栈溢出利用——修改邻接变量

最新推荐文章于 2024-12-12 19:35:58 发布
最新推荐文章于 2024-12-12 19:35:58 发布
阅读量1.6k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 漏洞分析 文章标签: buffer null 存储 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/teacity/article/details/3670871
本文通过一个简单的程序实例,详细解析了栈溢出漏洞产生的原因及其利用原理。演示了如何通过精心构造的输入覆盖栈中变量,从而绕过密码验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理:一般情况下函数的局部变量在栈中一个挨着一个排列,如果这些局部变量中有数组之类的缓冲区,并且程序中存在数组越界的缺陷,那么越界的数组元素就有可能破坏栈中相邻变量的值,甚至破坏栈帧中所保存的EBP值、返回地址等重要数据。

实践心得:首先使用OD打开PE文件,然后F8单步执行,当到需要输入密码的的时候输入一个不合法的字符串,例如qqqqqqq测试,回车以后返回到OD,然后在OD中可以看到程序要调用函数:call 语句,这个时侯使用F7进入,如果现在跳过了就完了。F7跟进以后我们再使用F8单步执行。这个时侯我们注意观察,函数同样又要调用函数进行比较了,当调用函数的时候我们又使用F7跟进,然后进行详细的分析。其实每个调用的函数我们都可以跟进,只是看是否有那样的必要。但是对于关键的函数我们是必须跟进的,要不然是找不到我们想要找到的东西。例如在我看书的时候,书本上本来是写着默默地址的,可是使用Ctrl+R查找根本就不是那么一回事啊。对应的地址就没有那条语句,后来仔细想了一下应该是在函数调用中的地址吧,后来就感觉应该跟进的地方跟进了,然后满满分析,哈哈,终于看见书中所说的东西了哦。呵呵,那个高兴啊。说实话真的像有的图书每一个细节都写到了还是不怎么好的啊,那不是明白着作者将我们当白痴了吗?这样自己去探索这的东西自己才会真正理解,才会真正将其变成自己的东西哦。下面将源代码发一下,如果有兴趣的人看到了,可以试试如何搞定。漏洞在哪里?

#include <stdio.h>
#include "string.h"
#define PASSWORD "1234567"

int verify_password (char *password)
{
 int authenticated;
 char buffer[8];
 authenticated=strcmp(password,PASSWORD);
 strcpy(buffer,password);
 return authenticated;
}

void main()
{
 int valid_flag=0;
 char password[1024];
 while(1)
 {
  printf("please intput password:        ");
  scanf("%s",password);
  valid_flag = verify_password(password);
  if(valid_flag)
  {
   printf("incorrect password! /n/n");
  }
  else
  {
   printf("Congratulation! You have passed the verifcation! /n");
   break;
  }
 }
}

说明:以上就是分析的代码了,非常简单的一个例子,从这里我们可以看到从控制台获取一段字符串,然后和设定的1234567对照,然后返回一个值赋给authenticated,main函数根据返回的值是0或者是1来判断是合法的还是非法的输入。看似可以实现,当然程序是能够正常的运行的,可是是否有能够不使用“1234567”就通过验证呢?也就是是否存在漏洞呢?认真看一下!

 char buffer[8];

 char password[1024];

 strcpy(buffer,password);

从上面三个语句中不难看出来存在很大的危险哦,为什么呢?从利用原理中我们已经知道了,这几个句子已经是条件满足了,那样的话是不是就可以实现这样利用了呢?当然了,buffer[8]是用来存储用户输入的数据,如果用户输入输入大于8位,那么终将把数组冲破,从而破坏了与其相邻的变量值,如果我们写入1234567890,那么buffer中可能存储这的是1345678,而其后的变量中可能就被写入了NLL90的值了哦。但是这样也不对哦,因为其后的变量恰好是authenticated这样authenticated中的有值的话,返回的值同样不是0,这样提示任然是不合法的输入。所以想一个办法哦,如何使authenticated的值为0?因为在buffer中最后一位是结束标记NULL,所以是否能通过输入将buffer中的NULL值挤到相邻变量authenticated中去呢?答案是肯定的哦。如果我们输入8个字符,但是要大于1234567的值,那样就填满了buffer的空间了,NULL毫无疑问的被挤到了authenticated中去了哦。这个时候authenticated的值就是0了,正是我们想要的,所以现在无论authenticated在前面strcmp函数中获取的是什么值都将被改成为0,都将通过验证了。这就是所谓的漏洞了。

