今天老师给了一到程序,让我们分析分析原理,关于strcpy缓存溢出原理的,反汇编一遍遍调试,终于看明白了,记录一下
C程序:
#include "string.h"#include "stdio.h"char *shellcode="\x64\x65\x66\x67\x68\x69\x70\x71\x05\x10\x40\x00";void fun1(int a, int b){printf("fun1 run!para a=%d,b=%d\n",a,b);}void fun2(int a){printf("fun2 run! para a=%d\n",a);}void fun3(int a,int b,int c){printf("fun3 run! para a=%d,b=%d,c=%d\n",a,b,c);}int main(int argc, char* argv[]){printf("begin\n");char a[4]={0};strcpy(a,shellcode);fun1(2,3);fun2(4);fun3(4,5,6);return 0;}
运行结果:
可以看出,按照正常的C的话,fun2函数应该只会执行一次,但执行了两次,事出反常必有妖,让我们来分析一下,反汇编:
当程序执行strcpy前,a的值是0x0019ff2c,这个是地址,存放的是0000000,在这里我们要特别注意0019ff30和0019ff34地址里面的值,后面执行fun2会用到
执行完strcpy后,a内容是地址为0x0019ff2c存放的值,我们可以看到0019ff30和0019ff34地址存放的内容发生了改变,这个时候我们再看C程序中shellcode数组的值:
char *shellcode="\x64\x65\x66\x67\x68\x69\x70\x71\x05\x10\x40\x00";
发现0x0019ff2c到0019ff34存放的数据就是这些值,而且0019ff30和0019ff34存放的数据被这些覆盖了。a数组大小为4,shellcode是12,a的数组存放不了shellcode的值,而strcpy函数不会检查要复制的内容的大小,只管把要复制的内容复制过来,内存不够,覆盖内存中其他数据。
当执行完fun3是,按说应该程序结束,来让我们看看,为什么fun2还会执行
当执行到pop ebp是,当前esp的值为0019ff30,内容为68697071,执行完后ebp的值就是68697071,ebp的值原本不是这个,因为使用strcpy把原本的内容覆盖了
当执行到ret时,这个时候我们就要注意了,因为执行完这条语句就会去执行fun2函数,ret指令相当于执行:
pop eip
这个时候esp的值为0019ff34,内容为00401005,执行ret后eip=00401005
我们来看看fun2函数地址,是00401005,这就是为什么执行完fun3回去执行fun2
总结:
strcpy 函数不对数组边界进行检查,只管把要复制的内容复制过来,内存不够,覆盖内存中其他数据,很容易造成缓冲区溢出的漏洞shellcode数组里的值一共12位,最后ret语句会把最后4位赋值给eip,我们可以利用这个跳转到我们想要执行的代码处向缓冲区内填充数据,如果数据的长度很长,超过了缓冲区本身的容量,那么数据就会溢出存储空间,而这些溢出的数据还会覆盖在合法的数据上,这就是缓冲区和缓冲区溢出的道理。参考
/yahohi/article/details/7724669
/xiaoyuai1234/article/details/52121588
