[問題] 這個ret2text的exploit問題 b0920075 PTT批踢踢實業坊

[問題] 這個ret2text的exploit問題

作者: b0920075 (Void) 2016-11-03 14:00:52

開發平台(Platform): (Ex: Win10, Linux, ...)
linux
編譯器(Ex: GCC, clang, VC++...)+目標環境(跟開發平台不同的話需列出)
gcc -zexecstack -fno-stack-protector
額外使用到的函數庫(Library Used): (Ex: OpenGL, ...)
問題(Question)：
其實不知道能不能發到這裡，但是資安版太少人，這又跟C有一點點關係就發到這裡了，不妥麻煩版主刪掉QQ
我自己在看大神教學影片學習的時候看到一個exploit，對大神的註解有點疑問
這是影片中的有洞的程式source code：

環境下只有開ASLR，其他DEP和stack protector沒開
這是大神的exploit(python寫的，我只擷取部分)：

補上完整版的：

後面加上r.interactive()就是完整版的exploit了
我的理解是：裡面的'A'*112是padding，p32(0x08048310)[email protected]/*

作者: Schottky (順風相送) 2016-11-03 14:46:00

這個 exploit 根本不能用吧

作者: b0920075 (Void) 2016-11-03 14:49:00

喔喔這個只是測試有沒有跳過去啦，我沒有截送shellcode的圖，想說那邊不是我要問的重點

作者: Schottky (順風相送) 2016-11-03 14:58:00

你的理解沒錯，呼叫時先 push 參數再 push ret address所以我覺得是寫 exploit 的人完全弄反了gets 填資料是由低位址向高位址填，就算 overflow也根本不會蓋到 gets 的 return address你確定原始的 exploit 真的能用?

作者: b0920075 (Void) 2016-11-03 15:02:00

我上面那個只是擷取exploit的一部分而已，原本的測試過可以用等下補放完整的

作者: Schottky (順風相送) 2016-11-03 15:40:00

這 exploit 還是一樣怎麼看都不對通常 padding 也是用 0x90 (NOP) 而不會用 'A'不過重點還是 gets 的 return address 並不會被蓋到會被蓋到的是 main() 的 return address所以我有點好奇，你是怎麼確定這 exploit 可以用的

作者: b0920075 (Void) 2016-11-03 16:04:00

呃因為我測過可以用，然後他main ret address被蓋成get@plt，所以後面gets的利用應該是自己做一個ret address讓他跳而不是一般的覆蓋至於nop sled我個人習慣也是寫\×90啦，可是那是因為之前做的需要跳回buf讓他滑，如果沒有要跳回buf應該填A也沒關係

作者: Schottky (順風相送) 2016-11-03 16:13:00

那聽起來被蓋到的是 main 而不是 gets 的 return addres但還是很不對勁，buf 裡都填滿 A 了，shell code 是寫到哪裡去?你既然知道 nop sled 那應該知道一般就是把 shell code填在 stack 的 char buf[100] 裡面，免得出別的槌啊...

作者: b0920075 (Void) 2016-11-03 16:17:00

因為有開aslr，所以應該是寫到全域變數（即使開aslr也不會變）那個section裡面吧因為global不會變，所以盡量寫在global裡面，講師是這樣講的

作者: Schottky (順風相送) 2016-11-03 16:19:00

Intel 組合語言裡叫他 data segment ... 我懂你的意思了不過我還是覺得位置關係對不上可能這邊的 calling convension 和我以前學的不太一樣了

作者: b0920075 (Void) 2016-11-03 16:21:00

啊記錯惹><我老是把section segment搞錯

作者: Schottky (順風相送) 2016-11-03 16:25:00

那個 'A' 為什麼是填 112 個，這一點我一直想不透

作者: b0920075 (Void) 2016-11-03 16:28:00

這是buffer到ebp位置的byte數，測出來的

作者: Schottky (順風相送) 2016-11-03 16:31:00

可能是 main() 的某些特殊參數吧? 雖然原始碼沒寫出來啊，main 的參數應該放在 main 的 ret addr 前面才對

繼續閱讀

[問題] qt結合opencv顯示kinectv2的畫面卻失敗GermanGerm [問題] vector.clear() seg faultfishlinghu [問題] UDP client發送接收分兩個檔案寫s890269 [問題] 請問如何使用FFMPEG將jpg轉成420格式?evilkiss [問題] 1/階層的倒數累加問題yahhhhhh [問題] CSV -> ZIP問題checkIO Re: [問題] class解構function呼叫問題godspeedlee Re: [問題] 兩個以上的QTimer問題godspeedlee [問題] function ptr ＆ templatePhysiAndMath Re: [問題] lambda capture list 的問題dreamboat66

Links booklink