aaa # A tibb
我有几个菜单,可以在单击时向当前链接添加变量。这是一个例子: 1 2 3 x y z 我的问题是,如果我选择“y”2次,它会添加“&cord=y”2次。相反,我希望它替
我有两个项目:一个服务项目和一个服务安装程序项目。服务项目具有适合我的产品的装配信息。它包括公司信息和正确的服务名称。一旦服务实际安装,所有这些似乎都会被忽略。安装服务时,它使用在服务安装程序的ini
以下代码何时可能产生副作用? @some = map { s/xxx/y/; $_ } @some; perlcritic 将其解释为危险的,因为例如: @other = map { s/xxx/y/
我想知道以下哪种解决方案更好:我想修改一些 .class 文件,我意识到有两种方法可以做到这一点: 反编译.class文件,修改它,最后再次编译。 - 直接用十六进制编辑器修改。 谢谢 最佳答案 在这
这是我的按钮代码 onclick 我希望我的程序等待用户单击一个 JPanel,并且当用户单击 JPanel 时,它应该在控制台上打印其名称。 此按钮代码未显示输出 JPopupMenu popu
我正在使用一个具有“getName()”方法的特定 API。 getName() 返回一个字符串。是否可以修改该字符串? API 中不包含修饰符方法,并且 String getName() 返回的是私
我是一名优秀的程序员,十分优秀!