Sprintf 缓冲区溢出 - RIP 寄存器包含垃圾数据

Question

我尝试在我的程序中利用 sprintf c 函数，它是这样使用的：

char line[512];
sprintf(line,"[%s]", UserCommand);

如您所见，该行可以被利用并触发其他内容。我找到了如何更改 rbp 寄存器但是当涉及到 RIP 寄存器时，我可以用 "0xFFFF7FFFEBFF8C10" 来改变它，但是我不能用 "0x00007FFFEBFF8C10"，前 2 个字节“00 00”被 0x2D5D ( ]) 替换为 0x2D5D7FFFEBFF8C10。该地址不能将我带到我的任意代码所在的缓冲区。

堆栈 $rsp-100: 0x7fffebff8d94: 0xd23148f6 0x3bc08348 0xebe8050f 0x2fffffff 0x7fffebff8da4: 0x2f6e6962 0x4168732f 0x41414141 0x41414141 0x7fffebff8db4: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffebff8dc4: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffebff8dd4: 0x41414141 0x41414141 0x41414141 0x41414141 0x7fffebff8de4: 0xffffffff 0x41414141 0x0000155a 0x41414141 0x7fffebff8df4: 0x41414141 0xebff8c10 0x205d7fff 0x00000000 0x7fffebff8e04: 0x00000000 0x00bd5760 0x00000000 0x00000000

gdb 中的回溯： 0 0x00000000004093a0 in ProcessCmd (Ctx=40, Connect=27, Msg=0x7fffebff9e32 '0' <repeats 200 times>..., Len=522) at /home/sam/srv/cmd/proc.c:305 1 0x205d7fffebff8c10 in ?? () 2 0x0000000000000000 in ?? ()

报名：

info r
rax            0xffffffff       4294967295
rbx            0x7fffebfff700   140737152808704
rcx            0x7ffff78cb1fd   140737346580989
rdx            0x919f40 9543488
rsi            0x0      0
rdi            0x919f40 9543488
rbp            0x4141414141414141       0x4141414141414141
rsp            0x7fffebff8df8   0x7fffebff8df8
r8             0x0      0
r9             0x29     41
r10            0x11     17
r11            0x0      0
r12            0x1      1
r13            0x7fffebfff9c0   140737152809408
r14            0x7fffebfff700   140737152808704
r15            0x0      0
rip            0x4093a0 0x4093a0 <ProcessCmd+407>
eflags         0x10202  [ IF RF ]
cs             0x33     51
ss             0x2b     43
ds             0x0      0
es             0x0      0
fs             0x0      0
gs             0x0      0

我想知道这是否可以被利用？

有没有什么方法可以在 RIP 寄存器中获得一个有效的规范地址并删除使我的地址无效的 2 个字节？

提前致谢

Answer 1

sprintf(line,"[%s] ", UserCommand);、sprintf 会将 '[' 写入 line，然后你的输入是 NULL terminated string，然后是 ']'、' '，最后一个 NULL terminator。假设您输入包含 shellcode 的字符串并以 return 地址结尾。如您所知，%s 格式说明符在找到 NULL byte.

时将 停止 写入此输入

案例 1：

Non_NULL_Shellcode = Your_shellcode
Return_address = 0xFFFF7FFFEBFF8C10

如您所见，您的输入中没有 NULL 字节。所以 sprintf 会将 '[' 写入 line，然后你的输入 NULL terminated string 包含 shellcode 和 complete return 地址，然后是 ']'、' '，最后是 NULL terminator。效果很好。

案例二：

Non_NULL_Shellcode = Your_shellcode
Return_address = 0x00007FFFEBFF8C10

有什么区别？是的，您的 return 地址末尾包含两个 NULL byte，sprintf 将其解释为 STOP 从您的输入中写入的标记。所以这会发生。 sprintf 将 '[' 写入 line，然后您的输入 NULL terminated string 包含 shellcode 和 不完整 return 地址，然后是 ']'、' '，最后是 NULL terminator。 ']' == 0x5d 和 ' ' == 0x20 在 ascii 中。当写你的 return 地址时（假设在小端） sprintf 会写 0x10, 0x8C, 0xFF, 0xEB, 0xFF, 0x7F 并继续写入 0x5D, 0x20, 最后 0x00 即 NULL terminator。所以它解释了为什么你的地址 0x00007FFFEBFF8C10 更改为 0x205D7FFFEBFF8C10。 0x205D 不是垃圾数据，它是您的字符串。希望对您有所帮助:).