開發平台(Platform): (Ex: Win10, Linux, ...)
linux
編譯器(Ex: GCC, clang, VC++...)+目標環境(跟開發平台不同的話需列出)
gcc -zexecstack -fno-stack-protector
額外使用到的函數庫(Library Used): (Ex: OpenGL, ...)
問題(Question):
其實不知道能不能發到這裡,但是資安版太少人,這又跟C有一點點關係就發到這裡了,不妥麻煩版主刪掉QQ
我自己在看大神教學影片學習的時候看到一個exploit,對大神的註解有點疑問
這是影片中的有洞的程式source code:
http://imgur.com/a/uogvP
環境下只有開ASLR,其他DEP和stack protector沒開
這是大神的exploit(python寫的,我只擷取部分):
http://imgur.com/a/gZcKS
補上完整版的:
http://imgur.com/a/Uj6nZ
後面加上r.interactive()就是完整版的exploit了
我的理解是:裡面的'A'*112是padding,p32(0x08048310)[email protected]/*
喔喔這個只是測試有沒有跳過去啦,我沒有截送shellcode的圖,想說那邊不是我要問的重點
你的理解沒錯,呼叫時先 push 參數再 push ret address所以我覺得是寫 exploit 的人完全弄反了gets 填資料是由低位址向高位址填,就算 overflow也根本不會蓋到 gets 的 return address你確定原始的 exploit 真的能用?
我上面那個只是擷取exploit的一部分而已,原本的測試過可以用等下補放完整的
這 exploit 還是一樣怎麼看都不對通常 padding 也是用 0x90 (NOP) 而不會用 'A'不過重點還是 gets 的 return address 並不會被蓋到會被蓋到的是 main() 的 return address所以我有點好奇,你是怎麼確定這 exploit 可以用的
呃因為我測過可以用,然後他main ret address被蓋成get@plt,所以後面gets的利用應該是自己做一個ret address讓他跳而不是一般的覆蓋至於nop sled我個人習慣也是寫\×90啦,可是那是因為之前做的需要跳回buf讓他滑,如果沒有要跳回buf應該填A也沒關係
那聽起來被蓋到的是 main 而不是 gets 的 return addres但還是很不對勁,buf 裡都填滿 A 了,shell code 是寫到哪裡去?你既然知道 nop sled 那應該知道一般就是把 shell code填在 stack 的 char buf[100] 裡面,免得出別的槌啊...
因為有開aslr,所以應該是寫到全域變數(即使開aslr也不會變)那個section裡面吧因為global不會變,所以盡量寫在global裡面,講師是這樣講的
Intel 組合語言裡叫他 data segment ... 我懂你的意思了不過我還是覺得位置關係對不上可能這邊的 calling convension 和我以前學的不太一樣了
啊記錯惹><我老是把section segment搞錯
那個 'A' 為什麼是填 112 個,這一點我一直想不透
這是buffer到ebp位置的byte數,測出來的
可能是 main() 的某些特殊參數吧? 雖然原始碼沒寫出來啊,main 的參數應該放在 main 的 ret addr 前面才對