Tratar con el byte NULO (0x00) en las compensaciones

1

Estoy tratando de explotar una vulnerabilidad de desbordamiento del búfer strcpy () para probar el ataque ROP. Encontré un gadget muy útil en la dirección 0x0000f26c , por lo que estoy obligado a insertar bytes nulos en la pila para anular la dirección de retorno de la función vulnerable. Por el momento no pude hacer esto porque strcpy () usa 0x00 como terminador de cadena.

¿Hay algún otro método para hacer esto?

    
pregunta Ahmed 28.05.2018 - 12:13
fuente

1 respuesta

0

No que yo sepa, pero ¿qué hay de sobrescribir la dirección de devolución con un gadget "ret"? Con un depurador, intente encontrar si hay bytes nulos sobre la dirección de retorno ...

Si consideramos que rsp == 0x1000 está a punto de pasar a la dirección de retorno:

0x1010: 0x???????????????? <-- are these null-bytes ? if yes ...
0x1008: 0x???????????????? <-- are these null-bytes ? if yes overwrite first 2 bytes with "\x6c\xf2" if not overwrite with ret gadget... 
0x1000: *return address*   <--- overwrite with a ret gadget
    
respondido por el JeanPic 28.05.2018 - 17:44
fuente

Lea otras preguntas en las etiquetas