个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我现在正在系统编程课上做一个处理缓冲区溢出的练习。由于我无法正确格式化问题陈述,因此我将对其进行解释。我们有一个大小为 512 个字符的缓冲区。调用名为 getbufn 的函数分配此缓冲区,然后调用 Gets() 函数来接收输入。输入以十六进制值的形式出现在由空格分隔的文本文档中,该文本文档通过另一个提供的程序运行以生成输入。一旦输入通过 gets 输入到缓冲区,getbufn 设置 eax = 1 并返回到一个测试函数,该函数检查堆栈是否已损坏。
现在我已经让这个工作了。在最后一个问题中,缓冲区大小为 32,并且设置了堆栈。现在堆栈可以移动了。调用 getbufn 的代码首先在堆栈上分配随机数量的存储空间,这样如果您在两次连续执行 getbufn 期间对 %ebp 的值进行采样,您会发现它们的差异高达 ±240。所以我们需要使用 NOP sled 来使我们的代码工作。
首先,这里是 getbufn 函数:
80491e8: 55 push %ebp
80491e9: 89 e5 mov %esp,%ebp
80491eb: 81 ec 18 02 00 00 sub $0x218,%esp
80491f1: 8d 85 f8 fd ff ff lea -0x208(%ebp),%eax
80491f7: 89 04 24 mov %eax,(%esp)
80491fa: e8 db fa ff ff call 8048cda <Gets>
80491ff: b8 01 00 00 00 mov $0x1,%eax
8049204: c9 leave
8049205: c3 ret
8049206: 90 nop
8049207: 90 nop
我发现了一些事情。当在地址 0x8049205 调用 ret 时,esp = 0x556832F4。所以我知道返回地址在那里。在 lea 之后的 mov 指令中,ebp 总是等于 0x556832F0(所以我不知道我的教授所说的移动 240 是什么意思),而 eax 总是等于 0x556830e8。这对我来说意味着我的数组从 0x556830e8 开始到 0x556832E8 结束。然后为了获得返回地址,我还需要写入 12 个字节才能到达 0x556832F4。那么最后的 4 个字节应该是 NOP sled 中间的地址。
所以现在我拥有的是大约 500 NOP OPS,然后是缓冲区末尾的代码——这使得总大小为 512 来填充数组。然后我有 12 个字节的十六进制,它们与缓冲区溢出前这些地址的原始堆栈中的内容相匹配。然后,当在 getbufn 结束时执行返回指令时,我还有 4 个字节指向 NOP sled 中间的地址。由于某种原因,这不起作用。如果我在我的数组和返回地址之间放置 5 个字节的垃圾,我就会知道堆栈已损坏。如果我在我的数组和返回值之间放置 6 个字节的垃圾,我会得到一个段错误。在我的计算中,我认为我需要 12 个字节才能从我的数组到达返回地址,那么我在这里做错了什么?
最佳答案
这听起来很像 Bryant 和 O'Hallaron 的 CS:APP 缓冲区溢出实验室,也听起来像是最后一关。
让我给你一些建议:
$ebp 的差异不会超过 +/- 240 字节。了解所有这些后,您可以执行以下操作:
$esp 并向 $esp 添加 512 字节(或缓冲区的实际大小) > 这将为您提供您覆盖的已保存 $ebp 的值。然后,您可以进行一些计算,并将垃圾 ebp 替换为您刚刚计算出的正确值。进一步解释一些事情。为什么我们需要缓冲区中的 NOP (\x90)?由于基地址按 +/- 240 字节随机化,缓冲区大小为 512 字节,因此您可以进行计算并确定性地始终返回缓冲区中的某个位置。当您返回到缓冲区中的某处时,它将命中 NOPS (\x90) 并滑入您的 shell 代码。
如果您有任何其他问题,请随时提出。
关于c - 缓冲区溢出问题 : array is shorter than it should be?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20181969/
26
4
0
关闭。这个问题是off-topic .它目前不接受答案。 想要改进这个问题? Update the question所以它是on-topic用于堆栈溢出。 关闭 12 年前。 Improve thi
