Переполнение буфера C++

Я пытаюсь научиться переполнению буфера и эксплуатации в C++. Я в лучшем случае промежуточный парень на С++, так что терпите меня. Я выполнил несколько руководств, но вот пример кода, иллюстрирующий мой вопрос:

#include <string>
#include <iostream>

using namespace std; 

int main()
{
  begin:
  int authentication = 0;
  char cUsername[10], cPassword[10];
  char cUser[10], cPass[10];

  cout << "Username: ";
  cin >> cUser;

  cout << "Pass: ";
  cin >> cPass;

  strcpy(cUsername, cUser);
  strcpy(cPassword, cPass);

  if(strcmp(cUsername, "admin") == 0 && strcmp(cPassword, "adminpass") == 0)
  {
    authentication = 1;
  }
  if(authentication)
  {
    cout << "Access granted\n";
    cout << (char)authentication;
  } 
  else 
  {
    cout << "Wrong username and password\n";
  }

  system("pause");
  goto begin;
}

Я знаю, что здесь есть все виды плохих juju с cin << String и т. д. В любом случае, когда я ввожу слишком много букв (например, тонну A) в cUser и cPass, я просто получаю нарушение прав доступа от Visual Studio. Если, однако, я наберу 20 с лишним A, затем пробел, затем еще A в cUser, он пропустит запрос cPass (при условии, что он был заполнен после того, как символ пробела вызвал возврат предыдущего вызова cin) и просто предоставит мне доступ.

В какой момент и почему происходит переполнение данных в «аутентификацию» и почему это происходит только тогда, когда у меня есть место, а не когда у меня есть миллион A... Я никогда не получаю «Нарушение прав доступа», когда я использую пробел в вход для cUser.


c++ exploit buffer overflow
person sraboy    schedule 09.01.2012    source источник
comment
система(пауза); перейти к началу; Нет, почти уверен, что вы новичок.   -  person Fabián Heredia Montiel    schedule 09.01.2012
comment
Вы пытаетесь получить переполнение и задаетесь вопросом, почему оно это делает? Или вы не хотите переполнения и просите решения? Также вы не должны использовать system(). Это огромный черный ход для хакера.   -  person    schedule 09.01.2012
comment
Кроме того, в моей системе есть программа под названием pause, которая запускает ядерные ракеты. Поэтому мне, вероятно, не следует запускать вашу программу.   -  person David Schwartz    schedule 09.01.2012
comment
почему вы используете массивы символов, когда вы включили заголовок строки ??? также goto и system(пауза)... Я не могу наказать тебя сильнее, чем ты.   -  person codekiddy    schedule 09.01.2012
comment
@DavidSchwartz ахахахах   -  person codekiddy    schedule 09.01.2012
comment
Вы прошли через это, используя отладчик, чтобы увидеть, что находится в ваших переменных по мере выполнения программы? Поскольку вы никогда не вводите ничего похожего на значения, используемые для установки аутентификации на 1, и переполнения не должны влиять на эту переменную (поскольку она объявлена ​​первой), мне было бы любопытно, что вы обнаружите.   -  person Scott Hunter    schedule 09.01.2012
comment
Ненавижу влезать и как бы захлестывать тему, но как system() является лазейкой для хакеров? Я знаю, что обычно это плохая практика, и все   -  person    schedule 09.01.2012
comment
Ваш код будет значительно легче читать и поддерживать, если вы будете использовать класс std::string вместо массивов символов.   -  person dreamlax    schedule 09.01.2012
comment
system(command) предназначена только для Windows, поэтому это не очень хорошая практика. не беспокойтесь о хакерском бэкдоре.   -  person codekiddy    schedule 09.01.2012
comment
@Michael, пользователь может заменить паузу системной функции своим собственным вредоносным кодом, поэтому при ее запуске запускается их код, а не приостанавливает программу. В огромной программе с большими последствиями и вложенными деньгами было бы, очевидно, плохой идеей иметь это в коде.   -  person    schedule 09.01.2012
comment
@codekiddy system("command") требуется стандартом C и наследуется C++ на всех платформах. Но его поведение полностью зависит от платформы. На некоторых платформах хакер может установить файл, который будет найден и выполнен вместо предполагаемого.   -  person Potatoswatter    schedule 09.01.2012
comment
о, спасибо, я этого не знал. +1   -  person codekiddy    schedule 09.01.2012
comment
Я никогда не думал об этом раньше. Итак, если бы кто-то знал, что у пользователя есть профессиональная программа, которая (вероятно, никогда не будет) использовать system(pause) или тому подобное, он мог бы назвать свою программу pause и заменить ее в корневом каталоге? вызывать это при использовании законной программы, что очень беспокоит, учитывая весь ужасный код, который я создаю: P   -  person    schedule 09.01.2012
comment
@Redmastif Я пытаюсь понять, почему пространство имеет значение. Почему без него получаю Access Violation, а если есть пробел, то софт по сути эксплуатируется с переполнением путем записи в аутентификацию. Почему в одном случае нарушение прав доступа отмечается, а в другом нет? Какая разница?   -  person sraboy    schedule 09.01.2012
comment
@sraboy Использование cin прекращает чтение, когда встречается с пробелами. Попробуйте вместо этого использовать getline(cin,cUser). Также проверьте эту ссылку.   -  person    schedule 09.01.2012

