个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我现在正在系统编程课上做一个处理缓冲区溢出的练习。由于我无法正确格式化问题陈述,因此我将对其进行解释。我们有一个大小为 512 个字符的缓冲区。调用名为 getbufn 的函数分配此缓冲区,然后调用 Gets() 函数来接收输入。输入以十六进制值的形式出现在由空格分隔的文本文档中,该文本文档通过另一个提供的程序运行以生成输入。一旦输入通过 gets 输入到缓冲区,getbufn 设置 eax = 1 并返回到一个测试函数,该函数检查堆栈是否已损坏。
现在我已经让这个工作了。在最后一个问题中,缓冲区大小为 32,并且设置了堆栈。现在堆栈可以移动了。调用 getbufn 的代码首先在堆栈上分配随机数量的存储空间,这样如果您在两次连续执行 getbufn 期间对 %ebp 的值进行采样,您会发现它们的差异高达 ±240。所以我们需要使用 NOP sled 来使我们的代码工作。
首先,这里是 getbufn 函数:
80491e8: 55 push %ebp
80491e9: 89 e5 mov %esp,%ebp
80491eb: 81 ec 18 02 00 00 sub $0x218,%esp
80491f1: 8d 85 f8 fd ff ff lea -0x208(%ebp),%eax
80491f7: 89 04 24 mov %eax,(%esp)
80491fa: e8 db fa ff ff call 8048cda <Gets>
80491ff: b8 01 00 00 00 mov $0x1,%eax
8049204: c9 leave
8049205: c3 ret
8049206: 90 nop
8049207: 90 nop
我发现了一些事情。当在地址 0x8049205 调用 ret 时,esp = 0x556832F4。所以我知道返回地址在那里。在 lea 之后的 mov 指令中,ebp 总是等于 0x556832F0(所以我不知道我的教授所说的移动 240 是什么意思),而 eax 总是等于 0x556830e8。这对我来说意味着我的数组从 0x556830e8 开始到 0x556832E8 结束。然后为了获得返回地址,我还需要写入 12 个字节才能到达 0x556832F4。那么最后的 4 个字节应该是 NOP sled 中间的地址。
所以现在我拥有的是大约 500 NOP OPS,然后是缓冲区末尾的代码——这使得总大小为 512 来填充数组。然后我有 12 个字节的十六进制,它们与缓冲区溢出前这些地址的原始堆栈中的内容相匹配。然后,当在 getbufn 结束时执行返回指令时,我还有 4 个字节指向 NOP sled 中间的地址。由于某种原因,这不起作用。如果我在我的数组和返回地址之间放置 5 个字节的垃圾,我就会知道堆栈已损坏。如果我在我的数组和返回值之间放置 6 个字节的垃圾,我会得到一个段错误。在我的计算中,我认为我需要 12 个字节才能从我的数组到达返回地址,那么我在这里做错了什么?
最佳答案
这听起来很像 Bryant 和 O'Hallaron 的 CS:APP 缓冲区溢出实验室,也听起来像是最后一关。
让我给你一些建议:
$ebp 的差异不会超过 +/- 240 字节。了解所有这些后,您可以执行以下操作:
$esp 并向 $esp 添加 512 字节(或缓冲区的实际大小) > 这将为您提供您覆盖的已保存 $ebp 的值。然后,您可以进行一些计算,并将垃圾 ebp 替换为您刚刚计算出的正确值。进一步解释一些事情。为什么我们需要缓冲区中的 NOP (\x90)?由于基地址按 +/- 240 字节随机化,缓冲区大小为 512 字节,因此您可以进行计算并确定性地始终返回缓冲区中的某个位置。当您返回到缓冲区中的某处时,它将命中 NOPS (\x90) 并滑入您的 shell 代码。
如果您有任何其他问题,请随时提出。
关于c - 缓冲区溢出问题 : array is shorter than it should be?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20181969/
26
4
0
我有一个 div(蓝色框),它在父元素(红色框)内的页面上绝对定位,我需要将 overflow-y 设置为隐藏,以便它强制 Y 轴上的溢出内容切掉了,但我希望任何溢出-x 的内容都可见。 HTML:
