เหตุใดตำแหน่งของตัวแปรสภาพแวดล้อมจึงแตกต่างกันมาก

อ่านหนังสือแฮ็ค: ศิลปะแห่งการเอารัดเอาเปรียบโดย Jon Erickson ฉันพยายามประมาณที่อยู่ของตัวแปรสภาพแวดล้อมSHELLCODEเพื่อใช้ประโยชน์จากโปรแกรม

ทุกครั้งที่ฉันวิ่งgetenv("SHELLCODE");ไปหาที่ตั้งผลลัพธ์จะแตกต่างกันโดยสิ้นเชิง

แยกจากเปลือกของฉัน:

> for i in $(seq 10); do ./a.out SHELLCODE; done
SHELLCODE is at 0xff9ab3a3
SHELLCODE is at 0xffcdb3a3
SHELLCODE is at 0xffb9a3a3
SHELLCODE is at 0xffa743a3
SHELLCODE is at 0xffdb43a3
SHELLCODE is at 0xfff683a3
SHELLCODE is at 0xffef03a3
SHELLCODE is at 0xffc1c3a3
SHELLCODE is at 0xff85a3a3
SHELLCODE is at 0xff8e03a3

ฉันเข้าใจว่าหากชื่อโปรแกรมถูกแก้ไขหรือเพิ่มตัวแปรสภาพแวดล้อมใหม่ตำแหน่งจะแตกต่างกันเล็กน้อย แต่เหตุใดตำแหน่งที่ตั้งจึงแตกต่างกันมาก

สิ่งที่คุณอธิบายคือคุณสมบัติต่อต้านการเอารัดเอาเปรียบที่เรียกว่าAddress Space Layout Randomization (ASLR) โดยทั่วไปเคอร์เนลจะวางที่อยู่บนสุดของการเรียกฟังก์ชันสแต็กของโปรแกรมที่ที่อยู่แตกต่างกันเล็กน้อย ("สุ่ม") ทุกครั้งที่เคอร์เนลโหลดไฟล์ ELF ของโปรแกรมจากดิสก์ ที่อยู่ในargvและตัวแปรสภาพแวดล้อมซึ่ง shellcode ของคุณเป็นหนึ่งนั้นลงท้ายด้วยที่อยู่ที่แตกต่างกันกับการเรียกใช้โปรแกรมแต่ละรายการ

ASLR ควรจะทำให้การใช้ประโยชน์จากบัฟเฟอร์ล้นมากขึ้นและช่องโหว่ที่เกี่ยวข้องกับกองซ้อนได้ยากขึ้น ผู้โจมตีต้องเขียนโค้ดหรือทำอะไรบางอย่างเพื่ออธิบายที่อยู่ที่แตกต่างกันของตัวแปรและค่าในสแต็กการเรียกใช้ฟังก์ชัน

ดูเหมือนว่าคุณสามารถปิดการใช้งาน ASLR โดยทำสิ่งที่ชอบ:

echo 0 > /proc/sys/kernel/randomize_va_space

ในฐานะผู้ใช้รูท เนื่องจากคุณอ้างถึงอูบุนตูอย่างชัดเจนคำสั่งด้านบนจึงแตกต่าง:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space