Ответы (6)


arrow_upward
27
arrow_downward

Я немного изменил вашу программу, чтобы сделать ее более наглядной:

#include <iostream>

int main( void )
{
 int authentication = 0;
 char cUsername[ 10 ];
 char cPassword[ 10 ];

 std::cout << "Username: ";
 std::cin >> cUsername;

 std::cout << "Pass: ";
 std::cin >> cPassword;

 if( std::strcmp( cUsername, "admin" ) == 0 && std::strcmp( cPassword, "adminpass" ) == 0 )
 {
  authentication = 1;
 }
 if( authentication )
 {
  std::cout << "Access granted\n";
  std::cout << ( char )authentication;
 }
 else
 {
  std::cout << "Wrong username and password\n";
 }

 return ( 0 );
}

Я скомпилировал его с помощью компилятора командной строки компилятора x64 MS, без оптимизации. Итак, теперь у нас есть исполняемый файл, который мы хотим «взломать». Мы загружаем программу с помощью WinDbg (действительно хороший отладчик) и смотрим на дизассемблирование (обратите внимание, для ясности я предоставил полную информацию об отладке):

00000001`3f1f1710 4883ec68        sub     rsp,68h
00000001`3f1f1714 488b0515db0300  mov     rax,qword ptr [Prototype_Console!__security_cookie (00000001`3f22f230)]
00000001`3f1f171b 4833c4          xor     rax,rsp
00000001`3f1f171e 4889442450      mov     qword ptr [rsp+50h],rax
00000001`3f1f1723 c744243800000000 mov     dword ptr [rsp+38h],0  // This gives us address of "authentication" on stack.
00000001`3f1f172b 488d156e1c0300  lea     rdx,[Prototype_Console!std::_Iosb<int>::end+0x78 (00000001`3f2233a0)]
00000001`3f1f1732 488d0d47f00300  lea     rcx,[Prototype_Console!std::cout (00000001`3f230780)]
00000001`3f1f1739 e8fdf9ffff      call    Prototype_Console!ILT+310(??$?6U?$char_traitsDstdstdYAAEAV?$basic_ostreamDU?$char_traitsDstd (00000001`3f1f113b)
00000001`3f1f173e 488d542428      lea     rdx,[rsp+28h] // This gives us address of "cUsername" on stack.
00000001`3f1f1743 488d0df6f00300  lea     rcx,[Prototype_Console!std::cin (00000001`3f230840)]
00000001`3f1f174a e823faffff      call    Prototype_Console!ILT+365(??$?5DU?$char_traitsDstdstdYAAEAV?$basic_istreamDU?$char_traitsDstd (00000001`3f1f1172)
00000001`3f1f174f 488d153e1c0300  lea     rdx,[Prototype_Console!std::_Iosb<int>::end+0x6c (00000001`3f223394)]
00000001`3f1f1756 488d0d23f00300  lea     rcx,[Prototype_Console!std::cout (00000001`3f230780)]
00000001`3f1f175d e8d9f9ffff      call    Prototype_Console!ILT+310(??$?6U?$char_traitsDstdstdYAAEAV?$basic_ostreamDU?$char_traitsDstd (00000001`3f1f113b)
00000001`3f1f1762 488d542440      lea     rdx,[rsp+40h] // This gives us address of "cPassword" on stack.
00000001`3f1f1767 488d0dd2f00300  lea     rcx,[Prototype_Console!std::cin (00000001`3f230840)]