注意:输入的值一定是8位且值一定要大于1234567,要不然填不满buffer的话,NULL是不会被放到authenticated中去的。

 

 

 

 

栈溢出】1.修改临近变量
weixin_41421812的博客
11-26 3871
1.Buffer[]中存储输入的变量(密码值); 2.authenticated中存储strcmp()返回值,相等返回0,大于返回1(0x00000001),小于返回-1(oxFFFFFFFF) 数值0x00000001在内存中的存储为01 00 00 00 实验记录: 在strcmp函数结束后查看函数verify_password的栈帧情况: 1.输入1234567 函数verify_password的栈帧: (字符q的ASCII码为0x71) 0019F...
逆向分析-栈溢出原理与实践(修改邻接变量
weixin_57421069的博客
10-14 1043
0day安全:软件漏洞分析技术,用非法超长密码去修改buffer的临界变量authenticated从而绕过密码验证程序
0day安全2之栈溢出-修改邻接变量
weixin_41748164的博客
01-18 3845
目录前言原理Windows复现环境操作步骤 前言 本片博客是复现《0day安全:软件漏洞分析技术》2.2节修改邻接变量,顺便加点自己在实践中的小问题。虽然这本书是2011年发行的,但对我这种小白来说还是颇为友好的。废话不多说正式开始。 原理 简单的说就是当局部变量var1在数组array1前声明时,如果没有array1对进行越界检查,则可能导致array1的在堆栈中超出原本的长度,对var1进行覆盖。如下图所示: Windows 复现环境 操作系统:windows xp sp2 home ollydbg
缓冲区溢出(栈溢出)实验 之 改变栈内的变量
大头的博客
07-25 2388
注:本文属于个人原创,错误处请各位指正 一、缓冲区溢出 百度百科“缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。” 在缓冲区填充超过变量所属内存的长度的字符,超出目标变量内存,可能导致程序出错或不可预知的结果。...
栈溢出实例--笔记一(ret2text)
一只青木呀
08-01 2096
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
数据结构——栈和队列
FREEDOM’s blog
07-07 1019
1.栈 2. 队列 3.特殊矩阵的压缩存储
Stata空间计量溢出效应的动态GIF演示
06-02
本主题聚焦于"Stata空间计量溢出效应的动态GIF演示",这涉及到经济学中的一个重要概念——溢出效应,以及如何通过Stata进行空间计量模型的构建和可视化。 首先,我们需要理解什么是空间溢出效应。在经济学中,溢出...
基于深度学习的二氧化碳排放时空预测与空间溢出效应分析【附代码】
lagougongzuoshi的博客
12-12 1250
📊 数据科学与大数据专业 | 数据分析与模型构建 | 数据驱动决策✨ 专业领域:数据挖掘与清洗大数据处理与存储技术机器学习与深度学习模型数据可视化与报告生成分布式计算与云计算数据安全与隐私保护💡 擅长工具:Python/R/Matlab 数据分析与建模Hadoop/Spark 大数据处理平台SQL数据库管理与优化Tableau/Power BI 数据可视化工具TensorFlow/PyTorch 深度学习框架✅数据科学与大数据技术毕业论文【数据】
408学习笔记——表解数据结构
wzixuan1的博客
08-05 826
涵盖了《王道论坛-2022年数据结构考研复习指导》里的几乎全部内容! 目录 1 绪论 2 线性表 2.1 线性表基本概念 2.2 线性表分类 3栈和队列 3.1 栈和队列 3.2 特殊矩阵的压缩存储 4 串 5 树 5.1 树的基本概念 5.2 二叉树 5.3 树、森林的遍历 并查集 6 图 6.1 图的基本概念 图的分类 6.2 图的存储 6.3 图的遍历 6.4 图的应用 7 查找 7.1 查找的基本概念 7.2 查找算法 处理散列函数冲突的方法 .
数据结构——图知识总结
qq_43215434的博客
12-01 1472
