在 gdb 中查找环境变量地址时奇怪的事情

Question

最近我正在用我的 Ubuntu11.10 在论文 Bypassing non-executable-stack during exploitation using return-to-libc 上做一些 Return-to-libc 攻击实验。

在进行实验之前，我关闭了 ALSR。

根据论文，我可以在gdb中找到环境变量SHELL="/bin/bash"的地址（使用gdb调试我要攻击的程序）：

但是当我尝试使用该地址进行Return-to-libc实验时发现该地址错误。

然后我写了一个简单的程序来获取环境变量地址：

当我在终端中运行这个程序时，我得到了正确的地址：



有了这个地址，我可以做攻击。

我还找到了与此相关的question。但是答案并没有真正的意义（第二个可能更好）。

请告诉我一些细节。

Answer 1

从您的屏幕截图中，我假设您在 32 位英特尔平台上运行。我还没有花时间全面研究这个问题的答案，但这些是值得注意的点：

1. 我敢打赌，您的整个环境都在同一个地方，并且像 c 风格的字符串一样紧密地打包在一起。 （试试x/100s **(char***)&environ）。
2. 当我在我的 x86-64 安装上尝试 ths 时，我在环境之后看到的唯一内容就是我的命令行和一些空字符串。
3. 在0xBffff47A，您非常接近用户地址空间的顶部（以0xC0000000 结束）。

所以，我的猜测是这里发生的事情是：

1. 环境块和命令行参数在启动过程中的某个时间点以压缩形式推送到用户地址空间的末尾。
2. 在 GDB 或终端中运行程序时，环境的内容会有所不同。例如，我在 GDB 下运行时注意到“_=/usr/bin/gdb”，我敢打赌只有在 GDB 下运行时才会出现。

结果是，虽然您的固定指针倾向于落在环境块中间的某个位置，但它不会每次都落在同一个位置，因为环境本身在运行之间会发生变化。