请参阅以下帖子以获取突出显示我的问题和可能的解决方案的图片: CSS overflow-y:visible, overflow-x:scroll 但是,当您实际移动滚动条时,此策略会中断。在建议的实现
我在搜索中看到过几个类似的问题,但要么没有正确回答问题,要么没有给出答案。所以,我再问一次。 .parent { overflow-y:scroll; overflow-x:visible; wid
我读过这个CSS overflow-x hidden and overflow-y visible (以及很多其他帖子)但我无法在我的具体情况下使用它。 我正在使用 slick-slider并想添加下
我有以下 Spark 作业,试图将所有内容保留在内存中: val myOutRDD = myInRDD.flatMap { fp => val tuple2List: ListBuffer[(St
我有疑问 两个16位的值加上最大值,16位机会不会溢出? 我会详细说明 unsigned short a; unsigned short b; unsigned long c; c=(unsigne
我有这个 HTML 和 CSS,但“溢出:隐藏”标签在 Firefox 中不起作用。这让我感到难过...有人知道为什么它不起作用吗?是因为A标签不支持overflow标签吗? #page_sideba
我正在开发一个程序,用于在 C++ 中分解非常大的数字(20 位或更多),并且正在使用 GMP 来处理溢出问题。我的程序对于大约 10 位或更少的数字运行良好,但是当我向它抛出一个 15 位数字时,它
我创建了一个 Canvas ,并在其中放置了一个StackPanel。 StackPanel是水平的,它接受缩略图图像的列表。 Canvas 具有固定的大小。当我放置的缩略图多于Canvas宽度不能容
当 g_array_append_val() 时会发生什么或 GLib 中的其他附加/前置函数之一,使 GArray 的长度大于 guint (unsigned int) 所能容纳的长度? 文档对此没
overflow-x:hidden 和 overflow:hidden; 有什么区别? 我所知道的是overflow-x:hidden;禁用水平滚动,但当我使用它时,它不仅仅适用于 Firefox,所
我们正在运行 Solr 来索引大量数据,但遇到了一个非常有趣的问题,我无法在任何地方找到任何帮助。 似乎 Solr 使用带符号的 32 位整数来计算索引中当前的文档数。我们刚刚达到了这个数字,我们的
这是我的查询: 从相似性中选择 COUNT(*),其中 T1Similarity = 0 或 T2Similarity = 0 结果如下: Msg 8115, Level 16, State 2, L
int main(void) { char x1 = 0x81; char x2 = 0x1; int a, b; a = x1
我有一个 div,其中的内容通过查询的 append() 定期附加到它。随着内容越来越长,最终会溢出div。我不希望在溢出时出现滚动条,但仍然让内容向上滚动以显示下面的新内容。 这可能吗?当我使用 o
我为 UITextField 创建了一个简单的子类,它按预期工作。我遇到的唯一问题是当文本值变得太大时,它会溢出到清除按钮中。 我似乎无法找到如何仅更改文本的右侧以具有一些填充而不与清除按钮相交的方法
我想要一个包括下拉菜单的粘性导航栏。但是,当我将鼠标悬停在它上面时,下拉菜单没有显示。 如果我删除 overflow: hidden;在无序列表中,当我向下滚动时,导航栏设法保持在顶部,但是导航栏是不
我正在研究一些按钮。我想要一个翻转状态,我在一个 div 的图像中有这个,溢出:隐藏以隐藏不活动的状态。它有时有效,但有时看起来像这样: 最奇怪的是,当我尝试使用 Chrome Web Inspect
基本上,我正在尝试创建一个六边形形状,它内部有一个圆圈,圆圈的多余部分应该被隐藏。演示:https://codepen.io/AskSaikatSinha/pen/jwXNPJ?editors=110
这似乎是一个相当常见且不那么奇特的用例,但我以前没有遇到过。我设置了一支笔,但无法在那里复制它,我正在努力找出原因。 Demo Pen 左侧边栏有一个用于元素列表的自定义滚动窗口,但是虽然设置 ove
我是一名优秀的程序员,十分优秀!