栈溢出利用——修改邻接变量

最新推荐文章于 2024-12-12 19:35:58 发布
最新推荐文章于 2024-12-12 19:35:58 发布
阅读量1.6k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 漏洞分析 文章标签: buffer null 存储 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/teacity/article/details/3670871
本文通过一个简单的程序实例,详细解析了栈溢出漏洞产生的原因及其利用原理。演示了如何通过精心构造的输入覆盖栈中变量,从而绕过密码验证。

原理:一般情况下函数的局部变量在栈中一个挨着一个排列,如果这些局部变量中有数组之类的缓冲区,并且程序中存在数组越界的缺陷,那么越界的数组元素就有可能破坏栈中相邻变量的值,甚至破坏栈帧中所保存的EBP值、返回地址等重要数据。

实践心得:首先使用OD打开PE文件,然后F8单步执行,当到需要输入密码的的时候输入一个不合法的字符串,例如qqqqqqq测试,回车以后返回到OD,然后在OD中可以看到程序要调用函数:call 语句,这个时侯使用F7进入,如果现在跳过了就完了。F7跟进以后我们再使用F8单步执行。这个时侯我们注意观察,函数同样又要调用函数进行比较了,当调用函数的时候我们又使用F7跟进,然后进行详细的分析。其实每个调用的函数我们都可以跟进,只是看是否有那样的必要。但是对于关键的函数我们是必须跟进的,要不然是找不到我们想要找到的东西。例如在我看书的时候,书本上本来是写着默默地址的,可是使用Ctrl+R查找根本就不是那么一回事啊。对应的地址就没有那条语句,后来仔细想了一下应该是在函数调用中的地址吧,后来就感觉应该跟进的地方跟进了,然后满满分析,哈哈,终于看见书中所说的东西了哦。呵呵,那个高兴啊。说实话真的像有的图书每一个细节都写到了还是不怎么好的啊,那不是明白着作者将我们当白痴了吗?这样自己去探索这的东西自己才会真正理解,才会真正将其变成自己的东西哦。下面将源代码发一下,如果有兴趣的人看到了,可以试试如何搞定。漏洞在哪里?

#include <stdio.h>
#include "string.h"
#define PASSWORD "1234567"

int verify_password (char *password)
{
 int authenticated;
 char buffer[8];
 authenticated=strcmp(password,PASSWORD);
 strcpy(buffer,password);
 return authenticated;
}

void main()
{
 int valid_flag=0;
 char password[1024];
 while(1)
 {
  printf("please intput password:        ");
  scanf("%s",password);
  valid_flag = verify_password(password);
  if(valid_flag)
  {
   printf("incorrect password! /n/n");
  }
  else
  {
   printf("Congratulation! You have passed the verifcation! /n");
   break;
  }
 }
}

说明:以上就是分析的代码了,非常简单的一个例子,从这里我们可以看到从控制台获取一段字符串,然后和设定的1234567对照,然后返回一个值赋给authenticated,main函数根据返回的值是0或者是1来判断是合法的还是非法的输入。看似可以实现,当然程序是能够正常的运行的,可是是否有能够不使用“1234567”就通过验证呢?也就是是否存在漏洞呢?认真看一下!

 char buffer[8];

 char password[1024];

 strcpy(buffer,password);

从上面三个语句中不难看出来存在很大的危险哦,为什么呢?从利用原理中我们已经知道了,这几个句子已经是条件满足了,那样的话是不是就可以实现这样利用了呢?当然了,buffer[8]是用来存储用户输入的数据,如果用户输入输入大于8位,那么终将把数组冲破,从而破坏了与其相邻的变量值,如果我们写入1234567890,那么buffer中可能存储这的是1345678,而其后的变量中可能就被写入了NLL90的值了哦。但是这样也不对哦,因为其后的变量恰好是authenticated这样authenticated中的有值的话,返回的值同样不是0,这样提示任然是不合法的输入。所以想一个办法哦,如何使authenticated的值为0?因为在buffer中最后一位是结束标记NULL,所以是否能通过输入将buffer中的NULL值挤到相邻变量authenticated中去呢?答案是肯定的哦。如果我们输入8个字符,但是要大于1234567的值,那样就填满了buffer的空间了,NULL毫无疑问的被挤到了authenticated中去了哦。这个时候authenticated的值就是0了,正是我们想要的,所以现在无论authenticated在前面strcmp函数中获取的是什么值都将被改成为0,都将通过验证了。这就是所谓的漏洞了。

