我一直在研究计算机漏洞,并且已经在这个问题上工作了无数个小时。 我似乎无法让堆正确溢出。尽管 glibc 检测到内存损坏,但在禁用 MALLOC_CHECK_ 后,我的程序正确执行并退出,就好像覆盖 block 头无关紧要一样。我正在运行 Kubuntu 12.04。
此练习来自“The Shellcoder's Handbook, 2nd Edition”,并且在线堆溢出教程中也有特色。我已多次按照 T 的说明操作并收到相同的结果。
这是我的程序代码:
/*basicheap*/
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
int main(int argc, char ** argv){
char *buf;
char *buf2;
buf=(char*)malloc(1024);
buf2=(char*)malloc(1024);
printf("buf=%p buf2=%p\n", buf, buf2);
strcpy(buf,argv[1]);
free(buf2);
free(buf);
}
当我使用 glibc 写入缓冲区时:
xxx@xxx-xxx:~/CProgs$ ./basicheap $(perl -e 'print "A"x1028')
buf=0x9356718 buf2=0x9356b20
*** glibc detected *** ./basicheap: double free or corruption (!prev): 0x09356b20 ***
======= Backtrace: =========
[0x804abff]
[0x8048f4a]
[0x80490d6]
[0x8048e29]
======= Memory map: ========
08048000-080ec000 r-xp 00000000 08:07 6816172 /home/xxx/CProgs/basicheap
080ec000-080ee000 rw-p 000a3000 08:07 6816172 /home/xxx/CProgs/basicheap
080ee000-080f0000 rw-p 00000000 00:00 0
09355000-09377000 rw-p 00000000 00:00 0 [heap]
b772a000-b772c000 rw-p 00000000 00:00 0
b772c000-b772d000 r-xp 00000000 00:00 0 [vdso]
bfc14000-bfc36000 rw-p 00000000 00:00 0 [stack]
Aborted (core dumped)
xxx@xxx-xxx:~/CProgs$
当我在关闭 glibc 的情况下写入缓冲区时:
xxx@xxx-xxx:~/CProgs$ MALLOC_CHECK_=0 ./basicheap $(perl -e 'print "A"x1028')
buf=0xa077718 buf2=0xa077b20
xxx@xxx-xxx:~/CProgs$
没有覆盖的Chunk头的GDB:
(gdb) run $(perl -e 'print "A"x1024')
Starting program: /home/xxx/CProgs/basicheap $(perl -e 'print "A"x1024')
buf=0x80f1718 buf2=0x80f1b20
Breakpoint 1, main (argc=2, argv=0xbfffedf4) at basicheap.c:16
16 free(buf2);
(gdb) x/x buf2-4
0x80f1b1c: 0x00000409
(gdb) x/x buf2-8
0x80f1b18: 0x00000000
(gdb) x/x buf2-12
0x80f1b14: 0x41414141
(gdb)
具有覆盖的 block 头的 GDB:
(gdb) run $(perl -e 'print "A"x1032')
Starting program: /home/xxx/CProgs/basicheap $(perl -e 'print "A"x1032')
buf=0x80f1718 buf2=0x80f1b20
Breakpoint 1, main (argc=2, argv=0xbfffede4) at basicheap.c:16
16 free(buf2);
(gdb) x/x buf2-4
0x80f1b1c: 0x41414141
(gdb) x/x buf2-8
0x80f1b18: 0x41414141
(gdb) x/x buf2-12
0x80f1b14: 0x41414141
(gdb)
两次程序都正常退出。 我错过了什么?他们是否改变了堆在最新版本的 Ubuntu 上的工作方式? 任何帮助将不胜感激!
更新:我已经在 gdb 中逐步执行程序集,发现我的程序进入了函数 free_check() 和函数 mem2chunk_check()。
在 mem2chunk_check() 函数中,我覆盖的值在 ESI 寄存器中被拾取,EDI 寄存器指向该值的地址。我看到它对我在 ESI 中的值所做的唯一事情是减去 1,然后转储该值。
经过多次谷歌搜索后,我未能找到有关 mem2chunk_check() 函数的任何文档。
这些堆溢出在现代系统上是否已过时?
最佳答案
在过去几年中,供应商默认使用任何内存操作函数的“强化”版本。例如,你得到的不是 memset,而是 'builtin_memset_chk',而不是 strcpy,你得到的是 'strcpy_chk'
要使您的简单溢出程序正常工作,您必须使用以下内容构建您的程序:
-fno-stack-protector -D_FORTIFY_SOURCE=0
关于c - 堆溢出问题 - 可以覆盖 block header ,损坏 Free(),但程序不会崩溃,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11878755/