撰写#include “stdafx.h”
#include <stdio.h>
#include <string.h>
#define PASSWORD “1234567”
int verify_password (char *password)
{
int authenticated;
char buffer[8];
authenticated=strcmp(password,PASSWORD);
strcpy(buffer,password);
return authenticated;
}
int main(int argc, char* argv[])
{
int valid_flag=0;
char password[1024];
while(1)
{
printf(“please input password: “);
scanf(“%s”,password);
valid_flag = verify_password(password);
if(valid_flag)
{
printf(“incorrect password!\n\n”);
}
else
{
printf(“Congratulation! You have passed the verification!\n”);
break;
}
}
}
题目大概是问password需要在什么样的情况下,才能在密码不匹配的情况下,通过认证。
考点在于 strcmp函数、strcpy越界和字符串后面的null-terminate,也就是\0,
int StrCmp(
PCSTR psz1,
PCSTR psz2
);
如果psz1和psz2的ASCII编码相等,返回0,如果psz1<psz2,返回-1,如果psz1>psz2,返回1
需要通过认证,valid_flag需要为0,也就是authenticated 为0,正常情况下,你输入1234567,返回的就是0。
最简单的方法就是溢出,用\0去覆盖掉authenticated。
因为截断符只有1byte,要去覆盖authenticated,那么authenticated的值必须在0-255之间
函数verify_password中buffer长度为8,那么password必须也为8,这样password后面跟的\0才能在strcpy的时候溢出到authenticated,使得authenticated归零。
放张图,可能更加直观点:
ebp+0x8 是传入的password地址,图中的0x0012FB7C
ebp-0xc 是buffer[8]的地址,图中的0x0012FB18
ebp-0x4 是authenticated的地址,图中的0x0012FB20
当strcmp(指令地址为0x00401041)执行完毕后,authenticated值被存放在0012FB20,它的隔壁就是老王,不对是buffer[8](0x0012FB18-0x0012FB1C)
strcpy(指令地址为0x00401054)在执行的没考虑到长度问题,当password数据长度为8时候,如图中是FFFFFFFF(左边可以看到464646后面的00),就溢出了,拷贝的时候把00也拷贝过去,覆盖了0x0012FB20的低位数据
属于城门失火,殃及池鱼。。。
当然,因为是ASCII,所以你密码写四个汉字也行的,比如“随便写写”,刚好是8位。
说了那么多,把strcpy(buffer,password);注释掉就没那么多事情了,我只能说他是带有使命而来的。