我有一个动态网格,其中的数据功能需要正常工作,这样我才能逐步复制网格中的数据。假设在第 5 行中,我输入 10,则从第 6 行开始的后续行应从 11 开始读取,依此类推。 如果我转到空白的第一行并输入
我有一个关于我的按钮消失的问题 我已经把一个图像作为我的按钮 用这个函数动画 function example_animate(px) { $('#cont
我有一个具有 Facebook 连接和经典用户名/密码登录的网站。目前,如果用户单击 facebook_connect 按钮,系统即可运行。但是,我想将现有帐户链接到 facebook,因为用户可以选
我有一个正在为 iOS 开发的应用程序,该应用程序执行以下操作 加载和设置注释并启动核心定位和缩放到位置。 map 上有很多注释,从数据加载不会花很长时间,但将它们实际渲染到 map 上需要一段时间。
我被推荐使用 Heroku for Ruby on Rails 托管,到目前为止,我认为我真的会喜欢它。只是想知道是否有人可以帮助我找出问题所在。 我按照那里的说明在该网站上创建应用程序,创建并提交
我看过很多关于 SSL 错误的帖子和信息,我自己也偶然发现了一个。 我正在尝试使用 GlobalSign CA BE 证书通过 Android WebView 访问网页,但出现了不可信错误。 对于大多
我想开始使用 OpenGL 3+ 和 4,但我在使用 Glew 时遇到了问题。我试图将 glew32.lib 包含在附加依赖项中,并且我已将库和 .dll 移动到主文件夹中,因此不应该有任何路径问题。
我已经盯着这两个下载页面的源代码看了一段时间,但我似乎找不到问题。 我有两个下载页面,一个 javascript 可以工作,一个没有。 工作:http://justupload.it/v/lfd7不是
我一直在使用 jQuery,只是尝试在单击链接时替换文本字段以及隐藏/显示内容项。它似乎在 IE 中工作得很好,但我似乎无法让它在 FF 中工作。 我的 jQuery: $(function() {
我正在尝试为 NDK 编译套接字库,但出现以下两个错误: error: 'close' was not declared in this scope 和 error: 'min' is not a m
我正在使用 Selenium 浏览器自动化框架测试网站。在测试过程中,我切换到特定的框架,我们将其称为“frame_1”。后来,我在 Select 类中使用了 deselectAll() 方法。不久之
我正在尝试通过 Python 创建到 Heroku PostgreSQL 数据库的连接。我将 Windows10 与 Python 3.6.8 和 PostgreSQL 9.6 一起使用。 我从“ht
我有一个包含 2 列的数据框,我想根据两列之间的比较创建第三列。 所以逻辑是:第 1 列 val = 3,第 2 列 val = 4,因此新列值什么都没有 第 1 列 val = 3,第 2 列 va
我想知道如何调试 iphone 5 中的 css 问题。 我尝试使用 firelite 插件。但是从纵向旋转到横向时,火石占据了整个屏幕。 有没有其他方法可以调试 iphone 5 中的 css 问题
所以我有点难以理解为什么这不起作用。我正在尝试替换我正在处理的示例站点上的类别复选框。我试图让它做以下事情:未选中时以一种方式出现,悬停时以另一种方式出现(选中或未选中)选中时以第三种方式出现(而不是
Javascript CSS 问题: 我正在使用一个文本框来写入一个 div。我使用以下 javascript 获取文本框来执行此操作: function process_input(){
你好,我很难理解 P、NP 和多项式时间缩减的主题。我试过在网上搜索它并问过我的一些 friend ,但我没有得到任何好的答案。 我想问一个关于这个话题的一般性问题: 设 A,B 为 P 中的语言(或
你好,我一直在研究 https://leetcode.com/problems/2-keys-keyboard/并想到了这个动态规划问题。 您从空白页上的“A”开始,完成后得到一个数字 n,页面上应该
我正在使用 Cocoapods 和 KIF 在 Xcode 服务器上运行持续集成。我已经成功地为一个项目设置了它来报告每次提交。我现在正在使用第二个项目并收到错误: Bot Issue: warnin
我是一名优秀的程序员,十分优秀!