在学习c/c++的时候,就讲到了一些C类型的字符串函数不是安全的,比如strcpy没有检查长度会溢出,推荐使用strncpy,笔试面试也经常问到。同时经常浏览安全相关的新闻,缓冲区溢出攻击是很常见的一种。那缓冲区溢出为什么可以攻击。今天通过strcpy进行简单的演示。
如下是guess_pwd.cpp代码
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
int main(int argc, char *argv[])
{
if (argc != 2)
{
printf("Invalid params
");
exit(1);
}
bool check_result = false;
char pass[10];
memset(pass,0,10);
strcpy(pass, argv[1]);
if (0 == strcmp("xuzeshui", pass))
{
check_result = true;
}
if (check_result)
{
printf("Check password succ!
");
}
else
{
printf("Check password failed!
");
}
return 0;
}
上面的代码使用g++编译 g++ -o guess_pwd guess_pwd.cpp 生成可执行文件。当我们运行下面的输入。
./guess_pwd 0123456789012345
我们期望的是提示”Check password failed!”,结果却提示了”Check password succ!”。说明尽管我们不知道密码是多少,但通过缓冲区溢出,绕过了密码的安全检验逻辑。
上述check_result和pass两个变量由于是局部变量,故申请的时候是在栈上分配。由于栈是从高地址往低地址,所以从地址由低到高,check_result分配在pass后面,当进行strcpy操作的时候,因为没有检测输入长度,所以pass溢出了,会覆盖后面的内存区域。由于check_result在pass后面,所以当溢出足够的时候,check_result被改写了。
PS:check_result是否是仅挨着pass分配那不得而知,这个取决于编译器的优化,但是溢出就面临数据被异常改写的风险。
转载自听风江湖
本文链接地址: strcpy溢出的攻击示例