Переменные среды переполнения буфера Linux

Question

Я просматривал разные стили переполнения буфера и сталкивался с проблемой, о которой я не помню, почему это происходит. Код следующим образом является программой я попытка выполнить переполнение буфера:

#include <stdio.h> 

void func(char *buff){ 
    char buffer[5]; 
    strcpy(buffer, buff); 
    printf("%s\n", buffer); 
} 

int main(int argc, char *argv[]){ 
    func(argv[1]); 
    printf("I'm done!\n"); 
    return 0; 
} 

Основная концепция программы очень прост, я просто переполнить буфер для перезаписи адреса возврата func(). Это отлично работает, когда я даю ему адрес, такой как 0x0804850c, который является <_fini> программы. Конечным результатом, когда я реализую переполнение с этим адресом, является завершение программы «изящно» без печати I'm done!. Проблема, с которой я столкнулся сейчас, - это когда я пытаюсь перенаправить обратный адрес на что-то, скажем, переменную среды, расположенную в 0xbfffd89.

Код оболочки, расположенный в этой конкретной переменной окружения, должен просто выйти из программы после объявления hello. Однако этого не происходит, программа просто отключается, и все. Код оболочки уже подтвержден для работы в предыдущей программе, которую я написал, для проверки кода оболочки. У кого-нибудь есть идеи, почему это не работает. Thx

Answer 1

Переменные окружения расположены в области памяти, которая считывает & разрешение на запись, но не выполняет разрешение. Я воспроизвел легко следующим образом:

#include <stdio.h> 
#include <stdlib.h> 

int 
main(int argc, char **argv) 
{ 
void (*function)(void); 

     function = (void (*)(void))getenv("PATH"); 
     function(); 
     return 0; 
} 

Запуска под gdb, я получил это:

Program received signal SIGSEGV, Segmentation fault. 
0x00007fffffffeb51 in ??() 
(gdb) 

Затем я посмотрел адрес 0x00007fffffffeb51 если /proc/PID/maps и нашел такую ​​строку:

7ffffffde000-7ffffffff000 rw-p 00000000 00:00 0       [stack] 

Существует -, где обычно будет найден бит x (выполнить).

Answer 2

Можете ли вы подтвердить адрес переменной между прогонами? Если ваша система использует что-то вроде ASLR, она может отличаться при каждом запуске. Однако адрес argv [1] может быть предоставлен через некоторый регистр, поэтому, если вы укажете обратный адрес с адресом инструкции, выполняющим косвенный вызов через этот регистр (вы, вероятно, найдете такую ​​инструкцию, используя objdump -d в своей программе), он будет запускать ваш код по любому адресу, который будет - если этот адрес находится на исполняемой странице. И регистры используются в вашем ABI для передачи параметров. Однако могут возникнуть другие проблемы ...

Если вы предоставляете более подробную информацию (возможно, включая разборку программы), возможно, на нее можно ответить более конкретно.

Answer 3

Современные дистрибутивы linux затвердевают от такого рода нападений. Например, бит NX устанавливается для страниц стека на x86-64. А адреса карт рандомизированы, чтобы предотвратить возможность угадывать извне процесса. Смотрите следующее:

http://en.wikipedia.org/wiki/Executable_space_protection http://en.wikipedia.org/wiki/Address_space_layout_randomization

В принципе, если вы хотите написать эксплойт для современной системы вы будете иметь, чтобы сделать немного больше работы.