个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我正在尝试使用此函数使用带有 strcpy 的经典溢出来重新创建堆栈缓冲区溢出:
#include <stdio.h>
#include <string.h>
void main(int argc, char **argv) {
char buf[100];
strcpy(buf,argv[1]);
printf("Done!\n");
}
我已经尝试使用各种标志进行编译以移除堆栈保护 gcc -o vuln vuln.c -fno-stack-protector -g -z execstack 以及移除 ASLR sudo echo 0 >/proc/sys/kernel/randomize_va_space.
我可以让我的 nop-shellcode-address 覆盖保存的 EIP,但它在 RET 上崩溃了。我想出了用 HANDLE SIGSEGV ignore 等在 gdb 中禁用 SIGSEGV。但是在 GDB 之外运行时,无论我将返回地址设置在哪里,我都会继续出现段错误。
除了获取旧版本的 gcc 之外还有什么想法吗?当前使用 gcc 版本 6.1.1。
最佳答案
Linux 遵循 W^X原则:它将内存页标记为不可执行,除非它们是代码段的一部分。这超出了您编译的应用程序的范围,并且有充分的理由。操作系统承担了防御来自系统上执行的任何程序的缓冲区溢出攻击的责任;特别是那些主动尝试执行缓冲区溢出攻击的程序,例如您的程序。
您正试图通过 buf 在堆栈上写入代码并覆盖函数的返回地址以跳转到新注入(inject)的代码中执行。当函数返回时,程序计数器被设置为覆盖的返回地址,现在指向堆栈内存。 SIGSEGV 当程序计数器由于对堆栈内存页面的执行权限被撤销而尝试执行下一条指令时抛出。
要从堆栈执行,必须禁用操作系统堆栈保护。
幸好 Linux 提供了 execstack对于这种情况,由用户自行决定使用。
参见 this Unix & Linux Stack Exchange 帖子以获取更多一般信息。
调试注入(inject)的数据
如果您在 gdb 中收到 SIGSEGV,这可能意味着您的缓冲区溢出尝试出现了一些错误。为避免在 main 结束时弄乱清理,我建议创建一个从 main 调用的函数来执行缓冲区溢出:
#include <stdio.h>
#include <string.h>
char injection_code[] = ""; // buffer overrun data here
void foo () {
char buf[100];
// memcpy used to copy the full injection string, including any nested 0s
memcpy(buf, injection_code, 108); // +8 here to handle 64-bit system RAs
}
int main (int argc, char** argv) {
foo();
printf("Done!\n");
return 0;
}
使用GDB调试。我建议在 foo 的末尾放置一个断点,并检查寄存器是否与您对 info registers 的期望一致。您可能对指令指针最感兴趣,您可以使用 info registers rip(64 位)或 info registers eip(32 位)检查它。
您可以使用 print 或 x/x 探索堆栈的外观。在 GDB 中。例如,您可以检查 $rbp+8 以查看堆栈中的返回地址 (RA)。
如果 RA 指向无效位置,GDB 将在 ret 指令上 SIGSEGV:
Program received signal SIGSEGV, Segmentation fault.
0x00000000004005bc in foo () at bufferoverflow.c:27
您可以通过检查出错时的指令指针地址来检查它是否在 ret 指令上出错(在上面的示例中,它将是 0x00000000004005bc ) 针对程序的汇编(在 GDB 中使用 disassemble function_name)。
如果返回地址指向堆栈,它可能会为非法指令抛出 SIGILL,这意味着您的返回地址可能未正确对齐,或者您注入(inject)的指令格式错误:
Program received signal SIGILL, Illegal instruction.
