- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我正在尝试使用此函数使用带有 strcpy 的经典溢出来重新创建堆栈缓冲区溢出:
#include <stdio.h>
#include <string.h>
void main(int argc, char **argv) {
char buf[100];
strcpy(buf,argv[1]);
printf("Done!\n");
}
我已经尝试使用各种标志进行编译以移除堆栈保护 gcc -o vuln vuln.c -fno-stack-protector -g -z execstack
以及移除 ASLR sudo echo 0 >/proc/sys/kernel/randomize_va_space
.
我可以让我的 nop-shellcode-address 覆盖保存的 EIP,但它在 RET 上崩溃了。我想出了用 HANDLE SIGSEGV ignore
等在 gdb 中禁用 SIGSEGV。但是在 GDB 之外运行时,无论我将返回地址设置在哪里,我都会继续出现段错误。
除了获取旧版本的 gcc 之外还有什么想法吗?当前使用 gcc 版本 6.1.1。
最佳答案
Linux 遵循 W^X原则:它将内存页标记为不可执行,除非它们是代码段的一部分。这超出了您编译的应用程序的范围,并且有充分的理由。操作系统承担了防御来自系统上执行的任何程序的缓冲区溢出攻击的责任;特别是那些主动尝试执行缓冲区溢出攻击的程序,例如您的程序。
您正试图通过 buf
在堆栈上写入代码并覆盖函数的返回地址以跳转到新注入(inject)的代码中执行。当函数返回时,程序计数器被设置为覆盖的返回地址,现在指向堆栈内存。 SIGSEGV
当程序计数器由于对堆栈内存页面的执行权限被撤销而尝试执行下一条指令时抛出。
要从堆栈执行,必须禁用操作系统堆栈保护。
幸好 Linux 提供了 execstack对于这种情况,由用户自行决定使用。
参见 this Unix & Linux Stack Exchange 帖子以获取更多一般信息。
调试注入(inject)的数据
如果您在 gdb 中收到 SIGSEGV
,这可能意味着您的缓冲区溢出尝试出现了一些错误。为避免在 main
结束时弄乱清理,我建议创建一个从 main 调用的函数来执行缓冲区溢出:
#include <stdio.h>
#include <string.h>
char injection_code[] = ""; // buffer overrun data here
void foo () {
char buf[100];
// memcpy used to copy the full injection string, including any nested 0s
memcpy(buf, injection_code, 108); // +8 here to handle 64-bit system RAs
}
int main (int argc, char** argv) {
foo();
printf("Done!\n");
return 0;
}
使用GDB调试。我建议在 foo
的末尾放置一个断点,并检查寄存器是否与您对 info registers
的期望一致。您可能对指令指针最感兴趣,您可以使用 info registers rip
(64 位)或 info registers eip
(32 位)检查它。
您可以使用 print
或 x/x
探索堆栈的外观。在 GDB 中。例如,您可以检查 $rbp+8
以查看堆栈中的返回地址 (RA)。
如果 RA 指向无效位置,GDB 将在 ret
指令上 SIGSEGV
:
Program received signal SIGSEGV, Segmentation fault.
0x00000000004005bc in foo () at bufferoverflow.c:27
您可以通过检查出错时的指令指针地址来检查它是否在 ret
指令上出错(在上面的示例中,它将是 0x00000000004005bc
) 针对程序的汇编(在 GDB 中使用 disassemble function_name
)。
如果返回地址指向堆栈,它可能会为非法指令抛出 SIGILL
,这意味着您的返回地址可能未正确对齐,或者您注入(inject)的指令格式错误:
Program received signal SIGILL, Illegal instruction.
0x00007fffffffdc13 in ?? ()
同样,您可以使用 GDB 探索您的堆栈以了解原因。
GDB 可用于正确获取缓冲区溢出的结构。但是,一旦它按预期工作,请记住在 GDB 外部执行时内存地址可能会发生偏移,特别是如果您在没有调试标志 (-g
) 的情况下进行编译。您将不得不稍微调整一下返回地址,以便在“实时”环境中将其放置在您想要的位置。
旁白
一般来说,直接运行注入(inject)代码的缓冲区溢出攻击通常在当今的堆栈保护机制下是不可行的。通常需要存在额外的漏洞才能执行任意代码。
关于c - 在 GCC 中禁用堆栈保护不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39737813/
今天有小伙伴给我留言问到,try{...}catch(){...}是什么意思?它用来干什么? 简单的说 他们是用来捕获异常的 下面我们通过一个例子来详细讲解下
我正在努力提高网站的可访问性,但我不知道如何在页脚中标记社交媒体链接列表。这些链接指向我在 facecook、twitter 等上的帐户。我不想用 role="navigation" 标记这些链接,因
说现在是 6 点,我有一个 Timer 并在 10 点安排了一个 TimerTask。之后,System DateTime 被其他服务(例如 ntp)调整为 9 点钟。我仍然希望我的 TimerTas
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
我就废话不多说了,大家还是直接看代码吧~ ? 1
Maven系列1 1.什么是Maven? Maven是一个项目管理工具,它包含了一个对象模型。一组标准集合,一个依赖管理系统。和用来运行定义在生命周期阶段中插件目标和逻辑。 核心功能 Mav
我是一名优秀的程序员,十分优秀!