对于溢出破解,我们常常要通过布局栈空间,来改变程序的运行,因而我们常需要填充大量的垃圾数据来达到目的。
例如通过溢出攻击,改变原本的返回地址,使程序运行我们想要它运行的。
那么这个填充是多少字就是本文要解决的。
一,程序源码及编译
1,源码
文件名:StackOF.c
#include <stdio.h>
#include <string.h>
void vul(char *msg)
{
char buffer[64];
strcpy(buffer,msg);
return;
}
int main()
{
puts("So plz give me your shellcode:");
char buffer[256];
memset(buffer,0,256);
read(0,buffer,256);
vul(buffer);
return 0;
}
可以看到,其是将main函数里的buffer作为msg传入vul函数里,然后拷贝到vul中的buffer,但是main函数中buffer大小为256,而vul函数中buffer的大小为64,这就是溢出点。
2,编译
什么保护都不开启
gcc编译:gcc -m32 -no-pie -fno-stack-protector -z execstack -o pwnme StackOF.c
-m32:生成32位的可执行文件
-no-pie:关闭程序ASLR/PIE(程序随机化保护)
-fno-stack-protector:关闭Stack Protector/Canary(栈保护)
-z execstack:关闭DEP/NX(堆栈不可执行)
-o:输出
pwnme:编译生成文件的文件名
StackOF.c:编译前的源文件
二,调试
gdb运行pwnme
在vul函数下断点:breakpoint vul 或 b vul
进入汇编窗口:layout asm
运行:r 或 run
单步步过到strcpy附近:ni
不用连续输入,输入一次后,回车默认ni
在call上面我们发现存在一个push %edx,我们知道32位平台上,参数的保存是放在栈空间上的,而且c语言的参数是从右向左压栈,结合源码strcpy(buffer,msg),那么可想而知,这个push %edx就是保存的buffer的起始地址,我们查看下edx寄存器里的值:i r edx
得到buffer的起始地址 = 0xffffd110
然后我们步过到函数返回的位置
因为这时esp指向的是栈空间的栈顶,是buffer的终止地址,我们查看下esp的值
buffer的终止地址 = 0xffffd15c
三,结果
这时,我们已经得到:
1.buffer的起始地址 = 0xffffd110
2.buffer的终止地址 = 0xffffd15c
只要两者相减得到的就是应当填充的字节:填充数据 = 0xffffd15c - 0xffffd110 = 0x4c = 76字