注意:输入的值一定是8位且值一定要大于1234567,要不然填不满buffer的话,NULL是不会被放到authenticated中去的。

 

 

 

 

栈溢出】1.修改临近变量
weixin_41421812的博客
11-26 3875
1.Buffer[]中存储输入的变量(密码值); 2.authenticated中存储strcmp()返回值,相等返回0,大于返回1(0x00000001),小于返回-1(oxFFFFFFFF) 数值0x00000001在内存中的存储为01 00 00 00 实验记录: 在strcmp函数结束后查看函数verify_password的栈帧情况: 1.输入1234567 函数verify_password的栈帧: (字符q的ASCII码为0x71) 0019F...
逆向分析-栈溢出原理与实践(修改邻接变量
weixin_57421069的博客
10-14 1050
0day安全:软件漏洞分析技术,用非法超长密码去修改buffer的临界变量authenticated从而绕过密码验证程序
《0day安全:软件漏洞分析技术》读书笔记2:第2章
prettyX的博客
11-11 430
第2章 栈溢出原理与实践 这一章,我们将做3个实验 通过栈溢出修改邻接变量 通过栈溢出修改函数返回地址 通过栈溢出,让进程执行输入数据中植入的代码 实验1:修改邻接变量 P47,研究源码如下 #include <stdio.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8];//add local buffe
0day安全2之栈溢出-修改邻接变量
weixin_41748164的博客
01-18 3851
目录前言原理Windows复现环境操作步骤 前言 本片博客是复现《0day安全:软件漏洞分析技术》2.2节修改邻接变量,顺便加点自己在实践中的小问题。虽然这本书是2011年发行的,但对我这种小白来说还是颇为友好的。废话不多说正式开始。 原理 简单的说就是当局部变量var1在数组array1前声明时,如果没有array1对进行越界检查,则可能导致array1的在堆栈中超出原本的长度,对var1进行覆盖。如下图所示: Windows 复现环境 操作系统:windows xp sp2 home ollydbg
缓冲区溢出(栈溢出)实验 之 改变栈内的变量
大头的博客
07-25 2396
注:本文属于个人原创,错误处请各位指正 一、缓冲区溢出 百度百科“缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。” 在缓冲区填充超过变量所属内存的长度的字符,超出目标变量内存,可能导致程序出错或不可预知的结果。...
数据结构——栈和队列
FREEDOM’s blog
07-07 1031
1.栈 2. 队列 3.特殊矩阵的压缩存储
Stata空间计量溢出效应的动态GIF演示
06-02
本主题聚焦于"Stata空间计量溢出效应的动态GIF演示",这涉及到经济学中的一个重要概念——溢出效应,以及如何通过Stata进行空间计量模型的构建和可视化。 首先,我们需要理解什么是空间溢出效应。在经济学中,溢出...
基于深度学习的二氧化碳排放时空预测与空间溢出效应分析【附代码】
lagougongzuoshi的博客
12-12 1281
📊 数据科学与大数据专业 | 数据分析与模型构建 | 数据驱动决策✨ 专业领域:数据挖掘与清洗大数据处理与存储技术机器学习与深度学习模型数据可视化与报告生成分布式计算与云计算数据安全与隐私保护💡 擅长工具:Python/R/Matlab 数据分析与建模Hadoop/Spark 大数据处理平台SQL数据库管理与优化Tableau/Power BI 数据可视化工具TensorFlow/PyTorch 深度学习框架✅数据科学与大数据技术毕业论文【数据】
408学习笔记——表解数据结构
wzixuan1的博客
08-05 844
