c - 无法在漏洞利用期间注入(inject)有效的指令指针-6ren

c - 无法在漏洞利用期间注入(inject)有效的指令指针

转载作者：太空宇宙更新时间：2023-11-04 03:12:46

26

4

我正在尝试利用给定的程序，但我不知道自己做错了什么。长话短说，我设法注入(inject)代码来覆盖 RIP。这意味着我应该能够重定向代码执行，但问题是，我得到了 SIGSEGV。我是否必须以特殊方式设计注入(inject)堆栈才能避免获得 SIGSEGV？

我的游戏计划是利用函数 mainloop 并更改返回地址。函数 mainloop 的堆栈具有以下值:

0000| 0x7fffffffdff0 --> 0xa7400ffffe010 
0008| 0x7fffffffdff8 --> 0xf423f55758260 
0016| 0x7fffffffe000 --> 0x7fffffffe010 --> 0x5555555550b0 (<__libc_csu_init>:  push   r15)
0024| 0x7fffffffe008 --> 0x5555555550a4 (<main+66>: mov    eax,0x0)

所以返回地址存储在 0x7fffffffe008 并且我已经设法用指向我要执行的代码的地址覆盖该值。在这种情况下，地址 0x555555554e6e。

程序回溯如下:

#6  0x0000555555554fab in mainloop ()
#7  0x00005555555550a4 in main ()
#8  0x00007ffff7e1109b in __libc_start_main (main=0x555555555062 <main>, argc=0x1, argv=0x7fffffffe0f8, init=<optimized out>, fini=<optimized out>, rtld_fini=<optimized out>, 
stack_end=0x7fffffffe0e8) at ../csu/libc-start.c:308
#9  0x000055555555486a in _start ()

如您所见，当我退出 mainloop 时，我将返回到 main，而当我退出 main 时，我会转到一堆 libc 函数，以便程序干净地退出(？)。

那么当我运行我的漏洞利用代码时会发生什么？这:

0000| 0x7ffe1b3d4150 --> 0x424142001b3d4170 
0008| 0x7ffe1b3d4158 ("ABABABABABABABABnNUUUU")
0016| 0x7ffe1b3d4160 ("ABABABABnNUUUU")
0024| 0x7ffe1b3d4168 --> 0x555555554e6e ('nNUUUU')
0032| 0x7ffe1b3d4170 --> 0x55a34784000a 
0040| 0x7ffe1b3d4178 --> 0x7f7c156c409b (<__libc_start_main+235>:      mov    edi,eax)
0048| 0x7ffe1b3d4180 --> 0x0 
0056| 0x7ffe1b3d4188 --> 0x7ffe1b3d4258 --> 0x7ffe1b3d5474 ("./device")

您看到的是堆栈。我添加了一些字节，以便您可以获得更多上下文。但我想我设法为我的漏洞找到了正确大小的填充物。我已经设法更改了字节 24 处的值。

但我的 PEDA/GDB 似乎并没有将该值视为指令指针，这很奇怪。它似乎将其视为C字符串(？)。回溯看起来像这样:

#6  0x000055a347849fab in mainloop ()
#7  0x0000555555554e6e in ?? ()
#8  0x000055a34784000a in ?? ()
#9  0x00007f7c156c409b in __libc_start_main (main=0x55a34784a062 <main>, argc=0x1, argv=0x7ffe1b3d4258, init=<optimized out>, fini=<optimized out>, rtld_fini=<optimized out>, 
stack_end=0x7ffe1b3d4248) at ../csu/libc-start.c:308
#10 0x000055a34784986a in _start ()

当我退出 mainloop 时，我在 PEDA/GDB 中得到以下信息:

Stopped reason: SIGSEGV
0x0000555555554e6e in ?? ()

如果我在 GDB 中运行命令 i f 我会得到:

Stack level 0, frame at 0x7ffe1b3d4178:
 rip = 0x555555554e6e; saved rip = 0x55a34784000a
 called by frame at 0x7ffe1b3d4180
 Arglist at 0x7ffe1b3d4168, args: 
  Locals at 0x7ffe1b3d4168, Previous frame's sp is 0x7ffe1b3d4178
 Saved registers:
  rip at 0x7ffe1b3d4170

在地址 0x0000555555554e6e 处，程序执行以下 ASM:

0x0000555555554e6e <+172>:  lea    rdi,[rip+0x20126b]        #    0x5555557560e0 <flag2>

所以我似乎拥有正确的 RIP，但仅此而已。伙计们，这是怎么回事？

最佳答案

当您从 GDB 中启动程序时，GDB(默认情况下)会禁用 ASLR。在 PIE 可执行文件中，静态代码/数据地址是随机的。仅当您知道正确的绝对地址时，注入(inject)返回地址才有效。

但显然您有时会在 GDB 之外启动您的程序，其中的地址每次都不相同。这显然会导致段错误，并且您的问题没有显示实际 0x0000555555554e6e 在发生段错误的实际过程中的反汇编，这与您声称/假设的相反。

(GCC 在默认情况下制作 PIE 可执行文件是 Linux 上的新事物；如果您正在学习旧教程，它可能会假设可执行文件本身是位置相关的，并且只有库 + 堆栈会被 ASLRed。32-bit absolute addresses no longer allowed in x86-64 Linux? )

