linux - 堆栈溢出 - 奇怪的返回地址-6ren

linux - 堆栈溢出 - 奇怪的返回地址

转载作者：塔克拉玛干更新时间：2023-11-02 23:41:40

24

4

我正在研究“The Shellcoder's Handbook”中的一个例子。然而，它并没有那么顺利。我正在运行 Debian 2.6.32-5-686 内核，i386。

以下演练旨在引导读者了解发生缓冲区溢出时发生的情况。

程序:

include <stdio.h>
include <string.h>

void return_input(void)
{
    char array[30];
    gets (array);
    printf("%s\n", array);
}

int main ()
{
    return_input();
    return 0;
}

游戏的目标是将“AAAAAAAAAAABBBBBBBBBCCCCCCCCCCDDDDDDDDDDDD”传递给数组，而数组又会用多余的“D”覆盖返回地址。

我是这样编译的:

gcc -ggdb -m32 -o test -fno-stack-protector -mpreferred-stack-boundary=2 test.c

我运行 gdb test 并开始调查:

(gdb) disas return_input 
Dump of assembler code for function return_input:
0x080483f4 <return_input+0>:    push   %ebp
0x080483f5 <return_input+1>:    mov    %esp,%ebp
0x080483f7 <return_input+3>:    sub    $0x24,%esp
0x080483fa <return_input+6>:    lea    -0x1e(%ebp),%eax
0x080483fd <return_input+9>:    mov    %eax,(%esp)
0x08048400 <return_input+12>:   call   0x804830c <gets@plt>
0x08048405 <return_input+17>:   lea    -0x1e(%ebp),%eax
0x08048408 <return_input+20>:   mov    %eax,(%esp)
0x0804840b <return_input+23>:   call   0x804832c <puts@plt>
0x08048410 <return_input+28>:   leave  
0x08048411 <return_input+29>:   ret    
End of assembler dump.
(gdb) break *0x08048400
Breakpoint 1 at 0x8048400: file test.c, line 7.
(gdb) break *0x08048411
Breakpoint 2 at 0x8048411: file test.c, line 9.

此时我们引入了两个断点。调用 gets 之前的一个。另一个就在函数返回之前。现在我们运行它:

(gdb) run
Starting program: ./test 

Breakpoint 1, 0x08048400 in return_input () at test.c:7
7       gets (array);
(gdb) x/20x $esp
0xbffff3ac: 0xbffff3b2  0xb7fca304  0xb7fc9ff4  0x08048440
0xbffff3bc: 0xbffff3d8  0xb7eb75a5  0xb7ff1040  0x0804844b
0xbffff3cc: 0xb7fc9ff4  0xbffff3d8  *0x0804841a*    0xbffff458
0xbffff3dc: 0xb7e9ec76  0x00000001  0xbffff484  0xbffff48c
0xbffff3ec: 0xb7fe18c8  0xbffff440  0xffffffff  0xb7ffeff4

这是调用 gets 之前堆栈的样子。我用星号 (0x0804841a) 标记了返回地址。让我们覆盖这个:

(gdb) continue
Continuing.
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD

Breakpoint 2, 0x08048411 in return_input () at test.c:9
9   }
(gdb) x/20x 0xbffff3ac
0xbffff3ac: 0xbffff3b2  0x4141a304  0x41414141  0x41414141
0xbffff3bc: 0x42424242  0x42424242  0x43434242  0x43434343
0xbffff3cc: 0x43434343  0x44444444  *0x44444444*    0xbf004444
0xbffff3dc: 0xb7e9ec76  0x00000001  0xbffff484  0xbffff48c
0xbffff3ec: 0xb7fe18c8  0xbffff440  0xffffffff  0xb7ffeff4

上面是从函数返回之前堆栈的样子。如您所见，我们已经用那些多余的“D”覆盖了返回地址。结果。让我们结束吧:

(gdb) x/li $eip
0x8048411 <return_input+29>:    ret    
(gdb) stepi
Cannot access memory at address 0x44444448

嗯，嗯？这个 0x44444448 不知从哪里冒出来的。就在我们返回之前，gcc 以某种方式修改了返回地址。谢谢。

有什么想法吗？我是否正确地假设 gcc 已经完成了自己的内部检查返回地址是否有效。如果不是，它会在其中插入一些废话以防止我们制作令人讨厌的返回地址吗？

有什么办法解决这个问题吗？我在这里尝试了一切 - http://www.madhur.co.in/blog/2011/08/06/protbufferoverflow.html .相同的结果。

最佳答案

这是预期的结果——页面错误。您的程序被操作系统停止，因为您正在访问未分配给任何物理内存的虚拟内存。

您看到的消息只是调试器通知您这一事实。

关于linux - 堆栈溢出 - 奇怪的返回地址，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/8202749/

