栈溢出实践
一、实验目的
完成栈溢出的两种情况:修改相邻变量和修改返回地址。
二、实验原理
在函数的栈帧中,局部变量是顺序排列的,局部变量下面紧跟着的是前栈帧EBP及函数返回地址RET。如果这些局部变量为数组,由于存在越界的漏洞,那么越界的数组元素将会覆盖相邻的局部变量,甚至覆盖前栈帧EBP及函数返回地址RET,从而造成程序的异常。
三、实验过程
例3.2
1.将程序代码输入后进入调试界面,输入正确密码后查看EBP=0019fedc,往内存的地址寻找可以发现我们输入的密码41 42 43 44 45
2.前面步骤一样,输入密码输入13个字符“aaaaaaaaaaaaa”,此时password数组内容将被覆盖,password数组和str数组内容相同,此时可以绕过口令的验证,程序运行显示OK。
3.输入字符串“aaaabbbbccccddddeeeefff”,此时将会超过password数组边界,覆盖前栈帧、返回地址RET,进程将会跳转异常,此时返回地址变成fff,返回主调函数时,EIP没有合法指令,所以程序报错。
例3.3
1.把3.2程序修改位读取密码文件password.txt.在文件中存入24个字符“aaaabbbbccccddddeeeeffff”,程序运行效果与键盘输入一致。为了让程序调用完fun()函数后,去执行Attcak()函数,把password文件最后四个字节改为Attack函数的入口地址使用ollydbg查看Attack()函数入口地址:
用winhex打开password,将最后4字节改为00401030
最后在vc6.0中调试程序,函数调用返回时,从栈帧弹出返回地址,存入EIP,CPU按EIP中地址跳转到Attack函数,Attack()函数背正常执行,说明溢出修改返回地址成功。