Arch Linux

Exploits für Anfänger

Smon

T.M. schriebJa, aber der wird ja dann mit überschrieben, funktioniert also auch nicht mehr richtig. Kann sein, der wird schlicht nicht mehr benötigt.

Jain, was braucht man denn schon. eax, edx, eip, esp? Ist halt komfortabler 😉

EBP ist "offiziell" ein "Zeiger auf temporäre Speicherstellen im Stack (z. B. Stackframe für lokale Variablen etc.)"
Quelle: Wikipedia
Kannst du aber auch Zweckentfremden, wie fast alle Register.

Smon schriebUm Probleme zu vermeiden, habe ich mir angewöhnt, den EBP immer "richtig" zu überschreiben.

In diesem Beispiel wird exit() noch in der Funktion aufgerufen, die angesprungen wird. Normalerweiße hast du diesen Komfort aber nicht, sondern du willst ja unentdeckt bleiben. Also sollte dein Exploit auch wieder alles so reparieren, dass der Code, der danach kommt, keine Fehler mehr wirft und das Programm regulär weiter läuft.

shibumi

portix schrieb Wie kommst du darauf? "a" ist ein char-array der Länge 1, ein char ist 1 byte groß.
Edit: Vergiss es, sind natürlich 2 byte inklusive dem 0-terminator, den musst du aber abziehen.

Wie viel byte sind es denn nun? 140 oder 280 ? Wieso sollte man den Null-Terminator wieder abziehen und wieso so viele byte wenn doch für den buffer overflow nur 128 gebraucht werden.

portix

shibumi schrieb
portix schrieb Wie kommst du darauf? "a" ist ein char-array der Länge 1, ein char ist 1 byte groß.
Edit: Vergiss es, sind natürlich 2 byte inklusive dem 0-terminator, den musst du aber abziehen.
Wieso sollte man den Null-Terminator wieder abziehen

Weil printf den Null-Terminator nicht nach stdout schreibt.

shibumi

portix schrieb
shibumi schrieb
portix schrieb Wie kommst du darauf? "a" ist ein char-array der Länge 1, ein char ist 1 byte groß.
Edit: Vergiss es, sind natürlich 2 byte inklusive dem 0-terminator, den musst du aber abziehen.
Wieso sollte man den Null-Terminator wieder abziehen
Weil printf den Null-Terminator nicht nach stdout schreibt.

Ahh ja printf schreibt ja nur das 'a' und nicht den null terminator dann ist mir aber trotzdem nicht klar wieso man 140 bytes braucht und keine 128 für den buffer overflow.
Weil 132 bytes haben ja bereits gereicht für einen segfault

Smon

Der Segmentation Fault tritt ein, wenn das Programm am Ende der main Funktion mit ret zu __libc_start_main zurück springen will.
Warum? Weil der alte ebp falsch überschrieben wurde. Der wird genau wie der EIP am Ende der Funktion zurückgeschrieben. Sprich hier: 0xaaaaaaaa
Auf diese Adresse darf dein Programm aber nicht zugreifen! Wenn jetzt bei ret versucht wird, den noch ältere EIP zurückzuschreiben, haben wir einen Speicherzugriffsfehler.

Warum y Bytes? Die Frage wurde hier schon mindestens 2 mal beantwortet. T.M. hat dies einmal getan und ich habe dir einmal gesagt, wo du etwas nachlesen kannst.

Smon schriebUm Probleme zu vermeiden, habe ich mir angewöhnt, den EBP immer "richtig" zu überschreiben.
Hast du bei deinem Link mal weitergelesen? Also ich meine den Abschnitt "Stack-Adressierung".

shibumi

Ah ok danke

« Vorherige Seite