Hallo,
Gibt es neben ASLR mittlerweile noch weitere Maßnahmen zur Verhinderung von Bufferoverflows, die standardmäßig aktiviert sind?
Und unter opensuse10.1 hatte ich folgendes Problem noch nicht:
Ich schreibe in den Puffer mehr A's als dort hinein
passen.Erstaunlicherweise werden beim Überschreiben der Speicheradressen
genau die Speicherstellen ausgelassen, die wichtig zur Verwaltung des
Stacks sind, also EBP, RIP usw. Nach diesen Speicherstellen werden die
As dann wieder weiter geschrieben.
Hier zur Verdeutlichung ein Speicherabbild aus gdb:
(gdb) x/100x $esp
0xbffee9c0: 0xbffeeb14 0x41414141 0x41414141 0x41414141
0xbffee9d0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffee9e0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffee9f0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea00: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea10: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea20: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea30: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea40: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea50: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea60: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea70: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea80: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea90: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeeaa0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeeab0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeeac0: 0x41414141 0x41414141 0x0001138d 0x000114ec
0xbffeead0: 0xb7fb8ff4 0x00000000 0xbfffeb58 0x08048ae3
0xbffeeae0: 0xbffeeb14 0xbffeeb14 0x00010000 0x00000000
0xbffeeaf0: 0xbfffeb18 0xbfffeb14 0x00000000 0x00000000
0xbffeeb00: 0x00000000 0x41410000 0x41414141 0x41414141
0xbffeeb10: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeeb20: 0x41414141 0x41414141 0x41414141 0x00000a41
(gdb) info register esp ebp
esp 0xbffee9b0 0xbffee9b0
ebp 0xbffeead8 0xbffeead8
Also das sieht doch danach aus, dass hier
irgendwas installiert wurde, dass das Überschreiben von
verwaltungsrelevanten Stackinhalten unterbindet.
Weiss jemand was das ist und wie ich das ausschalten kann?
Vielen Dank,
tilo
Gibt es neben ASLR mittlerweile noch weitere Maßnahmen zur Verhinderung von Bufferoverflows, die standardmäßig aktiviert sind?
Und unter opensuse10.1 hatte ich folgendes Problem noch nicht:
Ich schreibe in den Puffer mehr A's als dort hinein
passen.Erstaunlicherweise werden beim Überschreiben der Speicheradressen
genau die Speicherstellen ausgelassen, die wichtig zur Verwaltung des
Stacks sind, also EBP, RIP usw. Nach diesen Speicherstellen werden die
As dann wieder weiter geschrieben.
Hier zur Verdeutlichung ein Speicherabbild aus gdb:
(gdb) x/100x $esp
0xbffee9c0: 0xbffeeb14 0x41414141 0x41414141 0x41414141
0xbffee9d0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffee9e0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffee9f0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea00: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea10: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea20: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea30: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea40: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea50: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea60: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea70: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea80: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeea90: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeeaa0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeeab0: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeeac0: 0x41414141 0x41414141 0x0001138d 0x000114ec
0xbffeead0: 0xb7fb8ff4 0x00000000 0xbfffeb58 0x08048ae3
0xbffeeae0: 0xbffeeb14 0xbffeeb14 0x00010000 0x00000000
0xbffeeaf0: 0xbfffeb18 0xbfffeb14 0x00000000 0x00000000
0xbffeeb00: 0x00000000 0x41410000 0x41414141 0x41414141
0xbffeeb10: 0x41414141 0x41414141 0x41414141 0x41414141
0xbffeeb20: 0x41414141 0x41414141 0x41414141 0x00000a41
(gdb) info register esp ebp
esp 0xbffee9b0 0xbffee9b0
ebp 0xbffeead8 0xbffeead8
Also das sieht doch danach aus, dass hier
irgendwas installiert wurde, dass das Überschreiben von
verwaltungsrelevanten Stackinhalten unterbindet.
Weiss jemand was das ist und wie ich das ausschalten kann?
Vielen Dank,
tilo