logo标签列表

使用fgets导致缓冲区溢出问题

cbufferoverflowstack-overflowfortify-source
12

我正在尝试利用缓冲区溢出,通过使用fgets函数输入特定数据来覆盖堆栈的返回地址。

以下是代码:

void foo()
{
    fprintf(stderr, "You did it.\n");
}

void bar()
{
    char buf[20];
    puts("Input:");
    fgets(buf, 24, stdin);
    printf("Your input:.\n", strlen(buf));
}


int main(int argc, char **argv)
{
    bar();
    return 0;
}

在正常执行时,该程序只会返回您的输入。我希望它能够输出foo()而不修改代码。

我的想法是通过输入20个'A'来溢出buf的缓冲区。这个方法可行并导致了分段错误。 我的下一个想法是找到foo()的地址,即\x4006cd,并将其附加到这20个'A'后面。

据我理解,这应该覆盖栈的返回地址并使其跳转到foo。但它只会导致分段错误。

我做错了什么?

更新:汇编转储 main

    Dump of assembler code for function main:
   0x000000000040073b <+0>: push   %rbp
   0x000000000040073c <+1>: mov    %rsp,%rbp
   0x000000000040073f <+4>: sub    $0x10,%rsp
   0x0000000000400743 <+8>: mov    %edi,-0x4(%rbp)
   0x0000000000400746 <+11>:    mov    %rsi,-0x10(%rbp)
   0x000000000040074a <+15>:    mov    $0x0,%eax
   0x000000000040074f <+20>:    callq  0x4006f1 <bar>
   0x0000000000400754 <+25>:    mov    $0x0,%eax
   0x0000000000400759 <+30>:    leaveq 
   0x000000000040075a <+31>:    retq   
   End of assembler dump.

foo

Dump of assembler code for function foo:
   0x00000000004006cd <+0>: push   %rbp
   0x00000000004006ce <+1>: mov    %rsp,%rbp
   0x00000000004006d1 <+4>: mov    0x200990(%rip),%rax        # 0x601068 <stderr@@GLIBC_2.2.5>
   0x00000000004006d8 <+11>:    mov    %rax,%rcx
   0x00000000004006db <+14>:    mov    $0x15,%edx
   0x00000000004006e0 <+19>:    mov    $0x1,%esi
   0x00000000004006e5 <+24>:    mov    $0x400804,%edi
   0x00000000004006ea <+29>:    callq  0x4005d0 <fwrite@plt>
   0x00000000004006ef <+34>:    pop    %rbp
   0x00000000004006f0 <+35>:    retq   
End of assembler dump.

酒吧:

Dump of assembler code for function bar:
   0x00000000004006f1 <+0>: push   %rbp
   0x00000000004006f2 <+1>: mov    %rsp,%rbp
   0x00000000004006f5 <+4>: sub    $0x20,%rsp
   0x00000000004006f9 <+8>: mov    $0x40081a,%edi
   0x00000000004006fe <+13>:    callq  0x400570 <puts@plt>
   0x0000000000400703 <+18>:    mov    0x200956(%rip),%rdx        # 0x601060 <stdin@@GLIBC_2.2.5>
   0x000000000040070a <+25>:    lea    -0x20(%rbp),%rax
   0x000000000040070e <+29>:    mov    $0x18,%esi
   0x0000000000400713 <+34>:    mov    %rax,%rdi
   0x0000000000400716 <+37>:    callq  0x4005b0 <fgets@plt>
   0x000000000040071b <+42>:    lea    -0x20(%rbp),%rax
   0x000000000040071f <+46>:    mov    %rax,%rdi
   0x0000000000400722 <+49>:    callq  0x400580 <strlen@plt>
   0x0000000000400727 <+54>:    mov    %rax,%rsi
   0x000000000040072a <+57>:    mov    $0x400821,%edi
   0x000000000040072f <+62>:    mov    $0x0,%eax
   0x0000000000400734 <+67>:    callq  0x400590 <printf@plt>
   0x0000000000400739 <+72>:    leaveq 
   0x000000000040073a <+73>:    retq   
End of assembler dump.
你看过这段代码对应的汇编代码(以及栈布局)了吗? - Oliver Charlesworth
如果事情真的那么简单就好了... - Fiddling Bits
你应该查看相应的汇编代码。有时编译器会做超过你为对齐所做的20个字节的工作。你还应该查看堆栈的布局以及寄存器/保存的返回地址是如何保存的,以及保存的顺序是什么。请发布函数的汇编代码,我们可以帮助你进一步分析。 - Scotty Bauer
如果不分析汇编代码,你将无法深入了解这个问题。你使用的是哪个编译器和开发环境? - Devolus
我已经更新了帖子并附上了汇编代码,但这怎么能帮到我呢? - arnoapp
5
@AzzUrr1 如果你看这个指令 sub $0x20,%rsp,你可以看到编译器从堆栈指针中减去了32字节,这就是你的缓冲区大小。 - Scotty Bauer
2个回答
3