参见 Disable randomization of memory addresses以系统范围或每个进程的方式禁用 ASLR，或构建非 PIE 可执行文件。

关于c - 无法在漏洞利用期间注入(inject)有效的指令指针，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/54755241/

26

4

0

文章推荐： c - 返回一个用 malloc 分配的数组而不使用 return

文章推荐： python - 如何在不匹配的情况下从 Python 中获取 RegEx 组？

文章推荐： python - Tensorflow 基础 - 计算累积移动平均值

文章推荐： c - 函数 ptr 分配类型转换

angularjs - 多个指令 [指令#1，指令#2] 要求隔离范围
我正在尝试在现有指令的基础上构建一个新指令，但我在我的过程中停止了。加载页面时，我面临以下错误: Multiple directives [directive#1, directive#2] aski
jquery - 指令 AngularJS 仅输入 1 到 10 范围内的数字，jquery 指令 AngularJS
我是 angularjs 世界的新手，我只需要在数字类型的输入中输入从 1 到 10 的数字。不使用 HTML5 的 min 和 max 属性我在 Jquery 中找到了一个示例，能否帮我将其转换为
javascript - Ionic 指令 VS 使用 Ionic Framework 的 Angular Material 指令
我想使用 ionic与 Material 设计。我被困在使用带有自定义 CSS 的 ionic 指令和 angular-material 之间。我读过使用 ionic 指令我们得到了很多高效的特性，
javascript - 普通 JS 到 Angular 指令；创建使用 Angular Directive(指令)的 DOM 元素
我创建了以下代码: var node = document.getElementById('TreeList'); var keys = Object.keys(model[0]); var trac
javascript - 在 angularjs 中，我们有 ng-disabled 指令，为什么框架没有提供 ng-enabled 指令，因为我们有 ng-show 和 ng-hide
在 AngularJs 中没有提供 ng-enabled 指令。是否有任何适当的理由不在框架中提供该指令，因为当您可以使用 ng- 时，我们同时拥有 ng-show 和 ng-hide隐藏来实现我们的
C忽略 "if"指令
我最近制作的程序有问题。基本上，它是 John Conway 人生游戏的简单版本，但它运行不正常。问题出在读取单元格及其邻居的状态并决定该单元格的 future 状态的代码中。这是代码的一部分(有点长
Dockerfile FROM 指令
Dockerfile reference关于 FROM 指令的内容如下: FROM can appear multiple times within a single Dockerfile in or
AngularJS 指令 - 隔离作用域和继承作用域
我一直在尝试理解指令中孤立作用域和继承作用域之间的区别。这是我准备让自己理解的一个例子: HTML Inside isolated scope directive: {{m
AngularJs 指令 - 如何从指令中获取属性值
知道如何从指令内部访问属性值吗？ angular.module('portal.directives', []) .directive('languageFlag', ['$r
汇编 "mov"指令
我正在通过将 c 程序与其等价的汇编程序进行比较来学习汇编。这是代码。 .file "ex3.c" .section .rodata .LC0: .string "I am %d
Jenkinsfile 'parallel' 指令
我正在尝试写一个 Jenkinsfile并行执行一系列步骤。目标是拥有两个 agents (又名。 nodes )。一个应该进行 Windows 构建，另一个应该进行 linux 构建。但是，我不希望
assembly - 指令 FYL2XP1
我想知道为什么指令 FYL2XP1在 x86 架构上精确计算数学公式 y · log2(x + 1)。这个公式有什么特别之处？最佳答案 y操作数通常是编译时常量，暂时忘记 x + 1 . 自 lo
sql - 将逗号分隔的SQL数据转为SQL "in"指令
这个问题已经有答案了: Parameterize an SQL IN clause (41 个回答) 已关闭 8 年前。第一个声明: Select GroupMember FROM Group 结果
AngularJS 指令 - 如何在异步数据加载后刷新模板
我从 this question fork 并编辑了一个 plunker 我想做的是在数据加载后更新/填充 SELECT 元素(组合框)，但有些事情不对劲。我检索数据，它位于 SELECT 元素的范围
用于解析和替换自定义元素内容的 AngularJS 指令
我想创建一个简单的 markdown 指令，它接受元素中的一些内容，解析它并用 html 替换它。所以这样: #Heading 或这个(其中 $scope.heading = '#Heading';
Ansible local_action 指令
我对 Ansible 还很陌生，对于我对 local_action 指令的理解有一个简单的问题。这是否意味着该命令完全在本地执行？假设你有这样的东西: local_action: command w
Angularjs 指令 - 通过类名选择下一个元素
我有以下 HTML: ... ... 以及以下指令: myApp.directive('specialInput', ['$timeout', function($timeout)
用于文件下载的 Apache 指令
如何在 .htaccess 中创建 Apache 指令强制文件 .mp4和 .pdf去下载？目前它们出现在浏览器窗口中。相反，我希望出现一个下载文件对话框。最佳答案将以下内容添加到 .htacce
c - fork 指令
我的问题是关于 C 中的 fork() 指令。我有以下程序: void main(){ int result, status; result = fork(); if(result=
javascript - Angularjs 指令
我想要一个类似于 ng-model 的属性指令。我只想另外将一个输入字段值绑定(bind)到一个范围变量(只是在一个方向输入字段 ->范围变量)。所以我刚刚尝试了这个指令，但无论如何我都无法调用该指令

首页

博学

6Ren·AI

商城

c - 无法在漏洞利用期间注入(inject)有效的指令指针