0x00007fffffffdc13 in ?? ()
同样,您可以使用 GDB 探索您的堆栈以了解原因。
GDB 可用于正确获取缓冲区溢出的结构。但是,一旦它按预期工作,请记住在 GDB 外部执行时内存地址可能会发生偏移,特别是如果您在没有调试标志 (-g) 的情况下进行编译。您将不得不稍微调整一下返回地址,以便在“实时”环境中将其放置在您想要的位置。
旁白
一般来说,直接运行注入(inject)代码的缓冲区溢出攻击通常在当今的堆栈保护机制下是不可行的。通常需要存在额外的漏洞才能执行任意代码。
关于c - 在 GCC 中禁用堆栈保护不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39737813/
25
4
0
我正在尝试在 Conda 环境中编译一些代码,在那里我 之前安装的编译包gcc_linux-64 . 然而,即使在停用和重新激活环境之后,gcc还在/usr/bin/gcc . 我该怎么做才能让 Co
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 7 年前。 Improve
这其实是两个问题: 1 - 在我的 debian amd64 系统上,我似乎无法构建与 gmp/mpfr/mpc 动态链接的交叉 GCC。即使我删除 --disable-shared,它也总是静态链接
研究ELF格式的结果,可以看到目标文件中有一个符号对应每个函数,对应的符号表项的值为st_size,表示大小的功能。 问题是,即使我更改了目标文件中特定函数的 st_size 并链接了它,但可执行文件
海湾合作委员会的 documentation for #line directives说他们是这样的: #line "myfile.cpp" 123 但是当我用 g++ 5.1 检查输出时,它们实际上
我正在使用 as 和 gcc 来汇编和创建 ARM 汇编程序的可执行文件,正如 this 所推荐的那样教程,如下: 给定一个汇编源文件,program.s,我运行: as -o program.o p
long long x; double n; x=long long(n); 这不起作用。什么是正确的方法? 最佳答案 显而易见的: x = (long long) n; 关于gcc - 转换为长长
我想知道用于 gcc 的原子内置函数的头文件是什么? 我想使用这 2 个函数为我当前创建的线程库实现互斥锁。 bool __sync_bool_compare_and_swap (type *ptr,
它出现在 another question :gcc调用的程序和部件是什么? (特别是在编译 C 或 C++ 时)以便有人可以设计一些拦截和更改流程的方案以用于各种自定义编码目的? 最佳答案 编译器二
可能吗?我想使用 gcc喜欢 assembler并在将其编译为 ubuntu 上的可执行文件后。 我尝试过这个: gcc a.asm -o out.o 来自 out.o文件编译成.out可执行文件。
我写了一个简单的 C 程序 test.c : #include #include int add(int a, int b); int main() { int i=5,j=10;
即。所以如果你使用任何八进制文字,它会给你一个警告。 微软编译器的同样问题。 如果没有,是否有任何其他工具可以检测八进制文字。 (vim 似乎有一个很酷的技巧,它突出了第一个领先的将不同的颜色归零,但
我在旧线程中搜索。但没有找到任何线程回答我的问题。 gcc 是否像 vc++ 一样支持函数级链接? 如果是,我应该提供什么选项来链接目标文件和库? 最佳答案 看起来 gcc 不直接支持函数级链接。您可
也许标题并没有把问题说得那么准确:我知道当我运行 gcc foo.c 时,GCC 会调用其他为它完成所有工作的子程序,从而生成主 gcc 程序只是一个界面。但这究竟是如何完成的呢? 它是否使用syst
我听说最近版本的 gcc 非常擅长将通过函数指针的调用转换为直接调用。但是,我在网上或快速浏览 gcc 的源代码上找不到任何关于它的信息。有谁知道这是否真的是真的,如果是这样,它使用什么算法来做到这一
gcc/g++ 链接器选项“-Map”生成的“.map”文件用于什么? 以及如何阅读它们? 最佳答案 我建议为您投入生产的任何软件生成一个映射文件并保留一份副本。 它可用于破译崩溃报告。根据系统的不同
gcc信息文件在有关x86-64特定标志的部分中说 其他事情: There is no `-march=generic' option because `-march' ind
我想知道 gcc 链接器选项(例如:-Wl,options)是否可以更改编译后的可执行文件中的汇编指令,因为如果您使用某些 gcc 优化选项会发生这种情况? 当您比较编译后的二进制文件(例如比较签名)
是否有GCC编译指示会停止,暂停或中止编译过程? 我正在使用gcc 4.1,但也希望在gcc 3.x版本上也可以使用该编译指示。 最佳答案 您可能需要#error: edd@ron:/tmp$ g++
当我使用gcc编译C程序时我通常使用 -g 将一些调试信息放入 elf 文件中这样 gdb 就可以在需要时帮助我。 但是,我注意到有些程序使用 -ggdb,因为它应该使调试信息对 gdb 更加友好。
我是一名优秀的程序员,十分优秀!