Aug*_*923 4 gdb arm buffer-overflow arm64
这是源代码。
#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>
void win()
{
printf("code flow successfully changed\n");
}
int main(int argc, char **argv)
{
char buffer[64];
gets(buffer);
}
main 的汇编代码
0x0000000000400604 <+0>: stp x29, x30, [sp, #-96]!
0x0000000000400608 <+4>: mov x29, sp
0x000000000040060c <+8>: str w0, [sp, #28]
0x0000000000400610 <+12>: str x1, [sp, #16]
0x0000000000400614 <+16>: add x0, sp, #0x20
0x0000000000400618 <+20>: bl 0x4004d0 <gets@plt>
0x000000000040061c <+24>: mov w0, #0x0 // #0
0x0000000000400620 <+28>: ldp x29, x30, [sp], #96
0x0000000000400624 <+32>: ret
win的汇编代码
0x00000000004005e4 <+0>: stp x29, x30, [sp, #-16]!
0x00000000004005e8 <+4>: mov x29, sp
0x00000000004005ec <+8>: adrp x0, 0x400000
0x00000000004005f0 <+12>: add x0, x0, #0x6e0
0x00000000004005f4 <+16>: bl 0x4004c0 <puts@plt>
0x00000000004005f8 <+20>: nop
0x00000000004005fc <+24>: ldp x29, x30, [sp], #16
0x0000000000400600 <+28>: ret
源代码来自 protostar-stack4。据我所知,您必须覆盖 $pc 才能运行 win 功能。所以我试图覆盖 $pc,但我不能。我在 main+32 处设置了一个断点并用 100*a 运行它,但是 $pc 和 $x30 都没有被覆盖。我该怎么做才能覆盖 $pc?我是否走在正确的道路上?请帮忙。
$x0 : 0x0
$x1 : 0x0000fffff7fb1290 ? 0x0000000000000000
$x2 : 0xfbad2288
$x3 : 0x0000fffff7fae8d0 ? 0x00000000fbad2288
$x4 : 0x6161616161616161 ("aaaaaaaa"?)
$x5 : 0x0000fffffffff384 ? 0x0000000000000000
$x6 : 0x6161616161616161 ("aaaaaaaa"?)
$x7 : 0x6161616161616161 ("aaaaaaaa"?)
$x8 : 0x6161616161616161 ("aaaaaaaa"?)
$x9 : 0x6161616161616161 ("aaaaaaaa"?)
$x10 : 0x6161616161616161 ("aaaaaaaa"?)
$x11 : 0x6161616161616161 ("aaaaaaaa"?)
$x12 : 0x6161616161616161 ("aaaaaaaa"?)
$x13 : 0x6161616161616161 ("aaaaaaaa"?)
$x14 : 0x6161616161616161 ("aaaaaaaa"?)
$x15 : 0x6161616161616161 ("aaaaaaaa"?)
$x16 : 0x1
$x17 : 0x6161616161616161 ("aaaaaaaa"?)
$x18 : 0x0
$x19 : 0x0000000000400630 ? <__libc_csu_init+0> stp x29, x30, [sp, #-64]!
$x20 : 0x0
$x21 : 0x00000000004004e0 ? <_start+0> mov x29, #0x0 // #0
$x22 : 0x0
$x23 : 0x0
$x24 : 0x0
$x25 : 0x0
$x26 : 0x0
$x27 : 0x0
$x28 : 0x0
$x29 : 0x0000fffffffff360 ? "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"
$x30 : 0x0000fffff7e62218 ? <__libc_start_main+232> bl 0xfffff7e77d00 <__GI_exit>
$sp : 0x0000fffffffff360 ? "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"
$pc : 0x0000000000400624 ? <main+32> ret
$cpsr: [negative ZERO CARRY overflow interrupt fast]
$fpsr: 0x0
$fpcr: 0x0
我该怎么办?
从代码中可以看出,编译器已经将返回地址放在了栈上缓冲区的下方,所以无论你写多少字节都不可能覆盖它。
具体来说,stp x29, x30, [sp, #-96]!是 pre-decrement,所以它存储x29在[sp], and的新地址处x30,其中包含返回地址 at [sp, 8]。另一方面,缓冲区位于[sp, 32](注意add x0, sp, 0x20)。这是 ARM64 的典型特征;预递减寻址模式可以方便地将返回地址存储在堆栈帧的底部,在所有函数的局部变量下方。
您可以改写的是由调用的任何函数保存的返回地址main(在 C 启动代码中的某处,例如 glibc's __libc_start_main())。只有当其他函数返回到它自己的调用者时才会发生这种情况,因此您过早地停止了程序。
不幸的是,在许多系统上,该函数根本不返回;它exit()改为调用。 这就是 glibc__libc_start_main所做的。. 因此,除非我遗漏了某些东西,否则当gets从 inside 调用时,这种缓冲区溢出在这样的系统上将不起作用main。如果您想使用它,请尝试编写一个不同的程序,从某个子例程调用它:
void other_func(void) {
char buf[64];
gets(buf);
}
int main(void) {
other_func();
return 0;
}
现在你的溢出不会覆盖存储的返回地址other_func()(它再次位于缓冲区下方),但它可以覆盖存储的返回地址main()(位于堆栈的更上方)。您将获得控制权,不是何时other_func()返回,而是何时main()返回。(即便如此,这是后其ret指令执行;放置一个断点上的ret从指令main仍为时过早。)
看起来这个练习是为 x86 设计的,其中返回地址通常位于堆栈帧的顶部,因为它被call在堆栈帧设置之前执行的指令保存。在 x86 系统上,您的溢出确实会覆盖由 保存的返回地址main,并让您控制程序计数器。
| 归档时间: |
|
| 查看次数: |
46 次 |
| 最近记录: |