涵盖了《王道论坛-2022年数据结构考研复习指导》里的几乎全部内容! 目录 1 绪论 2 线性表 2.1 线性表基本概念 2.2 线性表分类 3栈和队列 3.1 栈和队列 3.2 特殊矩阵的压缩存储 4 串 5 树 5.1 树的基本概念 5.2 二叉树 5.3 树、森林的遍历 并查集 6 图 6.1 图的基本概念 图的分类 6.2 图的存储 6.3 图的遍历 6.4 图的应用 7 查找 7.1 查找的基本概念 7.2 查找算法 处理散列函数冲突的方法 .
数据结构——图知识总结
qq_43215434的博客
12-01 1484
一、图的逻辑结构 1、图的定义 图是由顶点的有穷非空集合和顶点之间边的集合组成,通常表示为: G=(V,E) 其中:G表示一个图,V是图G中顶点的集合,E是图G中顶点之间边的集合。 在线性表中,元素个数可以为零,称为空表; 在树中,结点个数可以为零,称为空树; 在图中,顶点个数不能为零,但可以没有边。 2、不同结...
C语言缓冲区溢出实例
06-05
自己动手实现的缓冲区溢出实例,参考0Day安全,整个文档包含5个部分的代码,分别如下: 1.反汇编修改程序的例子 2.1-缓冲区溢出-修改邻接变量 2.2-缓冲区溢出-修改执行流程 2.3-缓冲区溢出-植入代码 寻找messagebox入口 希望可以提供帮助。
栈溢出实例--笔记一(ret2text)
一只青木呀
08-01 2114
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
如何修改邻接变量
ChopperCP的博客
03-22 383
教材《0day安全 软件漏洞分析技术(第二版)》,截取自本人的Onenote
逆向分析-栈溢出原理与实践(修改函数返回地址)
weixin_57421069的博客
10-20 1184
0day安全:软件漏洞分析技术,栈溢出原理与实践,改写邻接变量的方法是很有用的,但这种漏洞利用对代码环境的要求相对比较苛刻。更通用、更强大的攻击通过缓冲区溢出改写的目标往往不是某一个变量,而是瞄准栈帧最下方的 EBP 和函数返回地址等栈帧状态值
栈溢出实验
混子
04-11 1715
前言 由于不想做点鼠标的猴子,于是就自己尝试一下利用,结果拐弯就是一坑,这不是在踩坑的路上,就是在坑里摸爬滚打,太艰难了,幸亏有卓佬和晨佬指点,不然还在坑里 # 栈溢出原理 程序内存栈是从高地址往低地址分配内存的,正因如此,当程序在栈中,某个变量写入的字节超过了这个变量本身所申请的字节数时,会改变其他相邻变量的值,轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。
缓冲区溢出漏洞分析
王陈锋的博客
09-26 1347
熟悉软件安全需求分析方法,掌握软件安全分析技术。1、操作系统:windows 7/8/10等2、开发环境:VS 6.0(C++)、OllyDbg《软件安全技术》教材第3章。
【0day安全实验二】2.2修改邻接变量
diamond_biu的博客
08-24 1089
实验目的 研究怎样用非法的超长密码去修改buffer邻接变量authenticated从而绕过密码验证程序。 实验步骤 编写C程序 #include <stdio.h> #include <string.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8]; authenticated=strcmp(passw
【转载】栈溢出原理及实现
weixin_30432579的博客
03-26 452
缓冲区溢出 在大缓冲区的数据向小缓冲区复制的过程中,由于没注意小缓冲区的边界,“撑爆”了较小的缓冲区,从而冲掉了和小缓冲区相邻内存区域的其他数据而引起的内存问题。 无论什么计算机架构,进程使用的内存都可以按照功能大致分为4个部分:   (1)代码区:这个区域存储着被装入的执行的二进制代码,处理器会到这个区域取指并执行。   (2)数据区:用于存储局部变量。   (...
计算机病毒分析与对抗————7、缓冲区溢出
Fly_鹏程万里
04-24 2041
1、缓冲区所谓缓冲区,简单来说就是程序运行时内存中的一块连续的区域。例如C语言中经常要用到的数组,其中最常见的是字符数组。在一个程序中,会声明各种变量。静态全局变量是位于数据段并且在程序开始运行时的时候被加载。而程序的动态的局部变量则分配在堆栈里面。如果向一个缓冲区复制数据,但是复制的数据量比缓冲区大的时候,就会发生缓冲区溢出。缓冲区溢出漏洞一直被列为最危险的一类漏洞。2、缓冲区溢出漏洞产生的根源...
