首先,开启地址随机化,观察buf的地址:
注意到bufn的差别巨大,也就是说滑动攻击(利用一堆空指令来增加命中率)的方法无效。那么只能另寻它路。
在getbufn的ret处打上断点,观察各寄存器的值:
注意到rdi中保存的就是bufn的地址,故自然产生一个想法,只需要执行“jmp rdi”即可。发现二进制位ff e7,所以思路就为找到内存中0xe7ff的段即可。
在gdb中先执行info proc mappings,找到可执行代码段,即下图的r-xp段:
在可执行代码段中寻找jmp rdi:
可惜没有找到,原因是代码段实在是太短,找到需要的指令的可能性极低。接下来有两种思路,一种是修改源代码,第二种是把动态链接改成静态链接。
在这我采用第二种方法,即把编译选项改为:
这里我用了一个软件叫ROPgadget,可以很方便的查找指令,支持模糊查找等筛选方法,而且自动在可执行代码段中查找,十分方便。采用ROP(Return Oriented Programming)的思路,找小gadget:
接下来就需要发挥奇思妙想了。容易注意到,getbufn中ret后,%rsp指向返回地址-1,而我们能修改的不仅仅是getbufn的栈帧,实际上考虑到在testn中调用getbufn后并不会再用到很多局部变量,所以我们也可以破坏testn的栈帧。
一言以蔽之:只需要把所需指令从testn的%rsp开始存,修改返回地址为“push rsp;ret”即可,注意需要恢复rbp的值。
攻击字符串如下:
直接执行,攻击成功!
9560
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
