c - 评估 Return-Address 的偏移量

Question

这个问题已经有答案了:

Why is printf with a single argument (without conversion specifiers) deprecated? (11 个回答)

What can happen if printf is called with a wrong format string? (5 个回答)

已关闭 4 年前。

我正在尝试使用 gdb-peda 中创建的循环模式在简单的缓冲区溢出期间检索 Ret 地址的偏移量。我期望返回被调用者帧时有一个 sigsegv，但我在注入(inject)缓冲区的 printf 期间得到了它。

我正在使用 x86 kali linux。我可以发现我的转址有 264 个字节，并且我能够通过 rop-ing 来利用该程序。我想在整个循环模式中评估 RET 地址，因此我在 gdb-peda 中使用

gdb-peda$ pattern_create 300 tmp.txt 

创建模式。最后我启动了我的二进制文件:

gdb-peda$ r `cat tmp.txt`

ASLR 已禁用，二进制文件编译为:

gcc -mpreferred-stack-boundary=2 rop.c -o rp    

这是 rop.c 程序:

int main(int argc, char *argv[])
{
    char buf[256];

    strcpy(buf, argv[1]);
    printf(buf);
}

我期望在 main 返回时有一个 sigsegv，其中 ESP 指向循环模式的一段，释放 RET 地址的偏移量，相反，我在 printf 期间得到一个 SIGSEGV。我正在报告 peda 输出:

gdb-peda$ r `cat tmp.txt`
Starting program: /mnt/hgfs/SSI/ROP/rp `cat tmp.txt`

Program received signal SIGSEGV, Segmentation fault.

[----------------------------------registers-----------------------------------]

EAX: 0x41414241 ('ABAA')
EBX: 0xb7fbe000 --> 0x1d4d6c
ECX: 0x0 
EDX: 0x1 
ESI: 0xb7fbed80 --> 0xfbad2a84 
EDI: 0xe0 
EBP: 0xbffff118 --> 0xbffff248 ("%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA")
ESP: 0xbfffec0c --> 0xb7e338d2 (<_IO_vfprintf_internal+8322>:   add    esp,0x10)
EIP: 0xb7e8163f (<__strlen_ia32+15>:    cmp    BYTE PTR [eax],dh)
EFLAGS: 0x10202 (carry parity adjust zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0xb7e81639 <__strlen_ia32+9>:    and    edx,eax
   0xb7e8163b <__strlen_ia32+11>:   je     0xb7e81661 <__strlen_ia32+49>
   0xb7e8163d <__strlen_ia32+13>:   jp     0xb7e81656 <__strlen_ia32+38>
=> 0xb7e8163f <__strlen_ia32+15>:   cmp    BYTE PTR [eax],dh
   0xb7e81641 <__strlen_ia32+17>:   je     0xb7e816e6 <__strlen_ia32+182>
   0xb7e81647 <__strlen_ia32+23>:   inc    eax
   0xb7e81648 <__strlen_ia32+24>:   cmp    BYTE PTR [eax],dh
   0xb7e8164a <__strlen_ia32+26>:   je     0xb7e816e6 <__strlen_ia32+182>
[------------------------------------stack-------------------------------------]
0000| 0xbfffec0c --> 0xb7e338d2 (<_IO_vfprintf_internal+8322>:  add    esp,0x10)
0004| 0xbfffec10 ("ABAA\022\362\377\277\001")
0008| 0xbfffec14 --> 0xbffff212 ("%sA%BA%$A%nA%CA%-A%(A%DA%;A%)A%EA%aA%0A%FA%bA%1A%GA%cA%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA")
0012| 0xbfffec18 --> 0x1 
0016| 0xbfffec1c --> 0x34 ('4')
0020| 0xbfffec20 --> 0x1d5c0c 
0024| 0xbfffec24 --> 0x0 
0028| 0xbfffec28 --> 0x200034 ('4')
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
__strlen_ia32 () at ../sysdeps/i386/i586/strlen.S:51
51  ../sysdeps/i386/i586/strlen.S: File o directory non esistente.

我能够利用该程序，但我无法理解此错误的原因。谢谢

Answer 1

您的漏洞利用字符串(shellcode)是否包含任何 % 字符？ 您将其作为格式字符串传递给 printf。

如果是 0xbffff212 ("%sA%BA%$A%nA%CA%-A%(A%DA%;A%)A%EA%aA%0A%FA%bA%1A% GA%cA%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA") 显示在反汇编中，然后注意它以%s。它做的第一件事是查找第二个参数并将其视为 char*，它显然将其传递给 strlen。

由于您的 main 仅将一个参数传递给 printf，因此堆栈上只有任何垃圾，这不是指向以 0 结尾的字符串的有效指针，因此 printf 段错误。

即您的目标程序还存在格式字符串漏洞，并且您在 main 返回之前通过拒绝服务攻击来利用它。 :P

<小时/>

使用 printf("%s", buf); 或 fprintf(buf, stdout) 打印任意字符串。

或者如果您不介意附加换行符，请使用puts(buf)。