Jor*_*abb 3 assembly buffer-overflow stack-smash shellcode
我正在完成一项学校任务,我完全被难过了.教授和助教没有任何帮助,因为他们为任何学生提供的每一个答案都是"继续寻找,答案就在那里"的一些变化.我正在尝试使用以下代码创建一个shell:
#include <stdio.h>
#include <stdlib.h>
const char code[] =
"\x31\xc0"
"\x50"
"\x68""//sh"
"\x68""/bin"
"\x89\xe3"
"\x50"
"\x53"
"\x89\xe1"
"\x99"
"\xb0\x0b"
"\xcd\x80"
;
int main(int argc, char **argv)
{
printf("running...\n");
char buf[sizeof(code)];
strcpy(buf, code);
((void(*)( ))buf)( );
}
我试图code[]用在网上找到的其他一些例子(包括这个网站)取代,以及教授提供的另一个例子.这些都没有用.我使用gdb进行反汇编并试图构建自己的code[],并且失败了.对于它的价值,我可以说,在普通用户中,我的应用程序会((void(*)( ))buf)( );在线路上发生段错误,只是在同一行的root用户中退出(没有段错误通知).
我不知道在哪里采取这个任务,我不能处理任何后来的缓冲区溢出任务,直到我能理解这个简单的第一步.任何帮助将大大赞赏.
编辑:我忘了提到,我已经在OSX 10.8.2上和通过VirtualBox在Ubuntu VM上尝试过这个.我假设它不适用于OSX,但我很绝望.ha对于Ubuntu,我们被要求做:
sudo #sysctl -w kernel.randomize_va_space = 0
sudo apt-get install zsh cd/bin sudo rm sh sudo ln -s/bin/zsh/bin/sh
这些命令应禁用地址空间随机化,安装zsh并将其链接到/ bin/sh.我在VM中完成了所有这些任务,没有任何错误
Dan*_*zar 12
你的代码反汇编成这样的东西:
00000000 31C0 xor eax,eax
00000002 50 push eax
00000003 682F2F7368 push dword 0x68732f2f
00000008 682F62696E push dword 0x6e69622f
0000000D 89E3 mov ebx,esp
0000000F 50 push eax
00000010 53 push ebx
00000011 89E1 mov ecx,esp
00000013 99 cdq
00000014 B00B mov al,0xb
00000016 CD80 int 0x80
礼貌ndisasm.让我们一步一步地完成这些说明,并在途中分析堆栈帧.
xor eax,eax将eax寄存器清零,因为操作数与其自身的XOR运算总是会产生零.push eax然后将值推送到堆栈上.因此,堆栈当前看起来或多或少像这样(相对于esp代码开头的值显示的偏移,esp表示esp当前指向的堆栈单元格):
+----------+
0 | 00000000 |
esp -4 | xxxxxxxx |
+----------+
接下来,我们有两个push dword指令,它们将一些立即值推送到堆栈,在执行它们之后 - 看起来像这样:
+----------+
0 | 00000000 |
-4 | 68732f2f |
-8 | 6e69622f |
esp -12| xxxxxxxx |
+----------+
esp当前指向推送到堆栈的第二个立即值的最后一个字节.让我们尝试将推送值解释为ASCII,如果我们从当前值开始按顺序从堆栈中读取它们的顺序esp.我们得到的字节序列2f62696e2f2f7368,在ASCII中等于/bin//sh.另外,序列以0结尾,因此它是有效的C字符串.
这是将当前值esp保存到寄存器中的主要原因ebx.它包含将运行的可执行文件的路径.双斜杠对操作系统来说不是问题,因为POSIX只是忽略多次出现的斜杠并将它们视为一个斜杠.
接下来,我们将当前值eax和ebx推入堆栈.我们知道它eax包含零,并ebx包含一个指向C字符串的指针"/bin//sh".堆栈目前看起来像这样:
+----------+
0 | 00000000 |
-4 | 68732f2f |
-8 | 6e69622f |
ebx -12| 00000000 |
-16| (ebxVal) |
ecx esp -20| xxxxxxxx |
+----------+
将寄存器的值压入堆栈后,将esp保存当前指针ecx.
cdq在这种情况下,它是一个执行非常巧妙的技巧的指令:它将当前值符号扩展eax到edx:eax寄存器对中.因此,在这种情况下,它将值edx清零,因为零的符号扩展为零.当然,我们可以清除edxwith中的值xor edx, edx,但该指令用两个字节编码 - cdq只占用一个.
下一条指令将值0xb(11)置于低字节寄存器中eax.与前一种情况类似,我们可以这样做mov eax, 0xb,但这会导致5字节指令,因为必须将immediates编码为完整的32位值.
int 0x80在Linux上调用系统调用调用程序.该公司预计的系统调用的数量eax(现在等于0xb,所以sys_execve在其他参数函数将被调用),并且ebx,ecx,edx,esi,edi,和ebp.
现在,让我们看一下该系统调用的原型:
int execve(const char *filename, char *const argv[], char *const envp[]);
因此,filename论证放在ebx- 它指向/bin//sh.argv放置在ecx,是要执行的可执行文件的参数数组,必须以NULL值终止.在英特尔架构上,NULL等于0,并ecx指向:指向一个指针/bin//sh,然后指向一个NULL值.envp,它NULL指向一个环境值数组,必须表示为char*表单的值key=value.
成功执行execve当前过程映像中的结果替换为指向可执行文件的映像,并使用提供的参数执行.在这种情况下,/bin/sh将使用参数执行(如果存在)/bin//sh.
迈克尔可能是正确的,为什么这不起作用:最近的Linux内核将数据页标记为不可执行,并且尝试执行它们将导致分段错误.
| 归档时间: |
|
| 查看次数: |
2972 次 |
| 最近记录: |