PTT數位生活區 / C_and_CPP (C/C++)

[問題] 這個ret2text的exploit問題

看板C_and_CPP (C/C++)作者 (Void)時間9年前 (2016/11/03 14:00), 9年前編輯推噓0(0039)
留言39則, 2人參與, 最新討論串1/1
開發平台(Platform): (Ex: Win10, Linux, ...) linux 編譯器(Ex: GCC, clang, VC++...)+目標環境(跟開發平台不同的話需列出) gcc -zexecstack -fno-stack-protector 額外使用到的函數庫(Library Used): (Ex: OpenGL, ...) 問題(Question): 其實不知道能不能發到這裡,但是資安版太少人,這又跟C有一點點關係就發到這裡了,不妥麻煩版主刪掉QQ 我自己在看大神教學影片學習的時候看到一個exploit,對大神的註解有點疑問 這是影片中的有洞的程式source code: http://imgur.com/a/uogvP 環境下只有開ASLR,其他DEP和stack protector沒開 這是大神的exploit(python寫的,我只擷取部分): http://imgur.com/a/gZcKS 補上完整版的: http://imgur.com/a/Uj6nZ 後面加上r.interactive()就是完整版的exploit了 我的理解是:裡面的'A'*112是padding,p32(0x08048310)是gets@plt的位址,後面的兩個位址(0x0804b000-0x100)應該是要用gets寫shellcode到該地址下然後再利用gets的ret address跳轉過去 到0x08048310(gets@plt位址)的時候會push ebp→mov ebp,esp所以stack會變成 High ------- 'AAAA' -------- p32(0x08048310) ......這邊是用overwrite掉main的ret address -------- p32(0x0804b000 - 0x100) ......1 -------- p32(0x0804b000-0x100) ......2 -------- old ebp -------- Low 然後1那個address會被當成gets的參數也就是寫入shellcode的地方(因為先push參數) 2那個地址就會被當成ret address,所以結束gets的時候ret會pop eip然後跳轉 可是這樣就跟影片中的註解顛倒,請問是我哪裡搞錯了嗎? 喔喔我懂了 餵入的資料(Input): 預期的正確結果(Expected Output): 錯誤結果(Wrong Output): 程式碼(Code):(請善用置底文網頁, 記得排版) 補充說明(Supplement): -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.117.182.39 ※ 文章網址: https://www.ptt.cc/bbs/C_and_CPP/M.1478152856.A.783.html ※ 編輯: b0920075 (140.117.182.39), 11/03/2016 14:02:22
11/03 14:46, , 1F
這個 exploit 根本不能用吧
11/03 14:46, 1F
11/03 14:49, , 2F
喔喔這個只是測試有沒有跳過去啦,我沒有截送shellcode
11/03 14:49, 2F
11/03 14:49, , 3F
的圖,想說那邊不是我要問的重點
11/03 14:49, 3F
11/03 14:58, , 4F
你的理解沒錯,呼叫時先 push 參數再 push ret address
11/03 14:58, 4F
11/03 14:59, , 5F
所以我覺得是寫 exploit 的人完全弄反了
11/03 14:59, 5F
11/03 14:59, , 6F
gets 填資料是由低位址向高位址填,就算 overflow
11/03 14:59, 6F
11/03 15:00, , 7F
也根本不會蓋到 gets 的 return address
11/03 15:00, 7F
11/03 15:01, , 8F
你確定原始的 exploit 真的能用?
11/03 15:01, 8F
11/03 15:02, , 9F
我上面那個只是擷取exploit的一部分而已,原本的測試過
11/03 15:02, 9F
11/03 15:02, , 10F
可以用
11/03 15:02, 10F
11/03 15:03, , 11F
等下補放完整的
11/03 15:03, 11F
※ 編輯: b0920075 (140.117.168.190), 11/03/2016 15:35:38
11/03 15:40, , 12F
這 exploit 還是一樣怎麼看都不對
11/03 15:40, 12F
11/03 15:42, , 13F
通常 padding 也是用 0x90 (NOP) 而不會用 'A'
11/03 15:42, 13F
11/03 15:42, , 14F
不過重點還是 gets 的 return address 並不會被蓋到
11/03 15:42, 14F
11/03 15:42, , 15F
會被蓋到的是 main() 的 return address
11/03 15:42, 15F
11/03 15:43, , 16F
所以我有點好奇,你是怎麼確定這 exploit 可以用的
11/03 15:43, 16F
11/03 16:04, , 17F
呃因為我測過可以用,然後他main ret address被蓋成get@
11/03 16:04, 17F
11/03 16:04, , 18F
plt,所以後面gets的利用應該是自己做一個ret address讓
11/03 16:04, 18F
11/03 16:04, , 19F
他跳而不是一般的覆蓋
11/03 16:04, 19F
11/03 16:06, , 20F
至於nop sled我個人習慣也是寫\×90啦,可是那是因為之
11/03 16:06, 20F
11/03 16:06, , 21F
前做的需要跳回buf讓他滑,如果沒有要跳回buf應該填A也
11/03 16:06, 21F
11/03 16:06, , 22F
沒關係
11/03 16:06, 22F
11/03 16:13, , 23F
那聽起來被蓋到的是 main 而不是 gets 的 return addres
11/03 16:13, 23F
11/03 16:15, , 24F
但還是很不對勁,buf 裡都填滿 A 了,shell code 是寫到
11/03 16:15, 24F
11/03 16:15, , 25F
哪裡去?
11/03 16:15, 25F
11/03 16:16, , 26F
你既然知道 nop sled 那應該知道一般就是把 shell code
11/03 16:16, 26F
11/03 16:16, , 27F
填在 stack 的 char buf[100] 裡面,免得出別的槌啊...
11/03 16:16, 27F
11/03 16:17, , 28F
因為有開aslr,所以應該是寫到全域變數(即使開aslr也不
11/03 16:17, 28F
11/03 16:17, , 29F
會變)那個section裡面吧
11/03 16:17, 29F
11/03 16:18, , 30F
因為global不會變,所以盡量寫在global裡面,講師是這樣
11/03 16:18, 30F
11/03 16:18, , 31F
講的
11/03 16:18, 31F
11/03 16:19, , 32F
Intel 組合語言裡叫他 data segment ... 我懂你的意思了
11/03 16:19, 32F
11/03 16:20, , 33F
不過我還是覺得位置關係對不上
11/03 16:20, 33F
11/03 16:21, , 34F
可能這邊的 calling convension 和我以前學的不太一樣了
11/03 16:21, 34F
11/03 16:21, , 35F
啊記錯惹><我老是把section segment搞錯
11/03 16:21, 35F
11/03 16:25, , 36F
那個 'A' 為什麼是填 112 個,這一點我一直想不透
11/03 16:25, 36F
11/03 16:28, , 37F
這是buffer到ebp位置的byte數,測出來的
11/03 16:28, 37F
11/03 16:31, , 38F
可能是 main() 的某些特殊參數吧? 雖然原始碼沒寫出來
11/03 16:31, 38F
11/03 16:32, , 39F
啊,main 的參數應該放在 main 的 ret addr 前面才對
11/03 16:32, 39F
※ 編輯: b0920075 (140.117.247.163), 11/04/2016 12:01:31
更多 b0920075 的文章
文章代碼(AID): #1O6jAOU3 (C_and_CPP)
C_and_CPP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 b0920075 的文章
文章代碼(AID): #1O6jAOU3 (C_and_CPP)