Как я могу вызвать переполнение буфера?
Я получил домашнее задание с просьбой вызвать функцию, не вызывая ее явно, используя переполнение буфера. Код в основном это:
#include <stdio.h>
#include <stdlib.h>
void g()
{
printf("now inside g()!\n");
}
void f()
{
printf("now inside f()!\n");
// can only modify this section
// cant call g(), maybe use g (pointer to function)
}
int main (int argc, char *argv[])
{
f();
return 0;
}
Хотя я не уверен, что делать дальше. Я думал об изменении адреса возврата для счетчика программы, чтобы он перешел непосредственно к адресу g(), но я не уверен, как получить к нему доступ. В любом случае, советы будут отличными.
5 ответов
Основная идея состоит в том, чтобы изменить адрес возврата функции, чтобы при возврате функция продолжала выполняться по новому взломанному адресу. Как это сделал Нильс в одном из ответов, вы можете объявить часть памяти (обычно массив) и переполнить ее таким образом, чтобы адрес возврата также был перезаписан.
Я бы посоветовал вам не принимать вслепую ни одну из программ, представленных здесь, не понимая, как они работают. Эта статья очень хорошо написана, и вы найдете ее очень полезной:
Это зависит от компилятора, поэтому однозначного ответа дать нельзя.
Следующий код сделает то, что вы хотите для gcc 4.4.1. Компиляция с отключенными оптимизациями (важно!)
#include <stdio.h>
#include <stdlib.h>
void g()
{
printf("now inside g()!\n");
}
void f()
{
int i;
void * buffer[1];
printf("now inside f()!\n");
// can only modify this section
// cant call g(), maybe use g (pointer to function)
// place the address of g all over the stack:
for (i=0; i<10; i++)
buffer[i] = (void*) g;
// and goodbye..
}
int main (int argc, char *argv[])
{
f();
return 0;
}
Выход:
nils@doofnase:~$ gcc overflow.c
nils@doofnase:~$ ./a.out
now inside f()!
now inside g()!
now inside g()!
now inside g()!
now inside g()!
now inside g()!
now inside g()!
Segmentation fault
Поскольку это домашняя работа, я хотел бы повторить предложение codeaddict о том, как на самом деле работает переполнение буфера.
Я изучил эту технику, прочитав отличную (если немного устаревшую) статью / руководство по использованию уязвимостей переполнения буфера Smashing The Stack For Fun and Profit.
Попробуй это:
void f()
{
void *x[1];
printf("now inside f()!\n");
// can only modify this section
// cant call g(), maybe use g (pointer to function)
x[-1]=&g;
}
или этот:
void f()
{
void *x[1];
printf("now inside f()!\n");
// can only modify this section
// cant call g(), maybe use g (pointer to function)
x[1]=&g;
}
Хотя это решение не использует метод переполнения для перезаписи адреса возврата функции в стеке, оно все же вызывает g() позвонить из f() на обратном пути к main() только изменяя f() и не звонит g() непосредственно.
Добавлена функция эпилог- подобная встроенная сборка f() изменить значение обратного адреса в стеке так, чтобы f() вернется через g(),
#include <stdio.h>
void g()
{
printf("now inside g()!\n");
}
void f()
{
printf("now inside f()!\n");
// can only modify this section
// cant call g(), maybe use g (pointer to function)
/* x86 function epilogue-like inline assembly */
/* Causes f() to return to g() on its way back to main() */
asm(
"mov %%ebp,%%esp;"
"pop %%ebp;"
"push %0;"
"ret"
: /* no output registers */
: "r" (&g)
: "%ebp", "%esp"
);
}
int main (int argc, char *argv[])
{
f();
return 0;
}Понимание того, как работает этот код, может привести к лучшему пониманию того, как настраивается фрейм стека функции для конкретной архитектуры, которая лежит в основе методов переполнения буфера.