0

こんにちは、作成した単純なプログラムのオーバーフロー エクスプロイトを作成しようとしています。以下は私が書いたCプログラムです。

#include <unistd.h>
#include <string.h>
#include <stdio.h>

char *string_in = "Did not work";

int test(char *this){
char sum_buf[6];
strncpy(sum_buf,this,24);
return 0;
}

void hello(){
printf("hello man");
string_in = "If this triggered, it means our shell code is working\n";
return;
}

int main(int argc, void **argv){

test("01234567890123456789\x00\x40\x06\x02");
printf("My string is %s",string_in);
return 0;

}

基本的に何が起こるかというと、文字列は、関数 hello() の戻りアドレスである 0x00400602 の値を持つ上書き EBP で読み取られると想定されます。objdump -d test_stack.o 以降、これが関数 hello のアドレスの値であることはわかっています。オブジェクト ダンプから、以下に示すように rsp が 20 バイト進んだことがわかります。

00000000004005b4 <test>:
  4005b4:   55                      push   %rbp
  4005b5:   48 89 e5                mov    %rsp,%rbp
  4005b8:   48 83 ec 20             sub    $0x20,%rsp
  4005bc:   48 89 7d e8             mov    %rdi,-0x18(%rbp)
  4005c0:   64 48 8b 04 25 28 00    mov    %fs:0x28,%rax
  4005c7:   00 00 
  4005c9:   48 89 45 f8             mov    %rax,-0x8(%rbp)
  4005cd:   31 c0                   xor    %eax,%eax
  4005cf:   48 8b 4d e8             mov    -0x18(%rbp),%rcx
  4005d3:   48 8d 45 f0             lea    -0x10(%rbp),%rax
  4005d7:   ba 18 00 00 00          mov    $0x18,%edx
  4005dc:   48 89 ce                mov    %rcx,%rsi
  4005df:   48 89 c7                mov    %rax,%rdi
  4005e2:   e8 a9 fe ff ff          callq  400490 <strncpy@plt>
  4005e7:   b8 00 00 00 00          mov    $0x0,%eax
  4005ec:   48 8b 55 f8             mov    -0x8(%rbp),%rdx
  4005f0:   64 48 33 14 25 28 00    xor    %fs:0x28,%rdx
  4005f7:   00 00 
  4005f9:   74 05                   je     400600 <test+0x4c>
  4005fb:   e8 a0 fe ff ff          callq  4004a0 <__stack_chk_fail@plt>
  400600:   c9                      leaveq 
  400601:   c3                      retq   

0000000000400602 <hello>:
  400602:   55                      push   %rbp
  400603:   48 89 e5                mov    %rsp,%rbp
  400606:   b8 6d 07 40 00          mov    $0x40076d,%eax
  40060b:   48 89 c7                mov    %rax,%rdi
  40060e:   b8 00 00 00 00          mov    $0x0,%eax
  400613:   e8 98 fe ff ff          callq  4004b0 <printf@plt>
  400618:   48 c7 05 0d 0a 20 00    movq   $0x400778,0x200a0d(%rip)        #

サブ $20,%rsp 以来、少なくとも 20 バイトを書き込む必要があることはわかっていますが、rbp に到達するためにさらにどれだけ書き込む必要があるかはわかりません。私のcalqから、2回の呼び出しがあるため、8または私のバイトを書き込む必要がある可能性があります。とはいえ、どれくらい書く必要があるのか​​ 本当にわかりません。

私は自分のプログラムを次のようにコンパイルします...

gcc -g stack.c -o test_stack.o
execstack -s test_stack.o

私は ubuntu 11 を使用しているので、私のカーネル バージョンは 3.0.17 のようなものなので、デフォルトで aslr がオンになっていることがわかっています。オフにする必要があるかもしれませんが、その方法がわかりません。また、i386:x86_64 を実行しています。実行中にスタックが実際にどのように見えるかを知ることはできますか? どうすればこれを機能させることができ、どのくらい書く必要があるかを知るにはどうすればよいですか?

助けてくれてありがとう

4

1 に答える 1

0

最初の問題は、-fno-stack-protector フラグをオンにしてスタック保護をオフにしなければならなかったことです。これを行うと、バッファを上書きするのがずっと簡単になりました。2 つ目の問題は、文字列がリトル エンディアンで読み取られて保存された場合でも、オペコードとオペランドがビッグ エンディアンで解釈されるように見えることでした。なぜそうなのかわかりません。最後に、上書きしたいのは EBP スタック フレームではなく、関数の戻りアドレスでした。つまり、24 バイトを書き込む代わりに、なんと 32 バイトを効果的に上書きする必要がありました。やっとプログラムが動くようになりました!

于 2012-04-20T06:13:41.147 に答える