Я пробираюсь через пример из «Руководства шелкодера». Однако не все так хорошо. Я использую ядро Debian 2.6.32-5-686, i386.
Следующее пошаговое руководство поможет читателю разобраться в том, что происходит, когда происходит переполнение буфера.
Программа:
include <stdio.h>
include <string.h>
void return_input(void)
{
char array[30];
gets (array);
printf("%s\n", array);
}
int main ()
{
return_input();
return 0;
}
Цель игры состоит в том, чтобы передать «AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD» в массив, который, в свою очередь, перезапишет адрес возврата избыточными буквами «D».
Я скомпилировал так:
gcc -ggdb -m32 -o test -fno-stack-protector -mpreferred-stack-boundary=2 test.c
Я запускаю gdb test и начинаю расследование:
(gdb) disas return_input
Dump of assembler code for function return_input:
0x080483f4 <return_input+0>: push %ebp
0x080483f5 <return_input+1>: mov %esp,%ebp
0x080483f7 <return_input+3>: sub $0x24,%esp
0x080483fa <return_input+6>: lea -0x1e(%ebp),%eax
0x080483fd <return_input+9>: mov %eax,(%esp)
0x08048400 <return_input+12>: call 0x804830c <gets@plt>
0x08048405 <return_input+17>: lea -0x1e(%ebp),%eax
0x08048408 <return_input+20>: mov %eax,(%esp)
0x0804840b <return_input+23>: call 0x804832c <puts@plt>
0x08048410 <return_input+28>: leave
0x08048411 <return_input+29>: ret
End of assembler dump.
(gdb) break *0x08048400
Breakpoint 1 at 0x8048400: file test.c, line 7.
(gdb) break *0x08048411
Breakpoint 2 at 0x8048411: file test.c, line 9.
В этот момент мы ввели две точки разрыва. Один прямо перед звонком на gets. И еще один перед тем, как функция вернется. Теперь мы запускаем его:
(gdb) run
Starting program: ./test
Breakpoint 1, 0x08048400 in return_input () at test.c:7
7 gets (array);
(gdb) x/20x $esp
0xbffff3ac: 0xbffff3b2 0xb7fca304 0xb7fc9ff4 0x08048440
0xbffff3bc: 0xbffff3d8 0xb7eb75a5 0xb7ff1040 0x0804844b
0xbffff3cc: 0xb7fc9ff4 0xbffff3d8 *0x0804841a* 0xbffff458
0xbffff3dc: 0xb7e9ec76 0x00000001 0xbffff484 0xbffff48c
0xbffff3ec: 0xb7fe18c8 0xbffff440 0xffffffff 0xb7ffeff4
Так выглядит стек перед вызовом gets. Я пометил обратный адрес звездочкой (0x0804841a). Давайте перепишем это:
(gdb) continue
Continuing.
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD
Breakpoint 2, 0x08048411 in return_input () at test.c:9
9 }
(gdb) x/20x 0xbffff3ac
0xbffff3ac: 0xbffff3b2 0x4141a304 0x41414141 0x41414141
0xbffff3bc: 0x42424242 0x42424242 0x43434242 0x43434343
0xbffff3cc: 0x43434343 0x44444444 *0x44444444* 0xbf004444
0xbffff3dc: 0xb7e9ec76 0x00000001 0xbffff484 0xbffff48c
0xbffff3ec: 0xb7fe18c8 0xbffff440 0xffffffff 0xb7ffeff4
Выше показано, как выглядит стек перед возвратом из функции. Как видите, мы перезаписали адрес возврата этими лишними буквами «D». Результат. Давайте закончим:
(gdb) x/li $eip
0x8048411 <return_input+29>: ret
(gdb) stepi
Cannot access memory at address 0x44444448
Хм, а? Это 0x44444448 пришло из задницы ниоткуда. Каким-то образом gcc изменил адрес возврата перед тем, как мы вернемся. Спасибо.
Есть идеи? Правильно ли я полагаю, что gcc провел собственную внутреннюю проверку правильности обратного адреса. А если нет, то в нем есть какая-то хрень, чтобы мы не могли создать неприятный обратный адрес?
Как-нибудь обойти это? Я здесь все перепробовал - http://www.madhur.co.in/blog/2011/08/06/protbufferoverflow.html. Тот же результат.