作者b0920075 (Void)
看板C_and_CPP
標題[問題] 這個ret2text的exploit問題
時間Thu Nov 3 14:00:52 2016
開發平台(Platform): (Ex: Win10, Linux, ...)
linux
編譯器(Ex: GCC, clang, VC++...)+目標環境(跟開發平台不同的話需列出)
gcc -zexecstack -fno-stack-protector
額外使用到的函數庫(Library Used): (Ex: OpenGL, ...)
問題(Question):
其實不知道能不能發到這裡,但是資安版太少人,這又跟C有一點點關係就發到這裡了,不妥麻煩版主刪掉QQ
我自己在看大神教學影片學習的時候看到一個exploit,對大神的註解有點疑問
這是影片中的有洞的程式source code:
http://imgur.com/a/uogvP
環境下只有開ASLR,其他DEP和stack protector沒開
這是大神的exploit(python寫的,我只擷取部分):
http://imgur.com/a/gZcKS
補上完整版的:
http://imgur.com/a/Uj6nZ
後面加上r.interactive()就是完整版的exploit了
我的理解是:裡面的'A'*112是padding,p32(0x08048310)是gets@plt的位址,後面的兩個位址(0x0804b000-0x100)應該是要用gets寫shellcode到該地址下然後再利用gets的ret address跳轉過去
到0x08048310(gets@plt位址)的時候會push ebp→mov ebp,esp所以stack會變成
High
-------
'AAAA'
--------
p32(0x08048310) ......這邊是用overwrite掉main的ret address
--------
p32(0x0804b000 - 0x100) ......1
--------
p32(0x0804b000-0x100) ......2
--------
old ebp
--------
Low
然後1那個address會被當成gets的參數也就是寫入shellcode的地方(因為先push參數)
2那個地址就會被當成ret address,所以結束gets的時候ret會pop eip然後跳轉
可是這樣就跟影片中的註解顛倒,請問是我哪裡搞錯了嗎?
喔喔我懂了
餵入的資料(Input):
預期的正確結果(Expected Output):
錯誤結果(Wrong Output):
程式碼(Code):(請善用置底文網頁, 記得排版)
補充說明(Supplement):
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.117.182.39
※ 文章網址: https://webptt.com/m.aspx?n=bbs/C_and_CPP/M.1478152856.A.783.html
※ 編輯: b0920075 (140.117.182.39), 11/03/2016 14:02:22
1F:→ Schottky: 這個 exploit 根本不能用吧 11/03 14:46
2F:→ b0920075: 喔喔這個只是測試有沒有跳過去啦,我沒有截送shellcode 11/03 14:49
3F:→ b0920075: 的圖,想說那邊不是我要問的重點 11/03 14:49
4F:→ Schottky: 你的理解沒錯,呼叫時先 push 參數再 push ret address 11/03 14:58
5F:→ Schottky: 所以我覺得是寫 exploit 的人完全弄反了 11/03 14:59
6F:→ Schottky: gets 填資料是由低位址向高位址填,就算 overflow 11/03 14:59
7F:→ Schottky: 也根本不會蓋到 gets 的 return address 11/03 15:00
8F:→ Schottky: 你確定原始的 exploit 真的能用? 11/03 15:01
9F:→ b0920075: 我上面那個只是擷取exploit的一部分而已,原本的測試過 11/03 15:02
10F:→ b0920075: 可以用 11/03 15:02
11F:→ b0920075: 等下補放完整的 11/03 15:03
※ 編輯: b0920075 (140.117.168.190), 11/03/2016 15:35:38
12F:→ Schottky: 這 exploit 還是一樣怎麼看都不對 11/03 15:40
13F:→ Schottky: 通常 padding 也是用 0x90 (NOP) 而不會用 'A' 11/03 15:42
14F:→ Schottky: 不過重點還是 gets 的 return address 並不會被蓋到 11/03 15:42
15F:→ Schottky: 會被蓋到的是 main() 的 return address 11/03 15:42
16F:→ Schottky: 所以我有點好奇,你是怎麼確定這 exploit 可以用的 11/03 15:43
17F:→ b0920075: 呃因為我測過可以用,然後他main ret address被蓋成get@ 11/03 16:04
18F:→ b0920075: plt,所以後面gets的利用應該是自己做一個ret address讓 11/03 16:04
19F:→ b0920075: 他跳而不是一般的覆蓋 11/03 16:04
20F:→ b0920075: 至於nop sled我個人習慣也是寫\×90啦,可是那是因為之 11/03 16:06
21F:→ b0920075: 前做的需要跳回buf讓他滑,如果沒有要跳回buf應該填A也 11/03 16:06
22F:→ b0920075: 沒關係 11/03 16:06
23F:→ Schottky: 那聽起來被蓋到的是 main 而不是 gets 的 return addres 11/03 16:13
24F:→ Schottky: 但還是很不對勁,buf 裡都填滿 A 了,shell code 是寫到 11/03 16:15
25F:→ Schottky: 哪裡去? 11/03 16:15
26F:→ Schottky: 你既然知道 nop sled 那應該知道一般就是把 shell code 11/03 16:16
27F:→ Schottky: 填在 stack 的 char buf[100] 裡面,免得出別的槌啊... 11/03 16:16
28F:→ b0920075: 因為有開aslr,所以應該是寫到全域變數(即使開aslr也不 11/03 16:17
29F:→ b0920075: 會變)那個section裡面吧 11/03 16:17
30F:→ b0920075: 因為global不會變,所以盡量寫在global裡面,講師是這樣 11/03 16:18
31F:→ b0920075: 講的 11/03 16:18
32F:→ Schottky: Intel 組合語言裡叫他 data segment ... 我懂你的意思了 11/03 16:19
33F:→ Schottky: 不過我還是覺得位置關係對不上 11/03 16:20
34F:→ Schottky: 可能這邊的 calling convension 和我以前學的不太一樣了 11/03 16:21
35F:→ b0920075: 啊記錯惹><我老是把section segment搞錯 11/03 16:21
36F:→ Schottky: 那個 'A' 為什麼是填 112 個,這一點我一直想不透 11/03 16:25
37F:→ b0920075: 這是buffer到ebp位置的byte數,測出來的 11/03 16:28
38F:→ Schottky: 可能是 main() 的某些特殊參數吧? 雖然原始碼沒寫出來 11/03 16:31
39F:→ Schottky: 啊,main 的參數應該放在 main 的 ret addr 前面才對 11/03 16:32
※ 編輯: b0920075 (140.117.247.163), 11/04/2016 12:01:31