个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我目前正在编写一个 shellcode,该代码利用使用 puts 函数的目标程序。该程序如下所示:
#include <stdio.h>
main() {
char buf[123];
puts(gets(buf));
}
我想要做的是溢出这个缓冲区并使用一些参数调用execve。我有一个用 c/inline assembly 编写的测试程序,可以使用一些参数调用 execve,然后我使用 gdb 从该程序获取 shellcode。根据我的理解,堆栈布局如下所示:
|-------buffer(+padding)---------|---------sfp---------|-------ret-------------|
通过查看gcc生成的目标程序的部分汇编代码:
.cfi_startproc
pushq %rbp
.cfi_def_cfa_offset 16
.cfi_offset 6, -16
movq %rsp, %rbp
.cfi_def_cfa_register 6
addq $-128, %rsp
leaq -128(%rbp), %rax
movq %rax, %rdi
call gets
movq %rax, %rdi
call puts
leave
.cfi_def_cfa 7, 8
ret
.cfi_endproc
我认为缓冲区和填充占用128字节,sfp和返回地址各占用8字节,所以总共144字节。基于此,我的 nop sled 、有效负载和新的返回地址(等于缓冲区的地址)组合(即我的 shellcode)也应该是 144 字节。例如,如果我的有效负载是 36 字节,由于返回地址占用 8 字节,所以我的 nop sled 将是 100 字节。但当我这样做时,它不起作用。所以我想也许我理解堆栈布局的方式是错误的。是不是搞错了?
请注意,在我的例子中,缓冲区地址是已知的,并且使用 execstack 将堆栈设置为可执行文件,并且使用 setarch 关闭了 ASLR。因此,如果返回地址被缓冲区的地址覆盖,则写入该缓冲区的代码将运行。
我正在 x86 64 位机器上工作。
如果我对堆栈布局的理解是正确的,我将提供有关我的 shellcode 的更多信息。
最佳答案
1) 您没有利用易受攻击的代码,因为它具有 puts() 函数,您之所以利用它,是因为它使用的是易受攻击的 gets() 函数此处堆栈溢出。
2) 当你有一个字符buf[123]时,如果你输入122个字符,然后输入一个空终止符,堆栈就可以了。但是当您输入的内容超过这个数量时,就会发生以下情况:
让我们假设它是 buf[4],当你执行 gets() 时
input AAAA
EBP - 4 => will be AAAA
input AAAAAAAA (8 bytes)
EBP -4 => AAAA
EBP also => AAAA
if you enter 12x A
function return address will be 0x41414141
现在您还将覆盖函数返回地址,因此它也将是 AAAA 0x41414141!从那里您需要将返回地址指向您的 shellcode 地址才能执行 shellcode。
所以当调用函数和溢出时,布局是:
Buffer for temporary storage
local variables
The saved EBP
Function return address
Function's arguments
Stack frame
所以是从下到上。实际上对于大变量最好使用metasploit pattern_offset.rb,它会生成大字符串,当你找到EIP值时,你可以使用patter_offset.rb的输出来检测覆盖 EIP 所需的精确填充才能执行 shellcode。
所以实际上要覆盖函数返回地址,大多数情况下需要[变量大小] + 8。但这取决于局部变量、它们的大小、它们的顺序等。还取决于编译器、体系结构等。大多数情况下是通过尝试和pattern_offset.rb等完成
关于assembly - 编写 shellcode : why my shellcode won't work?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19531877/
26
4
0
我想避免创建 std::thread 的开销,因此我要实现一个线程池。我正在为一个设计决策而苦苦挣扎: 工作队列中的工作是否应该能够将工作添加到工作队列中?如果是,如何? 问题出现了,因为我想让我添加
color 属性正常工作,但其他两个属性(font-size 和 text-shadow)不起作用。当链接被访问时,它的字体大小应该减小到 20 px 并且应用 text-shadow 属性,但它没有
我已经安装并配置了 supervisor。 ps -ax 显示 10 个进程,例如:php/home/vagrant/Sites/mysite/artisan queue:work --tries=1
我对 php artisan queue::work 命令感到不安。 我的命令不起作用,但我的作业已插入作业表但从未执行。 我正在为队列使用 mongodb 驱动程序。 我做错了什么,请给我建议。 最
为什么我可以找到很多关于“工作窃取”的信息而没有关于“工作耸肩”作为动态负载平衡策略的信息? 通过“工作耸肩”,我的意思是将多余的工作从繁忙的处理器转移到负载较低的邻居上,而不是让空闲的处理器从忙碌的
首先,我正在为 MySQL 使用 DATE_ADD 函数。当试图在 php 中使用 $sqlA 时,由于某种原因它说语法错误(主要是 WHERE 之后的区域)。为什么? $sqlA = "SELECT
a:hover { color: #237ca8 !important; font-weight: bold; } a:active { color: #cccccc !imp
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 7 年前。 Improve this q
我试图让只能使用 Tab 键的用户可以访问我的网站。我遇到的问题是,当我尝试使用 tab 键选择 float 的 div 时,不会触发 :focus in css;我不知道为什么它没有被触发。鼠标悬停
我在尝试将 2 个 div 并排放置时遇到了问题。 display: inline 它会删除我的边框并且不会将两个 div 放在同一行上。 请指教: .gig { outline: 1px s
这是 fiddle :http://jsfiddle.net/j9Gmx/ 我怎样才能得到最小高度:100%;上类? 最佳答案 它正在 工作,但由于 div 的父级(正文)没有高度,100% 基本上是
我正在使用 Flutter WebRTC 来创建 P2P 视频通话。 我遇到了一个与网络相关的问题:我已经完成了应用程序,但它只适用于移动数据。 将网络更改为WiFi时,它不起作用并且连接状态挂起Ch
我是 JavaScript 和 jQuery 的初学者。我的 css 和 JavaScript 代码位于 html 文件外部。这个问题已经有了答案,我尝试了所有代码,但滚动不起作用。我不知道我错过了什
我正在使用 Sprin AMQP 的rabbittemplate 通过 RabbitMQ 发送和接收消息。我能够发送和接收消息,但是,我想优先处理消息。 例如,如果我推送 1000 条消息,假设奇数消
我已经在 WorkManager 中加入了一个PeriodicWork,并希望每次完成时都获取它的 Worker 的输出数据,但以下代码似乎不起作用,因为 Log 消息没有出现在 Logcat 中:
我有一个名为 areaOne 的 AngularJS 指令。当我使用 template 时,会显示模板,但当我在 area1.js 中使用 templateUrl 时,不会呈现模板 HTML。 我在这
“:after”选择器在应用于带有 FF 和 IE 的输入时不起作用 input:after { content: "title"; } 而它正在处理 p、a 等。 这是一个错
下面是适用于 oracle 但不适用于 PostgreSQL 的 Sql 查询。 select count(*) from users where id>1 order by username; 我知
position?:fixed 在 chrome 浏览器上不工作,但在 firefox 中工作正常。 我有一个侧边栏可以停止滚动并固定在顶部。它在 firefox 中运行完美,但在 chrome 中,
我有一段代码无法在 Firefox 中运行。当按钮悬停时,.icon 图像不会改变。它在 Chrome 中完美运行。 button.add-to-cart-button .button-left .i
我是一名优秀的程序员,十分优秀!