缓冲区溢出缓冲区长度

时间:2015-04-12 20:49:05

标签: c perl assembly x86 buffer-overflow

我有一个需要解决的缓冲区溢出问题。以下是问题,底部是我的问题:

#include <stdio.h>
#include <string.h>
void lan(void) {
   printf("Your loyalty to your captors is touching.\n");
}

void vulnerable(char *str) {
   char buf[LENGTH]; //Length is not given
   strcpy(buf, str); //str to fixed size buf (uh-oh)
 }

 int main(int argc, char **argv) {
    if (argc < 2) 
       return -1;
    vulnerable(argv[1]);
    return 0;
 }

 (gdb) disass vulnerable
 0x08048408: push %ebp
 0x08048409: mov %esp, %ebp
 0x0804840b: sub $0x88, %esp
 0x0804840e: mov 0x8(%ebp), %eax
 0x08048411: mov %eax, 0x4(%esp)
 0x08048415: lea -0x80(%ebp), %eax
 0x08048418: mov %eax, (%esp)
 0x0804841b: call 0x8048314 <strcpy>
 0x08048420: leave
 0x08048421: ret
 End of assembler dump.

 (gdb) disass lan
  0x080483f4:   push %ebp
  0x080483f5:   mov %esp, %ebp
  0x080483f7:   sub $0x4, %esp
  0x080483fa:   movl $0x8048514, (%esp)
  0x08048401:   call 0x8048324 <puts>
  0x08048406:   leave
  0x08048407:   ret
  End of assembler dump.

然后我们有以下信息:

 (gdb) break *0x08048420
 Breakpoint 1 at 0x8048420
 (gdb) run 'perl -e' print "\x90" x Length' 'AAAABBBBCCCCDDDDEEEE'
 Breakpoint 1, 0x08048420 in vulnerable
 (gdb) info reg $ebp
 ebp          0xffffd61c 0xffffd61c
 (gdb) # QUESTION: Where in memory does the buf buffer start?
 (gdb) cont
 Program received signal SIGSEGV, Segmentation fault.

最后,perl命令是写出字符0x90的LENGTH副本的简写。

之前我已经完成了这类问题,但是我在这里阻止了以下问题:&#34;通过查看汇编代码,LENGTH的价值是多少?&#34;

我不确定如何从给定的汇编代码中找到它。我所知道的是......我们写入的缓冲区位于堆栈的-128(%ebp)位置(其中-128是十进制数)。但是,我不确定从这里开始获取缓冲区的长度。

2 个答案:

答案 0 :(得分:2)

让我们看一下你的vulnerable函数。

首先,编译器创建一个帧并在堆栈上保留0x88字节:

 0x08048408: push %ebp
 0x08048409: mov %esp, %ebp
 0x0804840b: sub $0x88, %esp

然后它将两个值放入堆栈:

 0x0804840e: mov 0x8(%ebp), %eax
 0x08048411: mov %eax, 0x4(%esp)
 0x08048415: lea -0x80(%ebp), %eax
 0x08048418: mov %eax, (%esp)

在返回之前它做的最后一件事是调用strcpy(buf, str)

 0x0804841b: call 0x8048314 <strcpy>
 0x08048420: leave
 0x08048421: ret

因此我们可以推断它放在堆栈上的两个值是strcpy的参数 mov 0x8(%ebp)char *strlea -0x80(%ebp)为指向char buf[LENGTH]的指针。

因此,我们知道您的缓冲区从-0x80(%ebp)开始,因此假设编译器没有浪费任何空间,它的长度为0x80 = 128字节。

答案 1 :(得分:1)

  

我所知道的是......我们写入的缓冲区在堆栈中   在-128(%ebp)

的位置

由于局部变量以%ebp结束,并且您只有一个buffer本身的局部变量,因此您可以得出结论:它的长度最多为128。如果编译器添加了一些用于对齐的填充,它可能会更短。

相关问题
最新问题