24

4

0

文章推荐： c - 用于循环条件的 fork() 会产生竞争条件吗？

文章推荐： android - 如何让 Eclipse 手动连接到 Android 模拟器？

文章推荐： java - 基于两列对大文件进行排序

php - 返回 1 返回 0 VS 返回 true 返回 false
按照目前的情况，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the
php - 什么更快？如果()返回；否则返回；或者如果()返回；返回;
在编码时，我问了自己这个问题: 这样更快吗: if(false) return true; else return false; 比这个？ if(false) return true; return
javascript - 以逻辑运算符返回(&& 返回、|| 返回)
如何在逻辑条件下进行“返回”？在这样的情况下这会很有用 checkConfig() || return false; var iNeedThis=doSomething() || return fa
正则表达式 - 如果第一个数字是 1 返回 1 但如果它是 145 返回 145 但如果它的 133 返回 133
这是我的正则表达式 demo 如问题所述: 如果第一个数字是 1 则返回 1 但如果是 145 则返回 145 但如果是 133 则返回 133 样本数据a: K'8134567 K'81345678
c - 返回-返回!在 C
在代码高尔夫问答部分查看谜题和答案时，我遇到了 this solution返回 1 的最长和最晦涩的方法引用答案， int foo(void) { return! 0; } int bar(
java - springboot 返回 responseentity 返回 JSON
我想在下面返回 JSON。 { "name": "jackie" } postman 给我错误。说明 Unexpected 'n' 这里是 Spring Boot 的新手。 1日龄。有没有正确的方法来
python "is"返回 True 但 "=="返回 False
只要“is”返回 True，“==”不应该返回 True 吗？ In [101]: np.NAN is np.nan is np.NaN Out[101]: True In [102]: np.NAN
Mysql 返回 1 如果找到或根本不存在值，如果存在其他值，返回 0
我需要获取所有在 6 号或 7 号房间或根本不在任何房间的学生的详细信息。如果他们在其他房间，简单地说，我不希望有那个记录。我的架构是: students(roll_no, name,class,.
javascript - ajax 返回 true，但 == 返回 false
我有一个表单，我将它发送到 php 以通过 ajax 插入到 mysql 数据库中。一切顺利，php 返回 "true" 值，但在 ajax 中它显示 false 消息。在这里你可以查看php代码:
android - Kotlin 中的奇怪值比较问题， "==="返回 true 但 "=="返回 false
我在 Kotlin 中遇到了一个非常奇怪的无法解释的值比较问题，以下代码打印假 data class Foo ( val a: Byte ) fun main() { val NUM
angular - testability.whenStable() 返回， testability.isStable() 返回 false
请注意，这并非特定于 Protractor。问题在于 Angular 2 的内置 Testability service Protractor 碰巧使用。 Protractor 调用 Testabil
vba - CountA 返回 0，WorksheetFunction.CountA 返回 1
在调试窗口中，以下表达式均返回 1。 Application.WorksheetFunction.CountA(Cells(4 + (i - 1) * rows_per_record, 28) & "
json - OPTIONS 返回 204，POST 返回 200 但数据库中没有输入数据
我在本地使用 jsonplaceholder ( http://jsonplaceholder.typicode.com/)。我正在通过 extjs rest 代理测试我的 GET 和 POST 调用
c# - Restsharp 返回 403 而 Postman 返回 200
这是 Postman 为成功调用我的页面而提供的(修改后的)代码段。 var client = new RestClient("http://sub.example.com/wp-json/wp/v2
php - Mysqli_query 返回 false 而 Mysqli_error 返回 NULL？
这个问题在这里已经有了答案: What to do with mysqli problems? Errors like mysqli_fetch_array(): Argument #1 must
c - Argc 返回 1，argv 返回 NULL，尽管输入了命令行参数
我想我对 C 命令行参数有点生疏。我查看了我的一些旧代码，但无论这个版本是什么，都会出现段错误。运行方式是 ./foo -n num(其中 num 是用户在命令行中输入的数字) 但不知何故它不起作用
c++ - 命名管道 CreateFile() 返回 INVALID_HANDLE_VALUE，GetLastError() 返回 ERROR_PIPE_BUSY
我已经编写了一个类来处理命名管道连接，如果我创建了一个实例，关闭它，然后尝试创建另一个实例，调用 CreateFile() 返回 INVALID_HANDLE_VALUE，并且 GetLastErro
PHP is_writable() 返回 true 但 file_put_contents() 返回 false
即使 is_writable() 返回 true，我也无法写入文件。当然，该文件存在并且显然是可读的。这是代码: $file = "data"; echo file_get_contents($fil
php - SoapClient 返回 "NULL"，但 __getLastResponse() 返回 XML
下面代码中的变量 $response 为 NULL，尽管它应该是 SOAP 请求的值。 (潮汐列表)。当我调用 $client->__getLastResponse() 时，我从 SOAP 服务获得了
c - LoadImage() 返回 NULL 和 GetLastError() 返回 0
我一直在网上的不同论坛上搜索答案，但似乎没有与我的情况相符的... 我正在使用 Windows 7，VS2010。我有一个使用定时器来调用任务栏刷新功能的应用程序。在该任务栏函数中包含对 LoadI

首页

博学

6Ren·AI

商城

linux - 堆栈溢出 - 奇怪的返回地址