【好玩】缓冲区溢出攻击实验

rexller

---------[ 0x110 - execshield介绍 ]
  Redhat在Fedora Core 2以及Enterprise Linux 3 Update 3加入了exec-shield的内核补丁。该补丁的官方地址为http://redhat.com/~mingo/exec-shield/

  Execshield的目的是最大程度的防止溢出，所以他将内存中尽可能多的地方标记为不可执行的。同时他还保留了函数的返回地址，这样如果覆盖了EIP后，将探测到返回地址改变，将会出错。具体exec-shield做了什么，以及是如何实现的，请参考官方文档
  http://people.redhat.com/mingo/e ... 06US_Execshield.pdf
  http://people.redhat.com/mingo/exec-shield/docs/nonselsec.pdf

由于execshield的汗马功劳，传统的buffer overflow已经彻底失效了，因为他把shellcode放在stack中执行，而stack是不可执行的。

return into libc的方法为我们提供了一定思路，但execshield把函数的地址变成了类似
(gdb) p printf
$1 = {<text variable, no debug info>} 0x61db70 <printf>

也就是0x0061db70,而像strcpy这类函数，一遇到0字节就判断为终止，大大增加了难度

同时，因为栈不可执行，所以直接覆盖EIP为函数地址的方法也失效了。

如果利用frame faking，则可以在函数返回前跳转到另外一个地方去执行，但由于execshield禁止了内存中大多数地址的执行权限，所以.bss不行，heap也不行，stack当然更不行，那么如何找到这个合适的地方就成为了难点。同时还不能让函数返回，因为一返回就会被execshield检测到返回地址改变，会出错。