我希望为教育目的利用基于堆栈的缓冲区溢出。
有一个典型的函数从主函数中调用,该函数使用从程序输入的参数作为本地缓冲区,并将参数保存在其中。如果给定一个这样的输入:nops+shellcode+address_shellcode,我将利用它。
通过gdb调试,我找到了shell code的地址,因为它将作为参数传递,并且在strcpy之后,我检查了堆栈和$ebp+8(即返回地址),成功地覆盖了shell code的地址。所以我得到了想要的东西。但是当我向前执行时,我得到了:
->shellcode_address in ?? ()
然后
Cannot find bound of current function
返回地址具有我想要的值。有什么想法这是怎么发生的吗?
此外,当我执行它时,我得到了一个分段错误,并且我已经使用-g -fno-stack-protector编译它。为什么?
调试器了解程序中函数代码的起始和终止位置,这要么是通过调试数据提供的信息,要么是使用可执行文件中可见的任何外部符号来提供基本信息。
当堆栈处于适当状态时,它包含调用函数的返回地址,以及某个位置上方的更高级别调用函数的返回地址,以此类推。在执行各种调试器命令时,它使用这些返回地址(以及堆栈和进程状态中的其他信息)来显示函数的名称。这需要在调试器对函数位置的知识中查找返回地址。
一旦你溢出缓冲区并破坏了堆栈,则正确的返回地址就被破坏了。相反,你有一个不同的地址(如果你的攻击成功,则指向你的 shellcode)。当调试器尝试确定此地址在哪个函数中时,它会失败,因为地址不在程序的任何函数中。
当发生这种失败时,调试器会打印出你看到的错误消息。
通常,调试器仍然可以执行基本的功能:它可以显示程序中的寄存器和内存,它仍然可以单步执行和设置断点等。它将无法执行需要更复杂的解释的操作:它无法找到堆栈框架的位置,无法按名称查找局部变量等。
很有可能在函数中存在缓冲区溢出问题(或类似问题)。它会用无关的数据覆盖您函数的当前堆栈帧,并在此过程中破坏返回地址,该地址通常存储在其中。结果是代码“返回”到某个不可预测的位置,并且无法确定返回到哪里。这就是导致错误消息的原因。
你正在堆栈上执行代码,并询问 GDB 你在哪个函数中。
显然,GDB 感到困惑,因为你不在任何函数中。所以它显示地址和“??”
你必须使用 -no-stack-protector 编译,因为堆栈保护程序正是保护你正在尝试做的事情。
我并不是说没有绕过它的方法,但这需要更多的努力和对其保护机制的深入理解。
假设您的Linux发行版是最新的,并且您正在使用x86ish架构,那么您将无法再从用户空间内存执行shell代码(这也适用于其他架构,只是我不太熟悉它们)。有许多原因,对于您的情况,最有可能的是nx位的设置。转到您的Linux安全手册页面,您将看到大量默认启用的安全措施;并且可以通过谷歌搜索“2011年趣味性地破坏堆栈”来寻找可能的解决方法。使用“-fno-stack-protector”编译仅意味着不设置金丝雀值;但这还不够。如果您想出于教育目的而这样做,我建议安装像virtualbox这样的虚拟机,并在其中安装旧的发行版。