下面的代码为一个64位程序的反汇编代码，在需要覆盖ebp的情况下，需要填充多少个字节到buf的缓冲区，才能改变程序的执行流程？ _int64 stack_overflow() { char buf; //[sp+7h] [bp-9h]@1 _int64 v2; // [sp+8h] [bp-8h]@1 v2 = *MK_FP(_FS_, 40LL); read(0, &buf, 0x100uLL); return *MK_FP(_FS_, 40LL) ^ v2; } 8个 9个 17个 18个

根据反汇编代码，可以看到函数内部定义了一个 char 类型的 buf 变量，它的大小为 1 字节。在该函数内部，read 函数的第二个参数是指向 buf 的指针，且读取的字节数为 0x100。由于 buf 的大小只有 1 字节，而读取的字节数为 0x100 字节，因此会导致栈溢出的问题。

为了改变程序的执行流程，需要覆盖函数的返回地址，而该地址保存在 ebp+4 的位置上。由于 buf 的大小为 1 字节，因此需要填充 17 个字节才能覆盖 ebp+4 的位置。因此，答案为 17 个字节。

相关问题

1.下为一段C语言源程序，其中，编译器为authenticated变量分配4个字节空间， 为buffer变量分配8个字节空间。程序执行完图中所标记的“strcpy(buffer,password);语句时，堆栈的布局如下图b所示(注意:低字节数据保存在低地址，例如字符串 “123”在堆栈中存储状态为“0x00333231”)。 #define PASSWORD "1234567” int verify password(char *password) { int authenticated; char buffer[8]; authenticated=strcmp(password,PASSWORD);//两者相同则返回0 strcpy (buffer, password) ; return authenticated; } int main () { int valid flag=0; char password[1024]; while(1) { printf("please input password: “); scanf("%s” ,password); Valid_flag=verify_password(password); //验证口今 if(valid_flag=0){ //口令有效 printf(“congratulation. You have passed the verification'\n”); break; } else{ //口令无效 printf("incorrect password\n\n”) ; } } } 图a 验证口令演示程序 buff[0]-buff[3] 低地址 buff[4]-buf[7] authenticated main函数EBP main函数返回地址 高地址 图b调用子程序时的堆栈布局 请分析程序及堆栈特征，回答如下问题: (1)当从键盘输入“1234567”时，程序执行完图a 中所标记的strcpy 语句之后，堆栈 会如何变化(请画图说明)?此时程序的最终执行结果将会是什么? (2)当满足什么条件时，可以在不知道真实口令的情况下绕过口令验证功能?为什么?

(1) 当从键盘输入“1234567”时，程序执行完图a中所标记的strcpy语句之后，堆栈会如下图所示变化：

buff[0]-buff[3] 低地址
0037 0036 0035 0034
0x31 0x32 0x33 0x34
buff[4]-buff[7]
0038 0039 0040 0041 0042 0043 0044 0045
0x35 0x36 0x37 0x00 ?    ?    ?    ?
authenticated
0046 0047 0048 0049
0x00 0x00 0x00 0x00
main函数EBP
0050 0051 0052 0053
?    ?    ?    ?
main函数返回地址
0054 0055 0056 0057
?    ?    ?    ?
高地址

此时，程序的最终执行结果将会是口令验证通过，输出“congratulation. You have passed the verification”。

(2) 当输入的口令长度超过8个字符时，可以在不知道真实口令的情况下绕过口令验证功能。因为buffer数组只能存储8个字符，如果输入的口令长度超过8个字符，会导致strcpy函数将多余的字符写入到authenticated变量和main函数的返回地址所在的内存空间，从而覆盖了这些关键数据，导致程序出现未知的错误，可能会使得程序出现异常，或者跳转到攻击者指定的地址执行恶意代码。这种漏洞称为栈溢出漏洞，是一种常见的安全漏洞。

将以下子程序反汇编的每一层说明解释：00401020 push ebp 00401021 mov ebp,esp 00401023 sub esp,40h 00401026 push ebx 00401027 push esi 00401028 push edi 00401029 lea edi,[ebp-40h] 0040102C mov ecx,10h 00401031 mov eax,0CCCCCCCCh 00401036 rep stos dword ptr [edi] 9: 10: return a*a+b*b; 00401038 mov eax,dword ptr [ebp+8] 0040103B imul eax,dword ptr [ebp+8] 0040103F mov ecx,dword ptr [ebp+0Ch] 00401042 imul ecx,dword ptr [ebp+0Ch] 00401046 add eax,ecx 11: 12: } 00401048 pop edi 00401049 pop esi 0040104A pop ebx 0040104B mov esp,ebp 0040104D pop ebp 0040104E ret

这段代码是一个带有两个参数的函数，函数的返回值是两个参数的平方和。以下是每条指令的解释：

00401020 push ebp ; 保存当前栈底指针
00401021 mov ebp,esp ; 设置新的栈底指针
00401023 sub esp,40h ; 为局部变量分配空间
00401026 push ebx ; 保存 ebx 寄存器的值
00401027 push esi ; 保存 esi 寄存器的值
00401028 push edi ; 保存 edi 寄存器的值
00401029 lea edi,[ebp-40h] ; 将 edi 寄存器设置为局部变量的地址
0040102C mov ecx,10h ; 将 ecx 寄存器设置为 16
00401031 mov eax,0CCCCCCCCh; 将 eax 寄存器设置为 0xcccccccc
00401036 rep stos dword ptr [edi] ; 将 dword ptr [edi] 的值设置为 eax，重复 ecx 次，即初始化局部变量为 0xcccccccc

9: 10: return a*a+b*b;

00401038 mov eax,dword ptr [ebp+8] ; 将 eax 寄存器设置为函数参数 a 的值
0040103B imul eax,dword ptr [ebp+8] ; 将 eax 寄存器与函数参数 a 的值相乘，即计算 a*a
0040103F mov ecx,dword ptr [ebp+0Ch] ; 将 ecx 寄存器设置为函数参数 b 的值
00401042 imul ecx,dword ptr [ebp+0Ch] ; 将 ecx 寄存器与函数参数 b 的值相乘，即计算 b*b
00401046 add eax,ecx ; 将 eax 寄存器与 ecx 寄存器的值相加，即计算 a*a+b*b

11: 12: }

00401048 pop edi ; 恢复 edi 寄存器的值
00401049 pop esi ; 恢复 esi 寄存器的值
0040104A pop ebx ; 恢复 ebx 寄存器的值
0040104B mov esp,ebp ; 恢复栈顶指针
0040104D pop ebp ; 恢复栈底指针
0040104E ret ; 返回 a*a+b*b 的值