我正在为我的系统安全类编写返回 libc 攻击。一、易受攻击的代码:
//vuln.c
#include <stdio.h>
#include <stdlib.h>
int loadconfig(void){
char buf[1024];
sprintf(buf, "%s/.config", getenv("HOME"));
return 0;
}
int main(int argc, char **argv){
loadconfig();
return 0;
}
我想用一个返回libc的攻击。编译和调试程序:
$ gcc -g -fno-stack-protector -o vuln vuln.c
$ gdb vuln
(gdb) break loadconfig
(gdb) run
Reached breakpoint blah blah blah.
(gdb) p $ebp
$1 = (void *) 0xbfffefb0
(gdb) p system
$2 = {<text variable, no debug info>} 0x0016db20 <system>
(gdb) p exit
$3 = {<text variable, no debug info>} 0x001639e0 <exit>
(gdb) x/2000s $esp
...
0xbffff5af: "SHELL=/bin/bash"
为了执行攻击,我想将缓冲区溢出到loadconfig
的返回地址(又名$esp+4
),用返回地址替换它system
,然后是返回地址exit
(因为system
需要一个真实的返回地址),然后是命令名称(的地址SHELL=/bin/bash
加 6,修剪SHELL=
零件)。这应该可以通过制作一个$HOME
包含 1024 个废话字符的环境变量,然后是 、 和 的 little-endian 地址system
来exit
实现/bin/bash
。
但是,对于我尝试过的每台计算机,system
都会在以 0x00 开头的地址加载,这将终止sprintf
正在读取的字符串并停止攻击。有什么方法可以强制libc
加载内存中的其他地方,还是我误解了攻击?
作为参考,我在 VirtualBox(Windows 主机)中运行 Ubuntu Server 11.10 虚拟机,gcc
版本为 4.6.1 和gdb
版本 7.3-2011.08。编辑:ASLR 被禁用,我用它编译-fno-stack-protector
以删除金丝雀。因为我没有从堆栈中执行任何东西,所以我不需要execstack
它。