栈溢出攻击的简单实现

学习堆栈知识,实现一个简单的栈溢出攻击。

代码如下图,main函数中只运行normal_func函数,通过数组越界,修改normal_func的返回地址,将eject_func函数地址赋值到normal_func的返回地址,实现对eject_fun的调用。

 

#include <cstdio>
#include <string.h>
#include <iostream>

#define LEN 0
#define ADDR 0x0
using namespace std;

void eject_func()
{
	cout<<"eject_func"<<endl;
}
void normal_func(char* buf, int len)
{
	char tmpBuf[16] = {0xff};
	memcpy(tmpBuf+LEN, buf+LEN, len);
	cout<<"normal_func"<<endl;
}
int main(int argc, char** argv)
{
	char buf[64] = {0};
	long eject_func_addr = ADDR;
	memcpy(buf+LEN,&eject_func_addr,8);
	normal_func(buf,64);
cout<<"main\n"<<endl;
	return 0;
}

  我们先不知道eject_func函数的虚拟内存地址,也不知道normal_func函数栈帧的栈底地址和局部变量tmpBuf的距离长度,就先定义俩个宏ADDRLEN。编译上面的代码,再反汇编。

  

找到上面两个和eject_func,normal_func相识的函数,再利用c++filt确认下

 

  这下知道eject_func函数地址为0x400916,

再看normal_func函数的反汇编,本人汇编指令也不太懂,看个大概,怀疑LEN的长度确认为40gdb调试看一下:

 

  Main函数调用normal_func的下一条指令就是400a19

  400a14: e8 20 ff ff ff        callq  400939 <_Z11normal_funcPci>

  400a19: be 4b 0b 40 00        mov    $0x400b4b,%esi

由上可以算出偏移大小确实是40

修改最上面的代码

#define LEN 40

#define ADDR 0x400916

重新编译运行,运行的结果如下

 

可见,main函数调用normal_func的下一条指令入栈后,在越界拷贝后被串改为eject_func的地址,所以在normal_func运行完后接着运行的不是main函数里的下一条指令,而是eject_func函数,从而实现栈溢出攻击。

posted @ 2020-01-04 12:41  ho966  阅读(1935)  评论(0编辑  收藏  举报