一、图的逻辑结构 1、图的定义 图是由顶点的有穷非空集合和顶点之间边的集合组成,通常表示为: G=(V,E) 其中:G表示一个图,V是图G中顶点的集合,E是图G中顶点之间边的集合。 在线性表中,元素个数可以为零,称为空表; 在树中,结点个数可以为零,称为空树; 在图中,顶点个数不能为零,但可以没有边。 2、不同结...
C语言缓冲区溢出实例
06-05
自己动手实现的缓冲区溢出实例,参考0Day安全,整个文档包含5个部分的代码,分别如下: 1.反汇编修改程序的例子 2.1-缓冲区溢出-修改邻接变量 2.2-缓冲区溢出-修改执行流程 2.3-缓冲区溢出-植入代码 寻找messagebox入口 希望可以提供帮助。
如何修改邻接变量
ChopperCP的博客
03-22 378
教材《0day安全 软件漏洞分析技术(第二版)》,截取自本人的Onenote
逆向分析-栈溢出原理与实践(修改函数返回地址)
weixin_57421069的博客
10-20 1167
0day安全:软件漏洞分析技术,栈溢出原理与实践,改写邻接变量的方法是很有用的,但这种漏洞利用对代码环境的要求相对比较苛刻。更通用、更强大的攻击通过缓冲区溢出改写的目标往往不是某一个变量,而是瞄准栈帧最下方的 EBP 和函数返回地址等栈帧状态值
栈溢出实验
混子
04-11 1709
前言 由于不想做点鼠标的猴子,于是就自己尝试一下利用,结果拐弯就是一坑,这不是在踩坑的路上,就是在坑里摸爬滚打,太艰难了,幸亏有卓佬和晨佬指点,不然还在坑里 # 栈溢出原理 程序内存栈是从高地址往低地址分配内存的,正因如此,当程序在栈中,某个变量写入的字节超过了这个变量本身所申请的字节数时,会改变其他相邻变量的值,轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。
缓冲区溢出漏洞分析
王陈锋的博客
09-26 1339
熟悉软件安全需求分析方法,掌握软件安全分析技术。1、操作系统:windows 7/8/10等2、开发环境:VS 6.0(C++)、OllyDbg《软件安全技术》教材第3章。
【0day安全实验二】2.2修改邻接变量
diamond_biu的博客
08-24 1082
实验目的 研究怎样用非法的超长密码去修改buffer邻接变量authenticated从而绕过密码验证程序。 实验步骤 编写C程序 #include <stdio.h> #include <string.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8]; authenticated=strcmp(passw
【转载】栈溢出原理及实现
weixin_30432579的博客
03-26 443
缓冲区溢出 在大缓冲区的数据向小缓冲区复制的过程中,由于没注意小缓冲区的边界,“撑爆”了较小的缓冲区,从而冲掉了和小缓冲区相邻内存区域的其他数据而引起的内存问题。 无论什么计算机架构,进程使用的内存都可以按照功能大致分为4个部分:   (1)代码区:这个区域存储着被装入的执行的二进制代码,处理器会到这个区域取指并执行。   (2)数据区:用于存储局部变量。   (...
计算机病毒分析与对抗————7、缓冲区溢出
Fly_鹏程万里
04-24 2024
1、缓冲区所谓缓冲区,简单来说就是程序运行时内存中的一块连续的区域。例如C语言中经常要用到的数组,其中最常见的是字符数组。在一个程序中,会声明各种变量。静态全局变量是位于数据段并且在程序开始运行时的时候被加载。而程序的动态的局部变量则分配在堆栈里面。如果向一个缓冲区复制数据,但是复制的数据量比缓冲区大的时候,就会发生缓冲区溢出。缓冲区溢出漏洞一直被列为最危险的一类漏洞。2、缓冲区溢出漏洞产生的根源...
【0Day】栈溢出漏洞基础——简单输入漏洞 & 修改返回函数
desword-- 技术,杂文。
11-29 2186
最近再次利用零零散散的时间,把第二章学完了。 感觉实验成功之后,还是非常开心的!嘿嘿。  书本上的理论可以很快的看完,但是真正实践的时候还是会出现一点问题的。一点点总结将在后面一起分享出来。 自己构造的漏洞代码,如果使用VS编译的话,debug版溢出了会报错,release版它自己把代码优化了,消除了溢出的漏洞。 看来好几年前的技术现在已经被防护的很彻底了呀。  所以说,学技
