个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
24
4
这个问题是关于《黑客:剥削的艺术》第二版第 121 页上的程序 notesearch 的利用。
在漏洞利用中有一些我不明白的地方:
When the System executes the ./notesearch 'xyz....' the argument 'xyz...' overflows the string buffer in the child program thereby overwriting the return address....that much is clear.
这里的假设是 notesearch 程序的栈帧位于调用 exploit 的栈帧之上。当编译版本存在于同一系统上时,这适用。
我的第一个问题是 1. 即使作为远程 hack,它也能工作吗?
我的第二个问题是2. 由于缓冲区已被用于覆盖包括返回地址和返回地址之外的所有变量,notesearch 程序如何按预期工作?位于此堆栈框架中并决定是否打印消息的变量(如“打印”等)似乎都可以正常工作。即使调用函数位于相关堆栈框架的顶部,也就是正在被淹没的字符串缓冲区所在的位置,但仍有某些关键变量会被覆盖。
问题编号3.鉴于 String 缓冲区是在 notesearch 开始执行后插入的新堆栈帧的一部分,缓冲区将覆盖该 notesearch 程序中的所有给定变量。缓冲区也是搜索字符串的值。根据程序逻辑,由于搜索字符串与消息不匹配,程序不应输出用户消息的详细信息。在这种情况下,会出现消息。我想知道为什么?
最佳答案
(供引用:本书是http://www.tinker.tv/download/hacking2_sample.pdf,代码可从http://www.nostarch.com/hacking2.htm免费下载。)
继续看书;另一个例子在第 122 页给出,然后有大量的解释性文字说明了所有关于漏洞利用的信息。
这是 notesearch 代码的相关部分:
int main(int argc, char *argv[]) {
int userid, printing=1, fd; // file descriptor
char searchstring[100];
if(argc > 1) // If there is an arg
strcpy(searchstring, argv[1]); // that is the search string
else // otherwise
searchstring[0] = 0; // search string is empty
userid = getuid();
fd = open(FILENAME, O_RDONLY); // open the file for read-only access
你写道:
The assumption here is that the notesearch program's stack frame comes ontop of the calling exploit's Stack frame.
不,那是错误的。这里只有一个堆栈帧是相关的:notesearch 中的 main() 函数的堆栈帧。我们通过 exploit_notesearch 中的 system() 调用调用 ./notesearch xyz... 的事实是无关紧要的;我们也可以直接在 bash 命令行上调用 ./notesearch xyz...,或者欺骗其他进程(例如,bash)执行它代表我们。
- Will this work even as a remote hack?
当然。
- Since the buffer has been used to overwrite all variables including and beyond the return address, how does the notesearch program work as intended?
嗯,它并没有真的按预期工作。再看看输出:
reader@hacking:~/booksrc $ gcc exploit_notesearch.c
reader@hacking:~/booksrc $ ./a.out
[DEBUG] found a 34 byte note for user id 999
[DEBUG] found a 41 byte note for user id 999
-------[ end of note data ]-------
sh-3.2#
给你一个 shell 显然不算“按预期工作”。但甚至在此之前,该程序声称在 /var/notes 中找到了 userid 999 的注释,这可能表明它有点困惑。作为恶意黑客,我们不关心 notesearch 程序的垃圾输出;我们只关心它最终到达 main() 的末尾并返回到我们的 shellcode,让我们可以访问 shell。
但是,如果您想知道我们如何在不覆盖局部变量 userid、printing 和 fd 的情况下设法覆盖返回地址,至少有三种明显的可能性:
A. 也许这些变量分配在堆栈的searchstring 之下。
