溢出攻擊eip寄存器覆蓋問題

wangyaoysu

     在自己的電腦上演示溢出攻.出現(xiàn)如下問題：
         gdb中測試覆蓋eip。當(dāng)輸入的n個‘A’時可以eip顯示為414141，差一個字節(jié)沒覆蓋。但當(dāng)輸入n+1個'A'時確顯示是eip內(nèi)容為函數(shù)調(diào)用返回ret語句地址的內(nèi)容。
         求解～～～

zylthinking

分別啥時候 p $eip 的？

wangyaoysu

在gdb中i reg得到的eip的內(nèi)容。是發(fā)生段錯誤后返回后的

wangyaoysu

是在gdb中調(diào)試出錯返回后i reg得到的eip信息

zylthinking

第二次既然是正確的返回地址怎么會出錯？

wangyaoysu

所以我也很不解。這個是打印結(jié)果：
Program received signal SIGSEGV, Segmentation fault.
0x08048434 in main ()
(gdb) i reg
eax            0x0        0
ecx            0xbffff2a8        -1073745240
edx            0x28d360        2675552
ebx            0x28bff4        2670580
esp            0xbffff2ec        0xbffff2ec
ebp            0x41414141        0x41414141
esi            0x0        0
edi            0x0        0
eip            0x8048434        0x8048434 <main+64>
eflags         0x10296        [ PF AF SF IF RF ]
我disas main得到的是<main+64>是ret。
如果是第一種情況時結(jié)果會是 0x414141 in ?();

zylthinking

這我也沒辦法解釋了， 我倒知道有個棧破壞檢測的東西， 但似乎也解釋不通。
但看那個ret, 很顯然是main 中 return 生成的； 倒不是 call 時那個返回地址

wangyaoysu

#include <stdio.h>
#include <string.h>
額～看來要擱淺了。
不過有另外發(fā)現(xiàn)就是如果arr的長度定義為5時就只是顯示段錯誤。但如果長度是10的話還會調(diào)出** stack smashing detected ***顯示錯誤。
int main(int argc, char **argv)
{
        char arr[5];

        strcpy(arr, argv[1]);
        printf("arr: 0x%c\n", *arr);

        return(0);
}

zylthinking

反匯編一下， 然后一步步跟， 總能得到解釋的

sunuslee

lz，您可以看看這
http://sunus.is-programmer.com/
我這個blog廢棄之前最后一篇就是寫個緩沖區(qū)溢出小實(shí)驗(yàn)。
gcc是有棧檢測的東西，你或許編譯的時候需要加參數(shù)取消棧檢測之后再進(jìn)行實(shí)驗(yàn)