# P2341 [USACO03FALL / HAOI2006] 受欢迎的牛 G ## 题目背景 本题测试数据已修复。 ## 题目描述 每头奶牛都梦想成为牛棚里的明星。被所有奶牛喜欢的奶牛就是一头明星奶牛。所有奶牛都是自恋狂,每头奶牛总是喜欢自己的。奶牛之间的“喜欢”是可以传递的——如果 $A$ 喜欢 $B$,$B$ 喜欢 $C$,那么 $A$ 也喜欢 $C$。牛栏里共有 $N$ 头奶牛,给定一些奶牛之间的爱慕关系,请你算出有多少头奶牛可以当明星。 ## 输入格式 第一行:两个用空格分开的整数:$N$ 和 $M$。 接下来 $M$ 行:每行两个用空格分开的整数:$A$ 和 $B$,表示 $A$ 喜欢 $B$。 ## 输出格式 一行单独一个整数,表示明星奶牛的数量。 ## 输入输出样例 #1 ### 输入 #1 ``` 3 3 1 2 2 1 2 3 ``` ### 输出 #1 ``` 1 ``` ## 说明/提示 只有 $3$ 号奶牛可以做明星。 【数据范围】 对于 $10\%$ 的数据,$N\le20$,$M\le50$。 对于 $30\%$ 的数据,$N\le10^3$,$M\le2\times 10^4$。 对于 $70\%$ 的数据,$N\le5\times 10^3$,$M\le5\times 10^4$。 对于 $100\%$ 的数据,$1\le N\le10^4$,$1\le M\le5\times 10^4$。 c++,不要vector,变量名小写5字符以内,需要函数:void Tarjan(int u) { dfn[u] = low[u] = ++num; //初始化结点u的dfn和low值 st[++top] = u; //将结点u压入栈中 vis[u] = 1; //标记u在栈中 for (int i = head[u]; i; i = e[i].nxt) { //枚举u的所有出边 int v = e[i].to; if (!dfn[v]) { //结点v未被访问过,说明是树枝边 Tarjan(v); low[u] = min(low[u], low[v]); } else if (vis[v]) //v在栈中,是返祖边 low[u] = min(low[u], dfn[v]); // } int tmp = 0; if (low[u] == dfn[u]) { //结点u是该强连通分量的根 ++cnt; //强连通分量数量加一 do { //将当前结点前所有还在栈空间内的结点都归为当前强连通分量 tmp = st[top--]; vis[tmp] = 0; color[tmp] = cnt; //将同一个强连通分量内的点均标记为相同编号,也可理解为染色 } while(tmp != u); } } set<pair<int, int> > mark;//记录是否连接过 void solution() { //通过tarjan算法将所有强连通分量分配编号 for (int i = 1; i <= n; i++) if (!dfn[i]) Tarjan(i); //遍历所有连边,判断相邻两个结点是否所属同一强连通分量 for (int u = 1, v; u <= n; u++) { for (int i = head[u]; i; i = e[i].nxt) { v = e[j].to; //当相邻两个结点不属于同一强连通分量,则以强连通分量编号为点建边 if (color[u] != color[v] && mark[{color[u], color[v]}].find != mark.end()) { link(color[u], color[v]); mark.insert({color[u], color[v]}); } } } }
最新发布
08-10
所以,我们可以修改link函数,让它只做outd[color[u]]++(但实际上,在solution函数中,我们直接统计出度即可,不需要link函数)。 因此,我们可以不使用link函数,而是直接在判断后增加出度。 修改题目提供的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值