00000001`3f1f176e e8fff9ffff      call    Prototype_Console!ILT+365(??$?5DU?$char_traitsDstdstdYAAEAV?$basic_istreamDU?$char_traitsDstd (00000001`3f1f1172)
00000001`3f1f1773 488d15321c0300  lea     rdx,[Prototype_Console!std::_Iosb<int>::end+0x84 (00000001`3f2233ac)]
00000001`3f1f177a 488d4c2428      lea     rcx,[rsp+28h]
00000001`3f1f177f e86c420000      call    Prototype_Console!strcmp (00000001`3f1f59f0)
00000001`3f1f1784 85c0            test    eax,eax
00000001`3f1f1786 751d            jne     Prototype_Console!main+0x95 (00000001`3f1f17a5)
00000001`3f1f1788 488d15291c0300  lea     rdx,[Prototype_Console!std::_Iosb<int>::end+0x90 (00000001`3f2233b8)]
00000001`3f1f178f 488d4c2440      lea     rcx,[rsp+40h]
00000001`3f1f1794 e857420000      call    Prototype_Console!strcmp (00000001`3f1f59f0)
00000001`3f1f1799 85c0            test    eax,eax
00000001`3f1f179b 7508            jne     Prototype_Console!main+0x95 (00000001`3f1f17a5)
00000001`3f1f179d c744243801000000 mov     dword ptr [rsp+38h],1
00000001`3f1f17a5 837c243800      cmp     dword ptr [rsp+38h],0
00000001`3f1f17aa 7426            je      Prototype_Console!main+0xc2 (00000001`3f1f17d2)
00000001`3f1f17ac 488d15151c0300  lea     rdx,[Prototype_Console!std::_Iosb<int>::end+0xa0 (00000001`3f2233c8)]
00000001`3f1f17b3 488d0dc6ef0300  lea     rcx,[Prototype_Console!std::cout (00000001`3f230780)]
00000001`3f1f17ba e87cf9ffff      call    Prototype_Console!ILT+310(??$?6U?$char_traitsDstdstdYAAEAV?$basic_ostreamDU?$char_traitsDstd (00000001`3f1f113b)
00000001`3f1f17bf 0fb6542438      movzx   edx,byte ptr [rsp+38h]
00000001`3f1f17c4 488d0db5ef0300  lea     rcx,[Prototype_Console!std::cout (00000001`3f230780)]
00000001`3f1f17cb e825f9ffff      call    Prototype_Console!ILT+240(??$?6U?$char_traitsDstdstdYAAEAV?$basic_ostreamDU?$char_traitsDstd (00000001`3f1f10f5)
00000001`3f1f17d0 eb13            jmp     Prototype_Console!main+0xd5 (00000001`3f1f17e5)
00000001`3f1f17d2 488d15ff1b0300  lea     rdx,[Prototype_Console!std::_Iosb<int>::end+0xb0 (00000001`3f2233d8)]
00000001`3f1f17d9 488d0da0ef0300  lea     rcx,[Prototype_Console!std::cout (00000001`3f230780)]
00000001`3f1f17e0 e856f9ffff      call    Prototype_Console!ILT+310(??$?6U?$char_traitsDstdstdYAAEAV?$basic_ostreamDU?$char_traitsDstd (00000001`3f1f113b)
00000001`3f1f17e5 33c0            xor     eax,eax
00000001`3f1f17e7 488b4c2450      mov     rcx,qword ptr [rsp+50h]
00000001`3f1f17ec 4833cc          xor     rcx,rsp
00000001`3f1f17ef e8bc420000      call    Prototype_Console!__security_check_cookie (00000001`3f1f5ab0)
00000001`3f1f17f4 4883c468        add     rsp,68h
00000001`3f1f17f8 c3              ret

