如何调用缓冲区溢出？

Question

我有一个家庭作业要求我调用一个函数而不显式调用它，使用缓冲区溢出。代码基本上是这样的：

#include <stdio.h>
#include <stdlib.h>

void g()
{
    printf("now inside g()!\n");
}


void f()
{   
    printf("now inside f()!\n");
    // can only modify this section
    // cant call g(), maybe use g (pointer to function)
}

int main (int argc, char *argv[])
{
    f();
    return 0;
}

虽然我不确定如何进行。我考虑过更改程序计数器的返回地址，以便它直接转到 g() 的地址，但我不确定如何访问它。无论如何，提示会很棒。

Answer 1

试试这个：

void f()
{   
    void *x[1];
    printf("now inside f()!\n");
    // can only modify this section
    // cant call g(), maybe use g (pointer to function)
    x[-1]=&g;
}

或者这个：

void f()
{   
    void *x[1];
    printf("now inside f()!\n");
    // can only modify this section
    // cant call g(), maybe use g (pointer to function)
    x[1]=&g;
}

Answer 2

这取决于编译器，因此无法给出单一答案。

以下代码将为 gcc 4.4.1 执行您想要的操作。在禁用优化的情况下编译（重要！）

#include <stdio.h>
#include <stdlib.h>

void g()
{
    printf("now inside g()!\n");
}


void f()
{   
  int i;
  void * buffer[1];
  printf("now inside f()!\n");

  // can only modify this section
  // cant call g(), maybe use g (pointer to function)

  // place the address of g all over the stack:
  for (i=0; i<10; i++)
     buffer[i] = (void*) g;

  // and goodbye..
}

int main (int argc, char *argv[])
{
    f();
    return 0;
}

输出：

nils@doofnase:~$ gcc overflow.c
nils@doofnase:~$ ./a.out
now inside f()!
now inside g()!
now inside g()!
now inside g()!
now inside g()!
now inside g()!
now inside g()!
Segmentation fault

Answer 3

基本思想是改变函数的返回地址，以便在函数返回时继续在新的被黑地址处执行。正如 Nils 在其中一个答案中所做的那样，您可以声明一块内存（通常是数组）并以这样的方式溢出它，即返回地址也被覆盖。

我建议您在没有真正了解它们的工作原理的情况下，不要盲目地接受这里给出的任何程序。这篇文章写得很好，你会发现它很有用：

A step-by-step on the buffer overflow vulnerablity

Answer 4

由于这是家庭作业，我想回复 codeaddict's suggestion 了解缓冲区溢出的实际工作原理。

我通过阅读关于利用缓冲区溢出漏洞的优秀（如果有点过时）文章/教程来学习该技术Smashing The Stack For Fun And Profit。

Answer 5

虽然此解决方案不使用溢出技术来覆盖函数在堆栈上的返回地址，但它仍然会导致 g() 在返回到 main() 的途中被调用，只需修改 f()而不是直接调用g()。

Function epilogue-like inline assembly被添加到f()中，修改栈上返回地址的值，使f()通过g()返回。

#include <stdio.h>

void g()
{
    printf("now inside g()!\n");
}

void f()
{   
    printf("now inside f()!\n");
    // can only modify this section
    // cant call g(), maybe use g (pointer to function)

    /* x86 function epilogue-like inline assembly */
    /* Causes f() to return to g() on its way back to main() */
    asm(
        "mov %%ebp,%%esp;"
        "pop %%ebp;"
        "push %0;"
        "ret"
        : /* no output registers */
        : "r" (&g)
        : "%ebp", "%esp"
       );
}

int main (int argc, char *argv[])
{
    f();
    return 0;
}

了解此代码的工作原理有助于更好地了解函数的堆栈帧是如何为构成缓冲区溢出技术基础的特定架构设置的。