指出代码中运行错误产生的原因(只指出你有把握的,而不是潜在的,可能的问题。) #include<bits/stdc++.h> using namespace std; typedef long long ll; ll a[5005]; int n; ll f[5005][5005]; bool i_f[5005][5005]; ll dfs(int l,int r,ll cnt); int main(){ cin>>n; for(int i=1;i<=n;i++)cin>>a[i]; cout<<dfs(1,n,a[1]-a[n]); return 0; } ll dfs(int l,int r,ll cnt){ if(i_f[l][r]!=0)return f[l][r]; if(l+1==r)return cnt; i_f[l][r]=1; f[l][r]=cnt; ll ret; if(l+2==r)ret=dfs(l+1,r,cnt+a[l+1]); else if(l+3==r){ ret=max(dfs(l+2,r,cnt+a[l+2]),dfs(l+1,r-1,cnt+a[l+1]-a[r-1])); } else if(l+4==r){ ret=max(max(dfs(l+2,r-1,cnt+a[l+2]-a[r-1]),dfs(l+1,r-2,cnt+a[l+1]-a[r-2])),dfs(l+1,r-1,cnt+a[l+1]-a[r-1])); } else{ ret=max(max(max(dfs(l+2,r-1,cnt+a[l+2]-a[r-1]),dfs(l+1,r-2,cnt+a[l+1]-a[r-2])),dfs(l+1,r-1,cnt+a[l+1]-a[r-1])),dfs(l+2,r-2,cnt+a[l+2]-a[r-2])); } return ret; }
最新发布
07-27
<think>我们正在分析一个DFS动态编程实现的运行时错误。根据用户提供的引用和问题描述,我们需要找出导致运行时错误的明确原因。 用户提供的引用中,有几个可能与运行时错误相关的点: 引用[2]提到:Definite assignment assertions are not supported (arkts-no-definite-assignment) —— 这指的是在ArkTS中不支持明确赋值断言,但我们的代码是C++,所以不直接相关。 引用[3]:Valgrind检测到使用未初始化的变量和无效的读(读取没有分配地址空间的区域数据)。例如: ==73374== Use of uninitialised value of size 8 ==73374== Invalid read of size 1 ==73374== Address 0x0 is not stack'd, malloc'd or (recently) free'd 这些是常见的运行时错误原因,包括: 1. 使用了未初始化的变量 2. 访问了无效的内存地址(如空指针、已释放的内存等) 另外,引用[4]提到了一个线性代数错误(CSP error: LinAlgError),但这是Python中mne库的错误,与C++代码无关。 因此,我们重点关注引用[3]中提到的两类错误:未初始化变量和无效内存访问。 由于用户没有提供具体的DFS动态编程代码,我们只能根据常见错误进行推测。典型的DFS动态编程实现中可能出现的运行时错误包括: 1. 数组越界:在访问数组时,下标超出了数组的范围。这可能导致无效的内存访问。 2. 未初始化变量:动态规划数组或状态变量在使用前未正确初始化,导致使用了随机值。 3. 递归深度过大:如果递归深度很大,可能导致栈溢出。 4. 空指针解引用:在使用指针时,没有检查指针是否为空。 5. 内存泄漏:虽然不会直接导致运行时错误(除非内存耗尽),但长时间运行可能导致资源耗尽。 6. 重复释放同一块内存或访问已释放的内存。 由于用户提到是DFS动态编程,通常涉及递归和状态记忆,我们应特别注意: - 记忆化数组的初始化:确保所有状态在首次访问前被初始化为一个标记值(如-1或一个特殊常量),以避免未初始化就使用。 - 状态转移时边界条件:在递归的边界条件中,返回值是否正确,以及是否会导致后续计算错误。 另外,用户要求只指出有把握的问题,因此我们根据Valgrind报告的信息,重点检查: a) 是否使用了未初始化的变量? b) 是否访问了非法内存(如空指针、越界等)? 在没有具体代码的情况下,我们可以给出一般性建议: 1. 检查所有变量是否在使用前被初始化,特别是动态规划数组(dp数组)和中间计算结果。 2. 检查数组访问的下标是否在合法范围内(例如,对于大小为n的数组,下标从0到n-1)。 3. 检查指针操作:如果使用了指针,确保指针指向有效的内存区域,并且在解引用前不为空。 