Теперь, когда мы знаем, как работает стек x64, можно приступить к «взлому». RSP — это указатель стека, стек функций — это адреса выше значения RSP (стек увеличивается до меньших адресов). Итак, мы видим, что RSP+28h — это cUsername, RSP+38h — это authentication, а RSP+40h — это cPassword, где 28h, 38h и 40h — шестнадцатеричные смещения. Вот небольшое изображение для иллюстрации:

-----> old RSP value // Stack frame of caller of `main` is above, stack frame of main is below 

      16 bytes of
      "cPassword"
+40h
     8 bytes of "authentication"
+38h
      16 bytes of
      "cUsername"
+28h   


-----> RSP value = old RSP-68h

Что мы видим отсюда? Мы видим, что компилятор выровнял данные по 8-байтной границе: например, мы просили выделить 10 байт для cUsername, а получили 16 байт - x64-битный стек выровнен по 8-байтной границе, естественно. Это означает, что для записи в authentication нам нужно записать в cUsername БОЛЬШЕ 16 байтов (символов). Заметьте также, что компилятор поместил cPassword выше, чем authentication — мы не можем перезаписать authentication, используя cPassword, только cUsername.

Итак, теперь мы запускаем нашу программу и вводим Username: 0123456789abcdef1. 0123456789abcdef = 16 байт, следующие 1 будут помещены в младший байт authentication — нам этого достаточно:

Username: 0123456789abcdef1
Pass: whatever
Access granted
1
person lapk    schedule 09.01.2012
comment
Большое спасибо за то, что приложили все усилия, чтобы объяснить, казалось бы, невероятно простой вопрос. Я ценю прорыв ASM и пример. Ты настоящий инструктор! - person sraboy; 09.01.2012
comment
@sraboy Если вас интересует, как компилятор генерирует код, расположение памяти и т. Д., Тогда вам подойдут небольшие тестовые программы, подобные вашей. Просто прочитайте немного о наиболее распространенных инструкциях ассемблера и структуре стека для вашего процессора, и получите отладчик, который позволит вам дизассемблировать. Тогда вы сможете увидеть, как ваш код C/C++ преобразуется в настоящие машинные инструкции. Это позволяет не только использовать некоторые приемы, но и дает представление, например, о том, что умеет оптимизировать компилятор и т.д. - person lapk; 09.01.2012
comment
Привет, я новичок в С++. У меня есть глупый вопрос, как мы можем ограничить пользовательский ввод размером переменной, который мы объявили? Например, cUsername принимает только 10 символов, но пользователь может ввести больше, верно? Можно ли предотвратить переполнение этой переменной? - person overshadow; 14.10.2014
comment
@overshadow Да. Например, вы можете использовать std::setw(): std::cin >> std::setw(9) >> cUsername;. - person lapk; 14.10.2014
comment
УДИВИТЕЛЬНО, как такой древний/неприятный язык, как C++, выжил так долго. Может быть, его царствованию пора закончиться, уступив место современным языкам (не столь подверженным ошибкам вроде переполнения буфера). - person Z80; 17.05.2019

arrow_upward
2
arrow_downward

Он перезаписывает вашу переменную authentication. Это означает, что authentication будет положительным еще до того, как ваш код проверит имя пользователя и пароль. Чтобы проверить это, распечатайте аутентификацию перед проверкой.

Я немного расширю: когда вы вводите очень длинное имя пользователя, это длинное имя пользователя копируется вашим strcpy в cUsername. Эта переменная cUsername находится сразу после authentication и, следовательно, она перезаписывается слишком длинным именем пользователя.

