Hola qué tal?

A ver, tengo una duda que no me está permitiendo avanzar en este campo.

Empecé a leer el libro de shellcoders sobre exploits, entonces uno de los primeros ejemplos del libro es:


Vale, la idea es la siguiente:

Desensamblas con gdb la parte del main y obtienes la dirección a la que se invoca al return_input, con el fin de desbordar el buffer para que lo ejecute dos veces.

Aquí llega la cuestión, desesamblando me saca (por poner un ejemplo):

0x080483ed <main+3> call 0x80483c4 <return_input>

Y desbordo el buffer como indica el libro :
printf "AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDD\xed\x83\x04\x08"|./overflow

Ahí está la cuestión, que no logro de ninguna manera que no dé segmentation fault, y que me repita dos veces la llamada al return_input

Estoy usando wifislax 2.0, que aquellos kernel y gcc y tal, no llevaban protecciones overflow, pero claro, yo lo que pienso es lo siguiente:

Cómo coño va  afuncionar, esa dirección que saca el gdb, no tiene por qué coincidir con la que haya en tiempo de ejecución, no???

Saludos y espero ayuda, que me encantaría iniciarme en profundidad, aunque ya he visto que el tema en los últimos años, ha ido poniendo muchísimas protecciones.

Muy bien, esta es la salida del gdb:


Entiendo que habría que lograr escribir la dirección 0x080483d5 que es donde se hace la invocación a return_input y para ello emplearía :
\xd5\x83\x04\x08

Saludos

Si, esa direccion es la misma, esta en duro en la cabecera del ejecutable. Lo que te puede cambiar es la dir de la pila.

readelf -S a.out | grep .text

Tenes que poner la dir justo despues del call, la 0x080483da.

Saludos !

Pero me refiero:

La dirección que escoge el compilador, es una dirección que al final en memoria no va a ser esa, si no que va a ser totalmente diferente, dependerá de la memoria libre etc etc etc.

Mi duda es, puesto que el SO al final abstrae la memoria para el programa de manera que el cree que tiene toda la memoria del mundo, aunque en realidad tenga sus cachitos en cada cacho de memoria y no se corresponda con sus direcciones, al final las direcciones del compilador son las que usa en esa memoria virtual???

Respecto a lo de ejecutarlo es algo que te iba a preguntar, yo lo ejecuto a pelo, pero a lo mejor es que debería ejecutarlo en el gdb xD


Saludos y gracias!

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees abandonar este campo y ir a cultivar campos de arroz

Lo de meter otra función lo probaré también.

Es una buena idea. Sagrini is back ! todo bien , vos?

Al final lo unico que ves son las virtuales. Tendrias que correrlo en gdb y depurarlo con si para ver bien a donde vas a parar y si  sobreescribis bien el ret.