fprintf 堆栈/缓冲区溢出答案

【问题标题】：fprintf stack/buffer overflowfprintf 堆栈/缓冲区溢出
【发布时间】：2013-12-30 19:23:17
【问题描述】：

第一次在这里发布海报。

我正在尝试在 c 中编写一个代码块，该代码块采用一个具有 5 个不同字符串（每个最多 32 个字符）的结构，将整个字符串连接成一个以逗号分隔的字符串并将其写入文本文件.我用 c++ 做过类似的事情，它工作得很好，我认为我的 c 版本的问题是，在这部分代码中......

char *out[256] = {(char*)malloc(sizeof(*out))};
int i;

*out = conc(v);

printf("%s\n", *out);

FILE *fp;
fp = fopen(fname, "w");

i = fprintf(fp, *out);

printf("i = %d\n", i);

fclose(fp);

我认为问题出在 i = fprintf(fp, *out) 行，每当 out 的总字符数超过 25 个字符时，程序就会崩溃并将以下内容转储到控制台...

*** glibc detected *** ./file2: free(): invalid next size (normal): 0x00000000011d5100 ***
======= Backtrace: =========
/lib/x86_64-linux-gnu/libc.so.6(+0x76d76)[0x7f62635f4d76]
/lib/x86_64-linux-gnu/libc.so.6(cfree+0x6c)[0x7f62635f9aac]
/lib/x86_64-linux-gnu/libc.so.6(fclose+0x14d)[0x7f62635e5ccd]
./file2[0x400f08]
./file2[0x400a95]
/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xfd)[0x7f626359cead]
./file2[0x400969]
======= Memory map: ========
00400000-00402000 r-xp 00000000 08:01 2099569                            /home/richard/Documents/C/file2
00601000-00602000 rw-p 00001000 08:01 2099569                            /home/richard/Documents/C/file2
011d5000-011f6000 rw-p 00000000 00:00 0                                  [heap]
7f625c000000-7f625c021000 rw-p 00000000 00:00 0 
7f625c021000-7f6260000000 ---p 00000000 00:00 0 
7f626357e000-7f62636fe000 r-xp 00000000 08:01 2883603                    /lib/x86_64-linux-gnu/libc-2.13.so
7f62636fe000-7f62638fe000 ---p 00180000 08:01 2883603                    /lib/x86_64-linux-gnu/libc-2.13.so
7f62638fe000-7f6263902000 r--p 00180000 08:01 2883603                    /lib/x86_64-linux-gnu/libc-2.13.so
7f6263902000-7f6263903000 rw-p 00184000 08:01 2883603                    /lib/x86_64-linux-gnu/libc-2.13.so
7f6263903000-7f6263908000 rw-p 00000000 00:00 0 
7f6263908000-7f626391d000 r-xp 00000000 08:01 2883588                    /lib/x86_64-linux-gnu/libgcc_s.so.1
7f626391d000-7f6263b1d000 ---p 00015000 08:01 2883588                    /lib/x86_64-linux-gnu/libgcc_s.so.1
7f6263b1d000-7f6263b1e000 rw-p 00015000 08:01 2883588                    /lib/x86_64-linux-gnu/libgcc_s.so.1
7f6263b1e000-7f6263b9f000 r-xp 00000000 08:01 2883600                    /lib/x86_64-linux-gnu/libm-2.13.so
7f6263b9f000-7f6263d9e000 ---p 00081000 08:01 2883600                    /lib/x86_64-linux-gnu/libm-2.13.so
7f6263d9e000-7f6263d9f000 r--p 00080000 08:01 2883600                    /lib/x86_64-linux-gnu/libm-2.13.so
7f6263d9f000-7f6263da0000 rw-p 00081000 08:01 2883600                    /lib/x86_64-linux-gnu/libm-2.13.so
7f6263da0000-7f6263e88000 r-xp 00000000 08:01 266029                     /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.17
7f6263e88000-7f6264088000 ---p 000e8000 08:01 266029                     /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.17
7f6264088000-7f6264090000 r--p 000e8000 08:01 266029                     /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.17
7f6264090000-7f6264092000 rw-p 000f0000 08:01 266029                     /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.17
7f6264092000-7f62640a7000 rw-p 00000000 00:00 0 
7f62640a7000-7f62640c7000 r-xp 00000000 08:01 2883606                    /lib/x86_64-linux-gnu/ld-2.13.so
7f62642ab000-7f62642b0000 rw-p 00000000 00:00 0 
7f62642c2000-7f62642c6000 rw-p 00000000 00:00 0 
7f62642c6000-7f62642c7000 r--p 0001f000 08:01 2883606                    /lib/x86_64-linux-gnu/ld-2.13.so
7f62642c7000-7f62642c8000 rw-p 00020000 08:01 2883606                    /lib/x86_64-linux-gnu/ld-2.13.so
7f62642c8000-7f62642c9000 rw-p 00000000 00:00 0 
7fff9a5f6000-7fff9a617000 rw-p 00000000 00:00 0                          [stack]
7fff9a761000-7fff9a762000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]
Aborted