B.也许这些变量是在寄存器中而不是在堆栈中分配的。
C. 绝大多数情况下,这些变量正在被覆盖,但它们的初始值对程序来说根本无关紧要。例如,userid 可以获取任何值,因为该垃圾值将立即被下一行的 getuid() 覆盖。初始值重要的唯一变量是打印。甚至 打印 也只会在它恰好得到值 0 时改变程序的行为——而它不能得到值 0,因为根据设计,我们要复制的数据完全由非零字节组成。
关于c - Notesearch 漏洞利用异常 (Hacking : Art of Exploitation),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21074333/
24
4
0
在后台开启了“URL Rewrite”,看起来一切正常,可是点击某一栏目的时候却怎么都进不去,显示的依然是论坛的首页。看了一下论坛目录下,原来这下面并没有自己的.htaccess文件,所以默认使用的
本文实例为大家分享了.net发送邮件的实现代码,供大家参考,具体内容如下 关键代码: 需要引用命名空间: using System.Net.Mail; using System.Net;
今天的一个小测试是老师让用.NET用控件来制作一个拉菜单要求如下: 将鼠标移到父菜单上弹出3个子菜单,而且每个子菜单都有超链接。 以下是我自己做的代码: 复制代
我有以下内容 static const unsigned int chromosome = 6; double bestFitness[chromosomes]; for(int i = 0; i
关于附图,我需要一个计算算法来将 A 轴向下移动 n 英寸,将 B 轴从左向右移动 m 英寸,以便组件圆 D 遵循抛物线的曲线;圆 D 并不总是 10 英寸,可以更小。我不是数学专业的,所以这对我来说
我正在尝试利用我的格式字符串错误,它存在于这个程序中: #include #include #include #include #include void foo(char* tmp, ch
用Matplotlib和Seaborn这类Python库可以画出很好看的图,但是这些图只是静态的,难以动态且美观地呈现数值变化。要是在你下次的演示、视频、社交媒体Po文里能用短视频呈现数据变化,是不
1、进程介绍 进程:正在执行的程序,由程序、数据和进程控制块组成,是正在执行的程序,程序的一次执行过程,是资源调度的基本单位。 程序:没有执行的代码,是一个静态的。 2、线程
1、前言 在开发过程中,有时会遇到需要控制任务并发执行数量的需求。 例如一个爬虫程序,可以通过限制其并发任务数量来降低请求频率,从而避免由于请求过于频繁被封禁问题的发生。 接下来
Opera 管理着一个漏洞赏金计划,研究人员可以在该计划中报告 Opera 软件中的漏洞并获得奖励。 这篇文章就是我发现的一个漏洞——网页可能会从用户那里检索本地文件的屏幕截图。 考虑到 O
C++ 文件查找 在C++中我们要如何查找文件呢?我们需要一个结构体和几个大家可能不太熟悉的函数。这些函数和结构体在的头文件中,结构体为struct _finddata_t ,函数为_findfi
1、前言 本文利用 fsockopen() 函数,编写一个功能简单的端口扫描器。 2、关键技术 本实例的端口号是固定的,通过对数组的遍历,利用 fsockopen() 函数连接,如果连接成功,
最近在将一些项目的rest api迁移到.net core中,最开始是用的Nginx做反向代理,将已经完成切换的部分切入系统,如下图所示: 由于迁移过程中也在进行代码重构,需要经常比较频繁的测
前言 最近学习了python,感觉挺多地方能用到它的。打包 测试 上传 爬电影....而且代码量是真少。人生苦短,我用python。而今天写的这个是因为下载电影时总会发现除了视频还会有这两个文件,
1、Monkey测试简介 Monkey测试是Android平台自动化测试的一种手段,通过Monkey程序模拟用户触摸屏幕、滑动Trackball、按键等操作来对设备上的程序进行压力测试,检测程序
一直想写一套生成静态页面的文章系统 但面对生成静态后的一些复杂数据库交互问题。又望而却步! 于是就想 有没有 在不耽误数据交互的情况下,而又能降低服务器负
Qt 利用大量第 3 方库进行图像编码、压缩、加密、音频和视频编解码器支持等。 从历史上看,当我想使用它们时,我总是必须将它们作为附加依赖项包含在内。我一直想知道是否有一种方法可以简单地重用 Qt 已
我想知道是否可以使用属性将功能“混合”到类/方法/属性中。 就像是: [TrackChanges] public Foo { get; set; } 如果可能的话,有谁会如何实现? 最佳答
有些站点位于共享主机(Windows 2003 Server)上,因此我无法访问服务器配置。 我到处都读到关于杠杆浏览器缓存的信息,特别是静态文件(jpg,css,js等)的信息,但是...在我的情况
我想在我的项目中使用 Julia 的主要原因之一是它的速度,尤其是在计算积分方面。 我想在某个区间 [a,b] 上积分一维函数 f(x)。一般来说,Julia 的 quadgk 函数将是一个快速而准确
我是一名优秀的程序员,十分优秀!