在这些日子里,我正在研究缓冲区溢出技术,我试图自己做一个简单的例子,以便更好地理解如何利用这样的漏洞。
我写过这个简单的c程序:
//bof.c
#include <stdio.h>
#include <string.h>
void
BOF() {
printf("BOF");
}
void
foo1(char* argv){
char buff[10];
strcpy(buff, argv);
printf("foo1");
}
int
main(int argc, char* argv[])
{
if ( argc < 1 ) {
return 0;
}
foo1(argv[1]);
return 0;
}
我的目标是利用BOF漏洞,以便跳转到未调用的函数BOF(),从而打印出消息。 为了做到这一点,我有:
在gdb里面我做:
r perl -e 'print "\x44\x05\x40\x00\x00\x00\x00\x00" x1500',但没有任何反应。该计划正常结束。所以我在strcpy函数之后立即设置断点以查看寄存器,我收到的是:
rax 0x7ffffffeca20 140737488276000
rbx 0x0 0
rcx 0x7ffff7ab1f00 140737348574976
rdx 0x400544 4195652
rsi 0x7fffffffb8cd 140737488337101
rdi 0x7ffffffeca20 140737488276000
rbp 0x7ffffffeca30 0x7ffffffeca30
rsp 0x7ffffffeca10 0x7ffffffeca10
r8 0x400660 4195936
r9 0x7ffff7de9740 140737351948096
r10 0x7ffffffec7a0 140737488275360
r11 0x7ffff7b8fec0 140737349484224
r12 0x400460 4195424
r13 0x7ffffffecb30 140737488276272
r14 0x0 0
r15 0x0 0
rip 0x40057b 0x40057b <foo1+31>
eflags 0x206 [ PF IF ]
cs 0x33 51
ss 0x2b 43
ds 0x0 0
es 0x0 0
fs 0x0 0
gs 0x0 0
为什么寄存器没有被覆盖?我试图以更大的值更改1500参数,但没有任何改变。我也试过很少的值(如50或更少),但我得到了相同的结果。
我还尝试在堆栈中写入与地址不同的内容,只是为了查看寄存器是否被覆盖。例如,使用perl -e'print“A”x1500',我只能修改rbp寄存器而不是rip。但我通过阅读本网站上的一个帖子发现,在gdb上可能会发生这种情况,并尝试使用有效的地址。所以我做到了。
我做错了什么? BOF在现今的内核中是不是更可行?
在我忘记之前:我还删除了gdb限制元素以删除元素限制,使用:set print elements 0
最后,就像你可能想到看看寄存器一样,我有一台64位机器的ubuntu 12.04(内核版本3.5.0-39-generic)。
提前致谢。