你没有考虑到内存对齐问题。我稍微改了一下代码,以便更容易找到正确的位置。

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

int **x;
int z;

void foo()
{
    fprintf(stderr, "You did it.\n");
}

void bar()
{
    char buf[2];
    //puts("Input:");
    //fgets(buf, 70, stdin);
    x = (int**) buf;
    for(z=0;z<8;z++)
            printf("%d X=%x\n", z, *(x+z));
    *(x+3) = foo;
    printf("Your input: %d %s\n", strlen(buf), buf);
}


int main(int argc, char **argv)
{
        printf("Foo: %x\n", foo);
        printf("Main: %x\n", main);
        bar();
        return 0;
}

通过一个更小的缓冲区,比如我示例中的2,我发现返回地址距离缓冲区开头24个字节(对于8字节指针来说,x+3;64位,没有调试,没有优化...)。这个位置可能会根据缓冲区大小、架构等因素而变化。在这个例子中,我成功地将bar的返回地址改变为foo。无论如何,你将在foo返回时遇到分段错误,因为它没有正确设置返回到main。

我添加了x和z作为全局变量,以免更改bar的堆栈大小。代码将显示一个类似指针的值数组,从buf[0]开始。在我的例子中,我在主函数中找到了地址,在第3个位置上。这就是为什么最终的代码是*(x+3) = foo。正如我所说,这个位置可能会根据编译选项、机器等因素而变化。要找到正确的位置,请在打印调用bar之前找到main的地址(在地址列表中)。

重要的是要注意,我说的是在主函数中的地址,而不是main的地址,因为返回地址被设置为调用bar后的行而不是main的开始。所以,在我的例子中,它是0x4006af而不是0x400668。

在你的例子中,使用20字节缓冲区,据我所知,它被对齐为32字节(0x20)。

如果你想用fgets做同样的事情,你必须弄清楚如何输入foo的地址,但如果你正在运行一个x86/x64机器,请记得以小端方式添加它。你可以改变代码以按字节显示值,这样你就可以按正确的顺序获得它们并使用ALT+数字键输入它们。记住,在按住ALT时输入的数字是十进制数。有些终端不会友好地处理0x00。

我的输出看起来像:

$ gcc test.c -o test
test.c: In function ‘bar’:
test.c:21: warning: assignment from incompatible pointer type
$ ./test
Foo: 400594
Main: 400668
0 X=9560e9f0
1 X=95821188
2 X=889350f0
3 X=4006af
4 X=889351d8
5 X=0
6 X=0
7 X=95a1ed1d
Your input: 5 ▒▒`▒9
You did it.
Segmentation fault
2
void bar()
{
    char buf[20];
    puts("Input:");
    fgets(buf, 24, stdin);
    printf("Your input:.\n", strlen(buf));
}

... This works and causes a segmentation fault...

编译器可能会用更安全的变体替换fgets函数,其中包括对目标缓冲区大小的检查。如果检查失败,则程序无条件调用abort()函数。
在这种情况下,您应该使用-U_FORTIFY_SOURCE或-D_FORTIFY_SOURCE=0编译程序。
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接