4. 使用调试工具(如Valgrind)运行程序,定位具体出错的位置。 如果用户能提供具体的代码段,我们可以更精确地定位问题。 根据上述分析,生成相关问题: 1. 你的代码中是否使用了动态分配的数组或指针?如果是,请检查内存分配和释放是否正确。 2. 在递归函数中,是否对所有可能的状态都进行了初始化? 3. 能否提供具体的错误信息(如Valgrind的输出)或导致错误的测试用例? 4. 递归深度是否过大?是否考虑使用迭代代替递归以避免栈溢出? 5. 在状态转移过程中,是否检查了数组索引的合法性(例如,索引非负且小于数组大小)? 注意:以上回答基于一般性分析,具体问题需要具体代码。</think>### C++ DFS动态编程运行时错误分析 根据提供的引用信息和DFS动态编程特性,以下是运行时错误的明确原因分析: 1. **未初始化变量使用**(明确原因) Valgrind检测到`Use of uninitialised value`错误(引用[3])。在DFS递归中常见问题: ```cpp int dp[MAX_STATES]; // 声明但未初始化 if (dp[state] != -1) return dp[state]; // 可能读取随机值 ``` **后果**:当记忆化数组未初始化时,条件判断`if (dp[state] != -1)`可能读取随机内存值,导致逻辑错误或非法内存访问。 2. **内存越界访问**(明确原因) 引用[3]检测到`Invalid read of size 1`和`Address 0x0 is not stack'd`错误,典型场景: ```cpp vector<int> adj[MAX_NODES]; // 邻接表 void dfs(int u) { for (int v : adj[u]) { // 若u超出节点范围 dfs(v); // 导致非法内存访问 } } ``` **根本原因**: - 节点索引超出有效范围(如`u >= MAX_NODES`) - 递归未处理边界条件(如`u < 0`) 3. **递归栈溢出**(高概率原因) 当DFS深度过大时(引用[4]的矩阵维度错误类似): ```cpp void dfs(int u) { // 缺少终止条件或终止条件错误 dfs(u+1); // 无限递归 } ``` **表现**:程序崩溃并报`Segmentation fault`或`Stack overflow`。 4. **空指针解引用**(明确原因) 引用[3]的`Address 0x0 is not stack'd`表明解引用空指针: ```cpp Node* graph = new Node[MAX_NODES]; void dfs(Node* curr) { if (curr->visited) return; // 若curr为空 } ``` 5. **线程安全违规**(多线程场景) 若在多线程中共享DP数组: ```cpp int dp[MAX]; // 全局共享 int dfs(int state) { if (dp[state] != -1) return dp[state]; // 并发读写冲突 } ``` **后果**:数据竞争导致未定义行为(UB)。 --- ### 调试建议 1. **初始化工具检查** 使用`g++ -fsanitize=address,undefined`编译,检测未初始化变量和越界访问。 2. **Valgrind重点检查** 运行`valgrind --leak-check=full --track-origins=yes ./program`,关注: - `Use of uninitialised value` - `Invalid read/write` - `Address 0x0`相关错误 3. **边界条件验证** 添加前置断言: ```cpp #include <cassert> void dfs(int u) { assert(u >= 0 && u < MAX_NODES); // 捕获越界 // ... } ``` 4. **递归深度监控** 添加深度计数器: ```cpp void dfs(int u, int depth) { if (depth > MAX_DEPTH) abort(); // 防止栈溢出 } ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值