Решил попрактиковаться в переполнении буфера. Накатал быстренько уязвимую программу. При передаче такого аргумента `perl -e 'print "A"x100'` в отладчике gdb выдаёт:
Starting program: /home/inflame/prog `perl -e 'print "A"x100'`

Program received signal SIGSEGV, Segmentation fault.
0x08048407 in main()
Вывод команды i r:
eax 0x0 0
ecx 0x41414141 1073745396
edx 0x0 0
ebx 0x4016e800 1075243008
esp 0x4141413d 0x4141413d
ebp 0x41414141 0x41414141
esi 0x40016640 1073833536
edi 0x8048510 134513936
eip 0x8048407 0x8048407 <main+99>
...
Тогда как, на сколько я понимаю, регистр eip должен быть перезаписан на 0x41414141. Но такого не происходит и передать управление на шелл-код не удаётся.
В чём проблема?

Уязвимая программа:

#include <stdio.h>
#include <string.h>

int main (int argc, char *argv[])
{
char buf[10];

if (argc > 1)
strcpy(buf, argv[1]);

return 0;
}


Дистрибутив Mandriva 2009.1
Компилятор gcc 4.3.2

1. 0x8048407 <- что за адрес? включается ли он в образ проги в памяти
2. В студии (я как бэ виндовс секурити изучаю) по умолчанию включена проверка на переполненные буферы и по умолчанию будет отслеженна такая ситуация и прога будет по тихому прибита. Есть ли в gcc такая шняга я не знаю ...
3. В таких ситуациях надо вручную смотреть как происходит переполнение в отладчике иначе трудно чтолибо говорить.

>>. В студии (я как бэ виндовс секурити изучаю) по умолчанию включена проверка на переполненные буферы

ничего там не включено.только отвратительые ворнинги со словами юзайте _s или пишите CRT_SECURE_NO_DEPRECATE

2 ТС
запусти отладчик?

2desTiny

я не про depricated говорил вообщето


/GS [-]
Обнаружение некоторых возможных переполнений буфера, при которых перезаписывается возвращаемый адрес.

MSDN! (http://msdn.microsoft.com/ru-ru/library/8dbf701c.aspx)


Оно работает таки )



sub_401000 proc near ; CODE XREF: sub_401030+Ap
.text:00401000
.text:00401000 var_10 = byte ptr -10h
.text:00401000 var_4 = dword ptr -4 <- помещаем переменную между буфером и адресом возврата, etc
.text:00401000 arg_0 = dword ptr 8
.text:00401000
.text:00401000 push ebp
.text:00401001 mov ebp, esp
.text:00401003 sub esp, 10h
.text:00401006 mov eax, dword_40A000
.text:0040100B xor eax, ebp <- для каждой функции свое персональное значение
.text:0040100D mov [ebp+var_4], eax <- сохраняем значение в качестве метки
.text:00401010 mov eax, [ebp+arg_0]
.text:00401013 push eax ; char *
.text:00401014 lea ecx, [ebp+var_10]
.text:00401017 push ecx ; char *
.text:00401018 call _strcpy
.text:0040101D add esp, 8
.text:00401020 mov ecx, [ebp+var_4]
.text:00401023 xor ecx, ebp <- в случае если буфер переполнится, локальная переменная затрется
.text:00401025 call sub_401148 <- что и проверяется здесь, если она не соответствует постоянному значению процесс тихо прибъется.
.text:0040102A mov esp, ebp
.text:0040102C pop ebp
.text:0040102D retn
.text:0040102D sub_401000 endp

2desTiny
я ведь выложил листинг с gdb. Ведь поидее после передачи 200 символов в 10-символьный буфер адрес возврата стопроцентно должен перезаписаться. А у меня вместо 0x41414141 в eip 0x8048407.
А, кстати, может ли это быть защита со стороны ОС или компилятора? Никакие патчи не ставил.

2InFlame
В отладчике пошагово выполни прогу и смотри что у тебя в стеке и какие левые операции компилятор вставил в твою функцию + документацию по gcc найди

2desTiny

я не про depricated говорил вообщето


/GS [-]
Обнаружение некоторых возможных переполнений буфера, при которых перезаписывается возвращаемый адрес.

MSDN! (http://msdn.microsoft.com/ru-ru/library/8dbf701c.aspx)


Оно работает таки )



int main(){
int a[100];
for (int j = 0; j < 1000; j++){
a[j] = j;
}
}

трям. VS2008 сказало, что сие есть ошибка без малейшего вопроса.

ага, в дебаг версии оно тебе скажет конечно про переполнение. Только, что ты этим хотем показать?

да, видимо криво сказал. оно компилится, запускается и с самой чистой совестью затирает адрес возврата

2desTiny
млин, ты бы хоть в вышеприведенный дизасм код посмотрел. Естественно затрется адрес возврата, НО защита не даст выйти из функции (и как результат, выполнить переход на шеллкод) и тихо убьёт процесс ExitProcess`ом. Так что креша приложения по исключению ты не наблюдал скорее всего (хотя опять же не помню с какой версии компилится с /GS по умолчанию, посмотри настройки проекта, чтото типа stack protection), а приложение тихо сдохло (это для релиз версии приминительно, насколько помню в дебаг версии там ещё перед убийством процесса окошко выдаёт, что буфер переполнился с минимальной инфой).

Buffer Security что-то там (/GS) включён

компилирую вот такой код в Release (вывод добавлен, чтобы оптимизация не убила массив вообще):

#include "stdio.h"
int main(){
int a[100];
for (int j = 0; j < 1000; j++){
a[j] = j;
}
printf("%d",a[99]);
}


получаю код:

00401000 SUB ESP,190
00401006 XOR EAX,EAX
00401008 JMP SHORT aaaqqww.00401010
0040100A LEA EBX,DWORD PTR DS:[EBX]
00401010 /MOV DWORD PTR SS:[ESP+EAX*4],EAX
00401013 |INC EAX
00401014 |CMP EAX,3E8
00401019 \JL SHORT aaaqqww.00401010
0040101B MOV EAX,DWORD PTR SS:[ESP+18C]
00401022 PUSH EAX ; /<%d> = 0
00401023 PUSH aaaqqww.004020F4 ; |format = "%d"
00401028 CALL DWORD PTR DS:[<&MSVCR90.printf>] ; \printf
0040102E XOR EAX,EAX
00401030 ADD ESP,198
00401036 RETN



Наслаждайся :)
Кстати конкретно данный код приводит к выполнению шеллкода совсем смешным образом - вначале он переписывет SEH запись, а затем уже пытается записать что-то выше верхней границы стека и вызывает exception, обрабатываемый перезаписанным обработчиком. Но можно и просто переписать, если тысячу уменьшить

В коде не видно защиты, добавляемой /GS, видимо при неиспользовании опасных функций код не добавляется. Я все особенности защиты не изучал, такчто возможно =/

В коде не видно защиты, добавляемой /GS, видимо при неиспользовании опасных функций код не добавляется. Я все особенности защиты не изучал, такчто возможно =/

тоже столкнулся с защитой буфера.
при попытки произвести перезапись в ubuntu
получаю ошибку
*** stack smashing detected ***: stack_vuln terminated

вообщем вопрос как обойти такую защиту?!?!
говорят что ее нельзя обойти.