栈溢出利用——修改邻接变量
来源:互联网 发布:数据库 增删查改 编辑:程序博客网 时间:2024/06/06 10:47
原理:一般情况下函数的局部变量在栈中一个挨着一个排列,如果这些局部变量中有数组之类的缓冲区,并且程序中存在数组越界的缺陷,那么越界的数组元素就有可能破坏栈中相邻变量的值,甚至破坏栈帧中所保存的EBP值、返回地址等重要数据。
实践心得:首先使用OD打开PE文件,然后F8单步执行,当到需要输入密码的的时候输入一个不合法的字符串,例如qqqqqqq测试,回车以后返回到OD,然后在OD中可以看到程序要调用函数:call 语句,这个时侯使用F7进入,如果现在跳过了就完了。F7跟进以后我们再使用F8单步执行。这个时侯我们注意观察,函数同样又要调用函数进行比较了,当调用函数的时候我们又使用F7跟进,然后进行详细的分析。其实每个调用的函数我们都可以跟进,只是看是否有那样的必要。但是对于关键的函数我们是必须跟进的,要不然是找不到我们想要找到的东西。例如在我看书的时候,书本上本来是写着默默地址的,可是使用Ctrl+R查找根本就不是那么一回事啊。对应的地址就没有那条语句,后来仔细想了一下应该是在函数调用中的地址吧,后来就感觉应该跟进的地方跟进了,然后满满分析,哈哈,终于看见书中所说的东西了哦。呵呵,那个高兴啊。说实话真的像有的图书每一个细节都写到了还是不怎么好的啊,那不是明白着作者将我们当白痴了吗?这样自己去探索这的东西自己才会真正理解,才会真正将其变成自己的东西哦。下面将源代码发一下,如果有兴趣的人看到了,可以试试如何搞定。漏洞在哪里?
#include <stdio.h>
#include "string.h"
#define PASSWORD "1234567"
int verify_password (char *password)
{
int authenticated;
char buffer[8];
authenticated=strcmp(password,PASSWORD);
strcpy(buffer,password);
return authenticated;
}
void main()
{
int valid_flag=0;
char password[1024];
while(1)
{
printf("please intput password: ");
scanf("%s",password);
valid_flag = verify_password(password);
if(valid_flag)
{
printf("incorrect password! /n/n");
}
else
{
printf("Congratulation! You have passed the verifcation! /n");
break;
}
}
}
说明:以上就是分析的代码了,非常简单的一个例子,从这里我们可以看到从控制台获取一段字符串,然后和设定的1234567对照,然后返回一个值赋给authenticated,main函数根据返回的值是0或者是1来判断是合法的还是非法的输入。看似可以实现,当然程序是能够正常的运行的,可是是否有能够不使用“1234567”就通过验证呢?也就是是否存在漏洞呢?认真看一下!
char buffer[8];
char password[1024];
strcpy(buffer,password);
从上面三个语句中不难看出来存在很大的危险哦,为什么呢?从利用原理中我们已经知道了,这几个句子已经是条件满足了,那样的话是不是就可以实现这样利用了呢?当然了,buffer[8]是用来存储用户输入的数据,如果用户输入输入大于8位,那么终将把数组冲破,从而破坏了与其相邻的变量值,如果我们写入1234567890,那么buffer中可能存储这的是1345678,而其后的变量中可能就被写入了NLL90的值了哦。但是这样也不对哦,因为其后的变量恰好是authenticated这样authenticated中的有值的话,返回的值同样不是0,这样提示任然是不合法的输入。所以想一个办法哦,如何使authenticated的值为0?因为在buffer中最后一位是结束标记NULL,所以是否能通过输入将buffer中的NULL值挤到相邻变量authenticated中去呢?答案是肯定的哦。如果我们输入8个字符,但是要大于1234567的值,那样就填满了buffer的空间了,NULL毫无疑问的被挤到了authenticated中去了哦。这个时候authenticated的值就是0了,正是我们想要的,所以现在无论authenticated在前面strcmp函数中获取的是什么值都将被改成为0,都将通过验证了。这就是所谓的漏洞了。
注意:输入的值一定是8位且值一定要大于1234567,要不然填不满buffer的话,NULL是不会被放到authenticated中去的。
- 栈溢出利用——修改邻接变量
- ch2:栈溢出,修改邻接变量,修改函数返回地址
- 缓冲区溢出利用——理论篇
- 2.栈溢出简单利用
- 栈溢出中利用SEH
- 栈溢出利用--预备知识
- 栈溢出漏洞利用小结
- 邻接表—DFS
- 经典栈溢出利用详解一例—Notepad++插件CCompletion
- JVM进阶(四)——利用MAT排查堆溢出
- JVM进阶(四)——利用MAT排查堆溢出
- 利用指针修改静态变量的值
- 邻接变量改写
- 【0Day】栈溢出漏洞基础——简单输入漏洞 & 修改返回函数
- 局部变量太大导致栈溢出
- stm32局部变量过大,导致栈溢出
- 有关栈溢出漏洞的利用
- 栈溢出利用之DynELF实例
- IDocHostUIHandler
- 写在2008年的最后一天
- 多普达568从WM5/WM6降回2003详细图文教程
- 人生经典定律[收藏]
- vc界面换肤程序源代码
- 栈溢出利用——修改邻接变量
- ZZfromCU点评Linux难称完美的几大命门
- SSL安全认证存重大漏洞 网银电子商务皆不可轻信
- 平台上交易平淡 Facebook搁置网上支付项目开发
- 《新闻联播》发展历史
- 书评《Deploying Messaging Solutions with Microsoft Exchange Server 2007》
- 互联网内容产业永远有机会
- 我一个人不孤单~~~
- 过年了,我们一起重装系统!
