附:gcc -O0 -fno-stack-protector lab2B.c -o lab2B
编译的时候开启栈保护,即栈不可执行(NX)
./lab2C:
查看源码,可以发现是一个很简单的堆栈溢出,我们在进行调试的时候可以发现set_me与buf的局部变量地址时连续的,由于在strcpy函数复制的时候没有进行边界分析,导致可以通过给buf赋值的时候,覆盖set_me的值。
由于是一个需要设置程序运行参数,所以需要在gdb中设置参数:
set args 可指定运行时参数。(如:set args 10 20 30 40 50) show args 命令可以查看设置好的运行参数。
其中注意在字符填充时候是小端的方式,在内存之中set_me的位置在buf的位置之上,将buf覆盖之后将吧set_me的值给覆盖。
有一个小技巧:可以使用linux下的xargs命令,使用前一个命令的输出作为参数:
./lab2B:
查看源码,发现一个没有使用的system与字符串“/bin/sh”,观察源码分析后得到思路:我们可以使用覆盖的方式,将strcpy的返回地址给覆盖,也就是返回时到达system的函数中,并且调用字符串:
为了确定使用正确的对策,需要分析一下程序的安全防护情况(使用工具checksec),在栈执行保护(NX)或地址随机化(canary)时,采用的方式是不一样的,可以发现程序开启了栈不可执行的保护:
查看合适的字符串(searchmem /bin/sh):
./lab2A的安全防护设置与B一致
进行比较源码与汇编指令可以发现[ebp-0x18]里存的是locals.cat_pointer(也就是cat_buf的起始位置),[ebp-0x28]里存的是输入的字符的首地址,对于buf的大小为12,但是读入的时候可以读取0x10(即16个字节),刚好可以覆盖到locals.cat_pointer
