Affichage linéaire

welc0me · (Modification du message : 21-10-2012, 00h16 par welc0me.)

Bonsoir,

Pour mon premier message sur le forum, je me permet de reprendre une question qui me bloque sérieusement dans mon étude sur les failles applicatives. Je l'avais posée sur deux autres forum, sans réponse. J'espère donc trouver ici une âme charitable qui me permettra d'avancer Smile

J'ai récemment fait l'acquisition du livre "Techniques de Hacking" de Jon Erickson et je suis en ce moment en train d'étudier la partie Exploitation.

Mon but ici est d'effectuer un buffer overflow en utilisant l'environnement.
Pour cela j'ai créé une variable d'environnement SHELLCODE que j'ai remplie avec un tableau de Nop suivi d'un shellcode d'ouverture de shell root.

Le programme ciblé n'est autre que celui présent à ce lien : time0ut (et où la méthode que je veux effectuer y est bien décrite)

Code :
#include <stdio.h>

#include <stdlib.h>

void unused_function(void) {

   printf("Impossible => fonction non utilisee\n");

}

void f(const char *s) {

   int i = 1;

   char buffer[12];

   strcpy(buffer,s);

   printf("i = %u\n",i);

}

int main(int argc, char **argv) {

   if(argc != 2) {

      fprintf(stderr,"Usage: buffer_overflow chaine");

      exit(EXIT_FAILURE);

   }

   f(argv[1]);

   return EXIT_SUCCESS;

}

Pour procéder à l'exploitation il faut donc parvenir à changer l'adresse de retour présente dans le bloc d'activation de la fonction f, et la remplacer par une fausse adresse de retour pointant vers le tableau de Nop contenu dans SHELLCODE (ma variable d'environnement).

J'exécute donc mon programme comme cela :

Code :
./buffer_overflow $(perl -e 'print "\x39\xe5\xff\xff\xff\x7f\x00\x00"x20')

(avec 0x7fffffffe539 une adresse pointant vers le milieu du tableau de NOP)

Mais j'obtiens ou rien, ou n'importe quoi.

Je regarde ce qu'il se passe avec gdb et j'obtiens :

Code :
x/20xg buffer

0x7fffffffdfa0: 0xe5397fffffffe539     0xffffe5397fffffff

0x7fffffffdfb0: 0x7fffffffe5397fff     0xe5397fffffffe539

0x7fffffffdfc0: 0xffffe5397fffffff     0x7fffffffe5397fff

0x7fffffffdfd0: 0xe5397fffffffe539     0xffffe5397fffffff

0x7fffffffdfe0: 0x7fffffffe5397fff     0xe5397fffffffe539

0x7fffffffdff0: 0xffffe5397fffffff     0x7fffffffe5397fff

0x7fffffffe000: 0xe5397fffffffe539     0xffffe5397fffffff

0x7fffffffe010: 0x7fffffffe5397fff     0xe5397fffffffe539

0x7fffffffe020: 0xffffe5397fffffff     0x7fffffffe5397fff

0x7fffffffe030: 0xe5397fffffffe539     0xffffe5397fffffff

Alors voici mes questions :

On remarque un décalage de 2 octets, et on voit que les octets nuls n'ont pas été inscrits dans le buffer, comment cela se fait-il ?
Comment puis-je faire pour réussir cette exploitation ?
Par ailleurs, j'ai remarqué que les adresses mémoires de la pile ont toutes une taille de 8 octets (0x7fffffffe536 par exemple) chez moi, alors que dans de nombreux tutoriels sur internet on ne voit que des adresses de 4 octets (0xbffffce8 par exemple) qui ont l'air de faciliter l'exploitation. Comment cela se fait-il ?

J'espère avoir été assez clair...

Merci ! Smile

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler