- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
这个问题是关于《黑客:剥削的艺术》第二版第 121 页上的程序 notesearch 的利用。
在漏洞利用中有一些我不明白的地方:
When the System executes the ./notesearch 'xyz....' the argument 'xyz...' overflows the string buffer in the child program thereby overwriting the return address....that much is clear.
这里的假设是 notesearch 程序的栈帧位于调用 exploit 的栈帧之上。当编译版本存在于同一系统上时,这适用。
我的第一个问题是 1. 即使作为远程 hack,它也能工作吗?
我的第二个问题是2. 由于缓冲区已被用于覆盖包括返回地址和返回地址之外的所有变量,notesearch 程序如何按预期工作?位于此堆栈框架中并决定是否打印消息的变量(如“打印”等)似乎都可以正常工作。即使调用函数位于相关堆栈框架的顶部,也就是正在被淹没的字符串缓冲区所在的位置,但仍有某些关键变量会被覆盖。
问题编号3.鉴于 String 缓冲区是在 notesearch 开始执行后插入的新堆栈帧的一部分,缓冲区将覆盖该 notesearch 程序中的所有给定变量。缓冲区也是搜索字符串的值。根据程序逻辑,由于搜索字符串与消息不匹配,程序不应输出用户消息的详细信息。在这种情况下,会出现消息。我想知道为什么?
最佳答案
(供引用:本书是http://www.tinker.tv/download/hacking2_sample.pdf,代码可从http://www.nostarch.com/hacking2.htm免费下载。)
继续看书;另一个例子在第 122 页给出,然后有大量的解释性文字说明了所有关于漏洞利用的信息。
这是 notesearch
代码的相关部分:
int main(int argc, char *argv[]) {
int userid, printing=1, fd; // file descriptor
char searchstring[100];
if(argc > 1) // If there is an arg
strcpy(searchstring, argv[1]); // that is the search string
else // otherwise
searchstring[0] = 0; // search string is empty
userid = getuid();
fd = open(FILENAME, O_RDONLY); // open the file for read-only access
你写道:
The assumption here is that the notesearch program's stack frame comes ontop of the calling exploit's Stack frame.
不,那是错误的。这里只有一个堆栈帧是相关的:notesearch
中的 main()
函数的堆栈帧。我们通过 exploit_notesearch
中的 system()
调用调用 ./notesearch xyz...
的事实是无关紧要的;我们也可以直接在 bash 命令行上调用 ./notesearch xyz...
,或者欺骗其他进程(例如,bash)执行它代表我们。
- Will this work even as a remote hack?
当然。
- Since the buffer has been used to overwrite all variables including and beyond the return address, how does the notesearch program work as intended?
嗯,它并没有真的按预期工作。再看看输出:
reader@hacking:~/booksrc $ gcc exploit_notesearch.c
reader@hacking:~/booksrc $ ./a.out
[DEBUG] found a 34 byte note for user id 999
[DEBUG] found a 41 byte note for user id 999
-------[ end of note data ]-------
sh-3.2#
给你一个 shell 显然不算“按预期工作”。但甚至在此之前,该程序声称在 /var/notes
中找到了 userid 999 的注释,这可能表明它有点困惑。作为恶意黑客,我们不关心 notesearch 程序的垃圾输出;我们只关心它最终到达 main()
的末尾并返回到我们的 shellcode,让我们可以访问 shell。
但是,如果您想知道我们如何在不覆盖局部变量 userid
、printing
和 fd
的情况下设法覆盖返回地址,至少有三种明显的可能性:
A. 也许这些变量分配在堆栈的searchstring
之下。
B.也许这些变量是在寄存器中而不是在堆栈中分配的。
C. 绝大多数情况下,这些变量正在被覆盖,但它们的初始值对程序来说根本无关紧要。例如,userid
可以获取任何值,因为该垃圾值将立即被下一行的 getuid()
覆盖。初始值重要的唯一变量是打印
。甚至 打印
也只会在它恰好得到值 0
时改变程序的行为——而它不能得到值 0
,因为根据设计,我们要复制的数据完全由非零字节组成。
关于c - Notesearch 漏洞利用异常 (Hacking : Art of Exploitation),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21074333/
问题很简单:我正在寻找一种优雅的使用方式 CompletableFuture#exceptionally与 CompletableFuture#supplyAsync 一起.这是行不通的: priva
对于 Web 服务,我们通常使用 maven-jaxb2-plugin 生成 java bean,并在 Spring 中使用 JAXB2 编码。我想知道如何处理 WSDL/XSD 中声明的(SOAP-
这个问题已经有答案了: Array index out of bound behavior (10 个回答) 已关闭 8 年前。 我对下面的 C 代码感到好奇 int main(){
当在类的开头使用上下文和资源初始化 MediaPlayer 对象时,它会抛出 NullPointer 异常,但是当在类的开头声明它时(因此它是 null),然后以相同的方式初始化它在onCreate方
嘿 我尝试将 java 程序连接到 REST API。 使用相同的代码部分,我在 Java 6 中遇到了 Java 异常,并且在 Java 8 中运行良好。 环境相同: 信任 机器 unix 用户 代
我正在尝试使用 Flume 和 Hive 进行 Twitter 分析。为了从 twitter 获取推文,我在 flume.conf 文件中设置了所有必需的参数(consumerKey、consumer
我在 JavaFX 异常方面遇到一些问题。我的项目在我的 Eclipse 中运行,但现在我的 friend 也尝试访问该项目。我们已共享并直接保存到保管箱文件夹中。但他根本无法让它发挥作用。他在控制台
假设我使用 blur() 事件验证了电子邮件 ID,我正在这样做: $('#email').blur(function(){ //make ajax call , check if dupli
我这样做是为了从 C 代码调用非托管函数。 pCallback 是一个函数指针,因此在托管端是一个委托(delegate)。 [DllImport("MyDLL.dll")] public stati
为什么这段代码是正确的: try { } catch(ArrayOutOfBoundsException e) {} 这是错误的: try { } catch(IOException e) {} 这段
我遇到了以下问题:有导出函数的DLL。 代码示例如下:[动态链接库] __declspec(dllexport) int openDevice(int,void**) [应用] 开发者.h: __de
从其他线程,我知道我们不应该在析构函数中抛出异常!但是对于下面的例子,它确实有效。这是否意味着我们只能在一个实例的析构函数中抛出异常?我们应该如何理解这个代码示例! #include using n
为什么需要异常 引出 public static void main(String[
1. Java的异常机制 Throwable类是Java异常类型的顶层父类,一个对象只有是 Throwable 类的(直接或者间接)实例,他才是一个异常对象,才能被异常处理机制识别。JDK中内
我是 Python 的新手,我对某种异常方法的实现有疑问。这是代码(缩写): class OurException(Exception): """User defined Exception"
我已经创建了以下模式来表示用户和一组线程之间的关联,这些线程按他们的最后一条消息排序(用户已经阅读了哪些线程,哪些没有): CREATE TABLE table(user_id bigint, mes
我正在使用 Python 编写一个简单的自动化脚本,它可能会在多个位置引发异常。在他们每个人中,我都想记录一条特定的消息并退出程序。为此,我在捕获异常并处理它(执行特定的日志记录操作等)后引发 Sys
谁能解释一下为什么这会导致错误: let xs = [| "Mary"; "Mungo"; "Midge" |] Array.iter printfn xs 虽然不是这样: Array.iter pr
在我使用 Play! 的网站上,我有一个管理部分。所有 Admin Controller 都有一个 @With 和一个 @Check 注释。 断开连接后,一切正常。连接后,每次加载页面(任何页面,无论
我尝试连接到 azure 表存储并添加一个对象。它在本地主机上工作得很好,但是在我使用的服务器上我得到以下异常及其内部异常: Exception of type 'Microsoft.Wind
我是一名优秀的程序员,十分优秀!