Если вы введете очень-очень длинное имя пользователя, то (опять же) переменная аутентификации будет перезаписана. Но также теперь элементы дальше по стеку, такие как возвращаемое значение, будут перезаписаны. Если ваша программа перезапишет слишком высоко в стеке, то она будет очень сильно повреждена, и может случиться что угодно. На этом этапе вы по существу выполняете случайный код.

person Aaron McDaid    schedule 09.01.2012
comment
Почему наличие пробела предотвращает идентификацию нарушения прав доступа, а не просто перезаписывает аутентификацию? - person sraboy; 09.01.2012
comment
Я не думаю, что пространство имеет значение. Все пробелы обрабатываются cin одинаково. Я думаю, ваш вопрос: когда у меня около 20 символов в имени пользователя, программа переходит к аутентификации, а когда у меня много символов (скажем, 100), я получаю нарушение прав доступа. Почему эта разница? - person Aaron McDaid; 09.01.2012
comment
Ну хорошо тогда. Спасибо за ответ ... будучи самоучкой, я могу писать код отсюда и до небес, но я не могу отлаживать всю свою жизнь и мало знаю о стеке и распределении памяти. Цените информацию. - person sraboy; 09.01.2012
comment
@sraboy, какой компилятор ты использовал? Я проводил эксперименты и с g++, и с clang. Где вы используете clang? Какая версия какого компилятора? - person Aaron McDaid; 09.01.2012
comment
Я только что использовал Visual Studio 2010, поэтому MSVC++... какой бы компилятор я ни использовал сейчас, не уверен, какие обновления/пакеты обновлений у меня есть на данный момент. Обычно я просто использую C# или VB.NET/GDI для своих приложений, так что этот C++ материал с управлением памятью и т.д. совершенно новый для меня. Я привык ко всему управляемому коду. - person sraboy; 09.01.2012
comment
Спасибо за это, я заметил, что относительное расположение переменных различается в разных компиляторах. (Я думаю, что это просто случай различий в оптимизации.) Я смог получить ваше поведение с кодом, скомпилированным clang, но не g++. Я работаю на линуксе. В любом случае, ответ Аззы великолепен! - person Aaron McDaid; 09.01.2012

arrow_upward
1
arrow_downward

Если вы используете std::string, вы обнаружите, что ваша программа будет намного проще:

int main()
{
  bool authenticated = false;

  while(!authenticated)
  {
    string username;
    string password;

    cout << "Username: ";
    getline(cin, username); // you may want to read input differently

    cout << "Pass: ";
    getline(cin, password); // same as above

    // you'll need to check cin.fail() to see whether the stream
    // had failed to read data, and exit the loop with "break".

    if(username == "admin" && password == "adminpass")
    {
      authenticated = true;
    }
    else
    {
      cout << "Wrong username and password, try again\n";
    }
  }

  if(authenticated)
  {
    cout << "Access granted\n";
  }      
}

Редактировать:

Что касается вашего недавнего вопроса, я думаю, что по умолчанию cin >> string перестанет читать на первом символе пробела (т. нарушение доступа. Если вы хотите иметь возможность читать пробелы, вам нужно использовать getline, как я сделал выше, чтобы он читал всю строку текста, включая пробелы.

person dreamlax    schedule 09.01.2012
comment
Спасибо. Я знаю, как вообще избежать этой проблемы, но я пытаюсь выяснить особенности разницы в предоставлении пространства для cin. Без пробела я получаю нарушение прав доступа. С пространством я получаю свой подвиг. - person sraboy; 09.01.2012
comment
Ах! Спасибо. Я этого не понимал. Таким образом, cin просто перестает читать пробелы, и это не позволяет ему слишком много считывать в память, когда я пробую cin ›› uPass. Я знал, что он остановился на пробеле, но не сложил 2 и 2 в нескольких вещах. Запустив отладчик, я вижу, что происходит сейчас. Спасибо! - person sraboy; 09.01.2012

