我试图通过使用在gdb-peda中创建的循环模式来在简单的缓冲区溢出期间检索Ret地址的偏移量。我希望在返回被调用方帧时出现sigsegv,但我在注入缓冲区的printf中得到了它。
我正在使用x86 kali linux。我可以发现我的retaddress占用了264个字节,因此我能够通过收割来利用该程序。我想在整个循环模式中评估RET地址,因此我在gdb-peda中使用了
gdb-peda$ pattern_create 300 tmp.txt
创建模式。最后,我将二进制文件启动为:
gdb-peda$ r `cat tmp.txt`
ASLR被禁用,二进制文件编译为:
gcc -mpreferred-stack-boundary=2 rop.c -o rp
这是rop.c程序:
int main(int argc, char *argv[])
{
char buf[256];
strcpy(buf, argv[1]);
printf(buf);
}
我希望在main的返回处出现一个sigsegv,ESP指向循环模式的一段,释放RET地址的偏移,而不是在printf期间得到SIGSEGV。我正在报告peda输出:
gdb-peda$ r `cat tmp.txt`
Starting program: /mnt/hgfs/SSI/ROP/rp `cat tmp.txt`
Program received signal SIGSEGV, Segmentation fault.
[----------------------------------registers-----------------------------------]
EAX: 0x41414241 ('ABAA')
EBX: 0xb7fbe000 --> 0x1d4d6c
ECX: 0x0
EDX: 0x1
ESI: 0xb7fbed80 --> 0xfbad2a84
EDI: 0xe0
EBP: 0xbffff118 --> 0xbffff248 ("%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA")
ESP: 0xbfffec0c --> 0xb7e338d2 (<_IO_vfprintf_internal+8322>: add esp,0x10)
EIP: 0xb7e8163f (<__strlen_ia32+15>: cmp BYTE PTR [eax],dh)
EFLAGS: 0x10202 (carry parity adjust zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
0xb7e81639 <__strlen_ia32+9>: and edx,eax
0xb7e8163b <__strlen_ia32+11>: je 0xb7e81661 <__strlen_ia32+49>
0xb7e8163d <__strlen_ia32+13>: jp 0xb7e81656 <__strlen_ia32+38>
=> 0xb7e8163f <__strlen_ia32+15>: cmp BYTE PTR [eax],dh
0xb7e81641 <__strlen_ia32+17>: je 0xb7e816e6 <__strlen_ia32+182>
0xb7e81647 <__strlen_ia32+23>: inc eax
0xb7e81648 <__strlen_ia32+24>: cmp BYTE PTR [eax],dh
0xb7e8164a <__strlen_ia32+26>: je 0xb7e816e6 <__strlen_ia32+182>
[------------------------------------stack-------------------------------------]
0000| 0xbfffec0c --> 0xb7e338d2 (<_IO_vfprintf_internal+8322>: add esp,0x10)
0004| 0xbfffec10 ("ABAA\022\362\377\277\001")
0008| 0xbfffec14 --> 0xbffff212 ("%sA%BA%$A%nA%CA%-A%(A%DA%;A%)A%EA%aA%0A%FA%bA%1A%GA%cA%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA")
0012| 0xbfffec18 --> 0x1
0016| 0xbfffec1c --> 0x34 ('4')
0020| 0xbfffec20 --> 0x1d5c0c
0024| 0xbfffec24 --> 0x0
0028| 0xbfffec28 --> 0x200034 ('4')
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
__strlen_ia32 () at ../sysdeps/i386/i586/strlen.S:51
51 ../sysdeps/i386/i586/strlen.S: File o directory non esistente.
我能够利用该程序,但无法理解此错误的原因。 谢谢
答案 0 :(得分:0)
您的利用字符串(shellcode)是否包含任何%字符? 您将其作为格式字符串传递给printf 。
如果您的反汇编中显示的是0xbffff212 ("%sA%BA%$A%nA%CA%-A%(A%DA%;A%)A%EA%aA%0A%FA%bA%1A%GA%cA%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA"),则请注意它以%s开头。它要做的第一件事是寻找第二个arg并将其视为char*,显然它将传递给strlen。
由于您的main仅将一个arg传递给printf,因此堆栈上就存在任何垃圾,这不是指向0终止的字符串的有效指针,因此printf出现段错误。
即您的目标程序还具有格式字符串漏洞,因此您将在main返回之前通过拒绝服务攻击来利用它。 :P
使用printf("%s", buf);或fprintf(buf, stdout)打印任意字符串。
或者如果您不介意添加换行符,请使用puts(buf)。