如何解决如何使用 NOP sled 绕过 ASLR
我正在尝试使用 NOP 雪橇绕过 ASLR。这是 vuln() 的程序集,抱歉我没有源代码:
0804878a <vuln>:
804878a: 55 push %ebp
804878b: 89 e5 mov %esp,%ebp
804878d: 53 push %ebx
804878e: 81 ec a4 00 00 00 sub $0xa4,%esp
8048794: e8 77 fe ff ff call 8048610 <__x86.get_pc_thunk.bx>
8048799: 81 c3 67 18 00 00 add $0x1867,%ebx
804879f: 83 ec 0c sub $0xc,%esp
80487a2: 8d 85 64 ff ff ff lea -0x9c(%ebp),%eax
80487a8: 50 push %eax
80487a9: e8 52 fd ff ff call 8048500 <gets@plt>
80487ae: 83 c4 10 add $0x10,%esp
80487b1: 83 ec 0c sub $0xc,%esp
80487b4: 8d 85 64 ff ff ff lea -0x9c(%ebp),%eax
80487ba: 50 push %eax
80487bb: e8 80 fd ff ff call 8048540 <puts@plt>
80487c0: 83 c4 10 add $0x10,%esp
80487c3: 8b 83 fc ff ff ff mov -0x4(%ebx),%eax
80487c9: 8b 00 mov (%eax),%eax
80487cb: 83 ec 0c sub $0xc,%esp
80487ce: 50 push %eax
80487cf: e8 1c fd ff ff call 80484f0 <fflush@plt>
80487d4: 83 c4 10 add $0x10,%esp
80487d7: 90 nop
80487d8: 8b 5d fc mov -0x4(%ebp),%ebx
80487db: c9 leave
80487dc: c3 ret
二进制文件是 32 位的,堆栈是可执行的,所以我决定使用 NOP sled。我的payload如下:
'A'*160 + return address + '\x90'*1024 + shellcode
如果我的理解是正确的,如果我多次运行漏洞利用,返回地址可能指向 NOP sled 中的某个地方,这将导致处理器执行我的 shellcode。
但是,我不知道如何近似返回地址。我尝试使用 gdb 二进制文件,它告诉我原始返回地址是 0xfc3fc758,所以我只使用该值。当我将有效负载提供给二进制文件时,它会以 SIGSEGV 退出。
[*] Process './vuln5' stopped with exit code -11 (SIGSEGV) (pid 9240)
经过一些调试后,我发现当 vuln() 返回时会抛出段错误,因此我尝试仅提供垃圾字节以查看会发生什么。事实证明,任何超过 152 字节的填充都会导致段错误,但我不知道为什么。我认为 160 字节一定是正确的,因为程序集告诉缓冲区从 ebp-0x9c 开始。
那么我是否正确使用 NOP 雪橇?以及如何近似返回地址?
解决方法
使用 GDB,您可以检查程序尝试返回的地址。 这将让您知道是否使用所需的值覆盖存储的返回地址。
至于击败 ASLR,虽然您的堆栈有可能被放置在允许您的漏洞利用成功的地方,但这种可能性很小。 此外,由于页面与 0x1000 对齐,因此您的 NOP 雪橇可能不会增加您登陆 shellcode 的几率。
NOP sled 通常用于堆栈的位置不是随机的,但您不一定知道 shellcode 的偏移量。 这通常是由于本地计算机和远程服务器之间的环境变量大小不同造成的。
在这种情况下,如果你想让你的 shellcode 工作,你需要泄漏一个堆栈地址来确定跳转到哪里。
或者,还有其他方法可以让您利用此程序。
看到对 <puts@plt> 的调用,我想到了 ret2libc。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。