0

嗨,我正在尝试为我构建的一个简单程序编写溢出漏洞利用程序。Bellow 是我编写的 C 程序。

#include <unistd.h>
#include <string.h>
#include <stdio.h>

char *string_in = "Did not work";

int test(char *this){
char sum_buf[6];
strncpy(sum_buf,this,24);
return 0;
}

void hello(){
printf("hello man");
string_in = "If this triggered, it means our shell code is working\n";
return;
}

int main(int argc, void **argv){

test("01234567890123456789\x00\x40\x06\x02");
printf("My string is %s",string_in);
return 0;

}

基本上发生的情况是,假设该字符串在覆盖 EBP 中读取,值为 0x00400602,这是我的函数 hello() 的返回地址。我知道这是我的函数 hello 的地址值,因为 objdump -d test_stack.o。从对象转储中,我可以看出 rsp 已提前 20 个字节,如下所示

00000000004005b4 <test>:
  4005b4:   55                      push   %rbp
  4005b5:   48 89 e5                mov    %rsp,%rbp
  4005b8:   48 83 ec 20             sub    $0x20,%rsp
  4005bc:   48 89 7d e8             mov    %rdi,-0x18(%rbp)
  4005c0:   64 48 8b 04 25 28 00    mov    %fs:0x28,%rax
  4005c7:   00 00 
  4005c9:   48 89 45 f8             mov    %rax,-0x8(%rbp)
  4005cd:   31 c0                   xor    %eax,%eax
  4005cf:   48 8b 4d e8             mov    -0x18(%rbp),%rcx
  4005d3:   48 8d 45 f0             lea    -0x10(%rbp),%rax
  4005d7:   ba 18 00 00 00          mov    $0x18,%edx
  4005dc:   48 89 ce                mov    %rcx,%rsi
  4005df:   48 89 c7                mov    %rax,%rdi
  4005e2:   e8 a9 fe ff ff          callq  400490 <strncpy@plt>
  4005e7:   b8 00 00 00 00          mov    $0x0,%eax
  4005ec:   48 8b 55 f8             mov    -0x8(%rbp),%rdx
  4005f0:   64 48 33 14 25 28 00    xor    %fs:0x28,%rdx
  4005f7:   00 00 
  4005f9:   74 05                   je     400600 <test+0x4c>
  4005fb:   e8 a0 fe ff ff          callq  4004a0 <__stack_chk_fail@plt>
  400600:   c9                      leaveq 
  400601:   c3                      retq   

0000000000400602 <hello>:
  400602:   55                      push   %rbp
  400603:   48 89 e5                mov    %rsp,%rbp
  400606:   b8 6d 07 40 00          mov    $0x40076d,%eax
  40060b:   48 89 c7                mov    %rax,%rdi
  40060e:   b8 00 00 00 00          mov    $0x0,%eax
  400613:   e8 98 fe ff ff          callq  4004b0 <printf@plt>
  400618:   48 c7 05 0d 0a 20 00    movq   $0x400778,0x200a0d(%rip)        #

由于低于 20 美元,%rsp 我知道我需要写至少 20 个字节......但我不确定我需要写多少才能到达我的 rbp。可能从我的 calq 中,我需要写 8 个或我的字节,因为有 2 个 x 调用。虽然我真的不确定我需要写多少。

我像这样编译我的程序......

gcc -g stack.c -o test_stack.o
execstack -s test_stack.o

因为我使用的是 ubuntu 11,所以我的内核版本是 3.0.17,所以我知道我的 aslr 默认是打开的。我可能需要关闭它,但我不知道该怎么做。我也在运行 i386:x86_64。我可以告诉我在运行期间我的堆栈实际上是什么样的吗?我怎样才能让它工作,我怎样才能找到我需要写多少?

谢谢您的帮助

4

1 回答 1

0

那么第一个问题是我必须关闭堆栈保护并打开 -fno-stack-protector 标志。一旦我这样做了,覆盖我的缓冲区就变得容易多了。第二个问题是即使字符串是用小端序读取和存储的,操作码和操作数似乎也是用大端序解释的。我不明白为什么会这样。最后,我有兴趣覆盖的不是 EBP 堆栈帧……而是我的函数的返回地址。这意味着我需要有效地覆盖多达 32 个字节,而不是写入 24 个字节。我终于让程序工作了!

于 2012-04-20T06:13:41.147 回答