Viết shell code nhưng không thành công, làm thế nào?

[prefix]

Mình đang test thử cái lỗi Buffer Overflow trên linux mà chạy shell code không được:

Chương trình mình đơn giản như sau :

C Code:

Select All | Show/Hide

1. #include <stdio.h>
2. void notcall()
3. {
4. printf("execute ok");
5. }
6.  
7. int main(){
8. char buffer[6];
9. gets(buffer);
10. puts(buffer);
11. return 0;
12. }

dịch ra file asm:

g++ a.cpp -o asm

Nếu mình nhập chuỗi lớn cho buffer thì dữ liệu tràn khỏi bộ nhớ
khi dùng gdb disassemble hàm notcall
gdb disassemble notcall :

Debug Code:

Select All | Show/Hide

1. 0x080484ea <_Z7notcallv+0>:     push   %ebp
2. 0x080484eb <_Z7notcallv+1>:     mov    %esp,%ebp
3. 0x080484ed <_Z7notcallv+3>:     sub    $0x8,%esp
4. 0x080484f0 <_Z7notcallv+6>:     movl   $0x80485e0,(%esp)
5. 0x080484f7 <_Z7notcallv+13>:    call   0x80483b0 <printf@plt>
6. 0x080484fc <_Z7notcallv+18>:    mov    $0x0,%eax
7. 0x08048501 <_Z7notcallv+23>:    leave
8. 0x08048502 <_Z7notcallv+24>:    ret

trong linux có lệnh printf để in ra màn hình.trong option của lệnh này có xHH để xuất ra dạng HEX.
0x080484ea là địa chỉ đầu 1 hàm.
Nhưng em không chạy được hàm notcall bằng cách viết :

Code:

printf "AKJHFAKHFKAGFAKF\xea\x84\x04\x08" | ./asm

nhưng nó không chạy được hàm notcall :(

Theo tớ biết thì HDH thì có 2 cách quản lý bộ nhớ là phân segment và paging.Các Cpu đời cũ dùng các
thanh ghi 16bit thì phải phân segment rồi(do đó mới có các thanh ghi segment),còn các CPU thế hệ mới(32bit-64bit) thì trên linux dùng kiểu nào,trên windows dùng kiểu nào?hay là dùng cả 2 cái theo từng trường hợp cụ thể :-?

[Kevin Hoang]

Có phải bạn định overwrite return address không?

Cách thức để tiến hành inject code vào bạn cần hiểu cơ chế hoạt động của stack trước. Do stack có cơ chế quản lý bộ nhớ từ thấp đến cao, khi xảy ra Buffer Overflow, return address có khả năng được thay thế bằng một địa chỉ khác. Lý do đơn giản để hiểu là: return address cũng được lưu trên stack ở địa chỉ cao hơn các biến local.

Dựa vào đặc điểm trên, bạn có thể tính toán stack size, để xác định return address ở tại địa chỉ nào bằng sử dụng gdb, ta thay thế địa chỉ đó bằng địa chỉ khác (cơ bản nhất là trỏ tới đầu buffer còn phần dữ liệu giữa đầu buffer tới return address sẽ thay bằng các đoạn mã thực hiện các công việc bạn muốn, hoặc trỏ tới hàm nocall) <== đó chính là cách thức exploit.

Như vậy, cách bạn suy nghĩ không hề có căn bản, và đương nhiên là nó sẽ không chạy. Và cách exploit cũng có thể có nhiều dạng...