arrow_upward
1
arrow_downward

Предлагаемое решение для обнаружения указателя NULL и переполнения буфера в memcpy, memset, strcpy заранее и распечатки местоположения (файл: строка), где возникает проблема:

http://htvdanh.blogspot.com/2016/09/proposed-solution-to-detect-null.html

person Danh Hoang    schedule 07.10.2016

arrow_upward
0
arrow_downward

Когда вы компилируете программу, компилятор решает, как расположить ваши данные в памяти. Если программа содержит непроверенный доступ к массиву, ее можно использовать, поскольку злоумышленник, обладающий знаниями о расположении данных в памяти, может выяснить, как перезаписать критические переменные.

Однако C++ не дает вам полного контроля над размещением элементов в стеке. Локальные переменные могут появляться в памяти в любом порядке.

Чтобы понять эксплойты переполнения буфера, вам придется разобрать вашу программу и углубиться в машинный код. Это даст вам макет стека, включая все важные адреса возврата.

Кстати, «Нарушение прав доступа» исходит от вашей программы, а не от Visual Studio. Вам, вероятно, потребуется больше опыта в «прямом» инжиниринге, прежде чем приступать к обратному инжинирингу.

person Potatoswatter    schedule 09.01.2012
comment
форвард инжиниринг :D Я должен помнить это. - person Niklas B.; 09.01.2012
comment
Я обязательно поработаю над своей передовой инженерией... оцените остроту. Я пытаюсь понять, почему я получаю нарушение прав доступа в одном случае, а не в другом (с пробелом). - person sraboy; 09.01.2012
comment
@sraboy Не задумывался как остроумие или удар ... в любом случае результаты непредсказуемы, потому что вы не начали с достаточной информации, чтобы сделать прогноз. Вы снимаете в темноте, вы действительно рассчитываете получить определенные результаты? - person Potatoswatter; 09.01.2012
comment
Я не знал, чего ожидать. Все это было для меня новым. Ваш ответ не совсем объяснил это. У меня был практический вопрос; ваш ответ был абстрактным. В сочетании с AzzA это помогает, особенно знание того, что ваша ссылка на локальные переменные может появляться в любом порядке, было лучше объяснено тем, что он сообщил мне, что компилятор просто решил поместить cPassword выше аутентификации. Я мало что знаю о стеке и просто программирую, пока он не заработает. Это моя первая попытка разобраться в этом с практической точки зрения. Я парень с .NET (и QBASIC), поэтому управление памятью и т. Д. Для меня в новинку. - person sraboy; 09.01.2012

arrow_upward
0
arrow_downward

Поскольку ваш символ установлен на 10 позиций (включая символ NULL), все, что больше, переполнится Authentication. Есть множество способов исправить это, наиболее очевидным из которых является простое увеличение символа. Другими способами было бы ограничение количества букв, которые пользователь вводит при регистрации (при условии, что это было на сервере веб-сайта). Вы также можете использовать strlen(cUsername) для подсчета длины массива символов и запроса на повторный ввод имени пользователя с меньшим количеством символов.
РЕДАКТИРОВАТЬ:
Хорошо. Итак, что вы хотите сделать, это использовать getline(cin,cUser) вместо этого. cin прекращает чтение при первом появлении пробела. getline() будет читать всю строку с пробелами или без них.

person Community    schedule 09.01.2012
comment
Я понимаю, что есть много способов избежать этого; Я просто пытаюсь понять концепции здесь. Почему я получаю это нарушение прав доступа, когда нет места, но оно просто позволяет перезаписывать дополнительные данные в аутентификацию, если у меня есть место? - person sraboy; 09.01.2012
comment
Использование strlen(cUsername) для проверки того, не ввел ли пользователь слишком много символов, не сработает, потому что к тому времени будет слишком поздно. Вы хотите прекратить чтение, когда cUsername заполнится, а не проверять, не переполнен ли он впоследствии. - person dreamlax; 09.01.2012