01.栈溢出实验-临近变量淹没 - 汇编语言详解 - Windows - 看雪学苑-看雪-安全培训|安全招聘|www.kanxue.com

返回首页

发送邮件

微信公众号

01.栈溢出实验-临近变量淹没

一.实验环境：

操作系统    Windows XP SP3
开发环境    VC++ 6.0
调试器 Ollydbg

二.实验代码：

#include <stdio.h>
#include<string.h>
 
#define PASSWORD "1234567"
 
int verify_password (char *password)
{
    int authenticated;
    char buffer[8];
    authenticated=strcmp(password,PASSWORD);
    strcpy(buffer,password);    
    return authenticated;
}
 
 
main()
{
    int valid_flag=0;
    char password[1024];
    while(1)
    {
        printf("please input password:       ");
         
        scanf("%s",password);
         
        valid_flag = verify_password(password);
         
        if(valid_flag)
        {
            printf("incorrect password!nn");
        }
        else
        {
            printf("Congratulation! You have passed the verification!n");
            break;
        }
    }
}

三.溢出原理

1	`程序未对输入的密码进行长度检测，接收密码的缓冲区只有8，而输入的密码最长可以输入1024。判断密码是否正确的变量authenticated存储在栈中，当输入的密码长度大于8时，输入的字符串将冲破缓冲区，淹没authenticated所处的位置。当密码错误时authenticated的值是1，正确的时候authenticated的值是0.这就意味着我们可以构造一个合适的输入字符串来改变判断结果。`

四.实战调试

1	`我们的重点不是逆向工程，而是漏洞分析，故此不再详诉诸如寻找main函数等逆向知识。`

1.在jmp mai下断点，方便后续反复调试
图片描述

2.单步步入main函数分析程序
图片描述

3.分析main函数逻辑，可以看出主要问题出在密码比对函数00401005
3.1输出引导字符串后，要求用户输入密码。
图片描述

3.2通过00401005处的函数进行密码比对
图片描述

3.3判断比对结果是不是0，如果是0则输出成功字符串，如果是1则输出失败字符串。
图片描述

4.单步执行程序，随便输入一个密码，然后单步步入00401005函数，分析这个函数的内容。
图片描述

4.1可以看出这个00401005是个跳转，直接单步进入函数真实位置。
图片描述

4.2进入到函数内部后可以看到真正的密码是1234567，如果我们是在逆向破解这个程序，那么到了这一步，就已经算是成功了。但是我们的目的是分析漏洞，所以我们现在进一步分析这个函数。
图片描述

4.2.1可以看出，在strcmp之后，ebp-4的位置上就有了密码比对的结果
4.2.1.1strcmp比对密码，将比对结果存入ebp-4的位置上
图片描述

4.2.1.2栈中的密码比对结果
图片描述

4.2.2如果是正常的程序，这个时候就应该返回了，但是因为是实验代码，所以下面还有一个strcpy的拷贝函数，将输入的密码字符串拷贝入一个长度为8的缓冲区中。
图片描述

4.2.3当执行完strcpy的时候我们看一下堆栈区，可以看到字符串缓冲区的位置就在密码字符串比对结果旁边，并且strcpy没有对拷贝入的字符串进行长度判断。因此我们可以判断，我们在构造一个合适的字符串传入的情况下，是可以覆盖密码字符串比对结果的。这也意味着我们可以传入一个合适的字符串来冲破密码验证。
图片描述