环境:Ubuntu 9.10 kernel 2.6.31 gcc版本:4.4.1
这个是csapp 《深入理解计算机系统》的一道题,直接在原程序运行的时候实现缓存区溢出攻击已经不可能实现了,除非你是用的版本很低的内核和gcc,如gcc 3.4.3。
先是王珑珑同学做这道题,我也跟着做了下,花了挺长时间,这期间很感谢王珑珑同学的耐心讲解,thanks~~~
原题如下:
/* Bomb program that is solved using a buffer overflow attack */
#include <stdio.h>
#include <stdlib.h>
#include <ctype.h>
/* Like gets, except that characters are typed as pairs of hex digits.
Nondigit characters are ignored. Stops when encounters newline */
char *getxs(char *dest)
{
int c;
int even = 1; /* Have read even number of digits */
int otherd = 0; /* Other hex digit of pair */
char *sp = dest;
while ((c = getchar()) != EOF && c != '\n') {
if (isxdigit(c)) {
int val;
if ('0' <= c && c <= '9')
val = c - '0';
else if ('A' <= c && c <= 'F')
val = c - 'A' + 10;
else
val = c - 'a' + 10;
if (even) {
otherd = val;
even = 0;
} else {
*sp++ = otherd * 16 + val;
even = 1;
}
}
}
*sp++ = '\0';
return dest;
}
/* $begin getbuf-c */
int getbuf()
{
char buf[12];
getxs(buf);
return 1;
}
void test()
{
int val;
printf("Type Hex string:");
val = getbuf();
printf("getbuf returned 0x%x\n", val);
}
/* $end getbuf-c */
int main()
{
int buf[16];
/* This little hack is an attempt to get the stack to be in a
stable position
*/
int offset = (((int) buf) & 0xFFF);
int *space = (int *) alloca(offset);
*space = 0; /* So that don't get complaint of unused variable */
test();
return 0;
}
正常时程序退出时总是返回1,现在要求通过缓存区溢出,让程序返回0xdeadbeef。
注:(由于现在gcc在代码汇编代码中添加了%gs的缓存区溢出验证机制,所以如果gcc的版本较高,本实验只能在gdb下完成)
下面的网址是王珑珑童鞋的实现方式,他的gcc版本是4.3.3:(通过在缓存区中植入一段攻击代码,然后让getbuf() ret到缓存区攻击代码出,最后让攻击代码返回text())。如果在gcc 4.4.1,4.3.2,3.4.3下用这种方法会报“段错误”(因为是从代码断跳转到了堆栈段)。
下面是实现缓存区溢出攻击的另一种方式。
输入:|任意十二个字符的编码||%gs:0x14||任意8个字符的编码||getbuf栈贞的基地 址||text()中第二个printf()的地址||01 00 00 00 ||71 87 04 08||ef be ad de|
下面解释为什么用输入上面哪些字符来实现缓存区溢出攻击。
用gcc编译生成buffbomb.c的可执行程序后,用objdump反汇编发现getbuf的函数如下:
080485c0 <getbuf>:
215 80485c0: 55 push %ebp
216 80485c1: 89 e5 mov %esp,%ebp
217 80485c3: 83 ec 28 sub $0x28,%esp
218 80485c6: 65 a1 14 00 00 00 mov %gs:0x14,%eax
219 80485cc: 89 45 f4 mov %eax,-0xc(%ebp)
220 80485cf: 31 c0 xor %eax,%eax
221 80485d1: 8d 45 e8 lea -0x18(%ebp),%eax
222 80485d4: 89 04 24 mov %eax,(%esp)
223 80485d7: e8 44 ff ff ff call 8048520 <getxs>
224 80485dc: b8 01 00 00 00 mov $0x1,%eax
225 80485e1: 8b 55 f4 mov -0xc(%ebp),%edx
226 80485e4: 65 33 15 14 00 00 00 xor %gs:0x14,%edx
227 80485eb: 75 02 jne 80485ef <getbuf+0x2f>
228 80485ed: c9 leave
229 80485ee: c3 ret
230 80485ef: 90 nop
231 80485f0: e8 57 fe ff ff call 804844c <__stack_chk_fail@plt>
232 80485f5: 8d 74 26 00 lea 0x0(%esi,%eiz,1),%esi
233 80485f9: 8d bc 27 00 00 00 00 lea 0x0(%edi,%eiz,1),%edi