当 out 的内容少于 25 个字符时，这非常有效。我对 c/c++ 还是相当陌生，所以我确信我在做一些明显愚蠢的事情，只是不确定它是什么。

这是在 Debian 上运行的（我认为是 7.3，最新版本），我还没有机会在任何其他计算机或操作系统上尝试它。

我在互联网上闲逛了一下，看看是否有任何方法可以为 fprintf 设置缓冲区，如果有的话我还没有找到。

感谢大家提供的任何帮助。

【问题讨论】：

那段代码没有多大意义......
给出conc(v)的原型
嘿，不，问题不是代码的一部分，而是整个问题。

标签： c linux

【解决方案1】：

仅分析代码的第一部分会发现一些严重的漏洞：

char *out[256] = {(char*)malloc(sizeof(*out))};
// 'out' is an array of 256 pointers, all of which are NULL except for the first pointer (out[0]),
// which points to a piece of dynamically allocated memory with a size of 4 bytes (sizeof(char*)).

*out = conc(v);
// Now out[0] is pointing to somewhere else, so you've definitely got a memory
// leak because you will not be able to free what you have "malloc'ed" above...

printf("%s\n", *out);
// If out[0] is not pointing to a null-terminated string, then your program will most
// likely perform a memory access violation at this point, leading to an exception...

【讨论】：

printf("%s\n", *out);
如果 'conc(v)' 返回一个指向以 null 结尾的字符串的指针，那么对 'printf' 的调用将正常工作（假设该字符串中没有 '%'）。由于您没有提供有关函数“conc”和参数“v”的任何信息，因此在执行“*out = conc(v)”后，我无法与“printf”的结果相关联。而且无论如何，调用'printf'的结果并不会改变上面提到的错误。
绝对是空终止的。 v 只是一个包含 5 个字符串的结构，而 conc 只是将它们连接成一个逗号分隔的字符串。下面的响应似乎让我的代码运行正常，所以我可能不得不在另一台机器上尝试它并继续使用它，我想这是我要学习的唯一方法。我肯定会进行修改以纠正您在上面突出显示的错误（我在第一次尝试时确实注意到它不会让我释放 *out，我不太确定为什么），所以感谢您的这些提示。
所以我假设 'conc' 返回某个结构的地址，转换为 char*，对吗？如果是这种情况，那么您也可能会遇到问题：如果该结构是动态分配的，那么您就不会在任何地方释放它（至少在您提供的示例中没有）。否则，您必须在函数“conc”中将其声明为“静态”（或作为全局变量，在这种情况下，您不需要“out 变量”）。如果您没有这样声明，那么您的代码很可能会崩溃，因为当您退出“conc”函数时，该结构不再“可行”。
而且无论如何，代码开头的“malloc”是完全多余的。

【解决方案2】：

检查这个答案：https://stackoverflow.com/a/2018787/2549281 看起来你错过了 fprintf 中的一个参数

fprintf(f, ": %s\n", str);

【讨论】：

谢谢伙计，我确实忘记添加“%s”了。但是，它仍然以完全相同的方式崩溃。
您是否设法在文件中打印了一些“abcdcdd”字符串？尝试本地化问题
是的，只要 out 的内容少于 25 个字符，它就可以打印到文件中。
如何连接字符串？你确定你没有添加一些破坏 fprintf 的垃圾吗？
我在我的机器上测试它工作正常。这是我的浓度： char* conc(char* a,char* b,char* c,char* v ) { char* out = malloc(sizeof(char)*255); strcat（出，一）； strcat（输出，b）； strcat（输出，c）； strcat(out,v);退出； }