-
很久没有更新了,来讨论一下系统层方面的漏洞吧
-
首先构建一个含有缓冲区溢出的C语言程序。
源码如下:
#include <stdio.h>#include <windows.h>#define PASSWORD "1234567"int verify (char * password){int flag;char buffer[44]; flag = strcmp(password,PASSWORD);strcpy(buffer,password);return flag; }void main(){ int vaild_flag=0;char password[1024]; FILE * fp; LoadLibrary("user32.dll");if (!(fp=fopen("password.txt","rw+"))) { exit(0); }fscanf(fp,"%s",password); vaild_flag = verify(password);if (vaild_flag) { printf("Incorrect!!!!!!n"); }else{ printf("Congratulation!Gay!you have passed!!!!!n"); } fclose(fp); getchar(); }
因为在程序输入中手动输入shellcode较为困难。所以我们用password.txt作为输入源,shellcode也将写入其中。
-
从程序可知当我们输入错误的密码的时候。
flag在内存的值为00000001,此时弹出提示信息“Incorrect!!!!!!”。 -
那么有什么方法在不合法的输入前提下可以让flag为00000000呢 ?
-
根据栈的结构函数在栈中的空间分配应该为以下所示:
buffer[0…3]
……
buffer[40…43]
flag
EBP
返回地址
-
C语言中有一个字符结束标志' '
我们可以通过填满缓冲区使位于字符末位的0,跨界溢出到flag的1上使flag=00000000。
未受溢出的flag
受溢出影响的flag
用44个字符填充buffer
-
既然已经覆盖了邻接变量flag,那么我们是不是也可以覆盖掉返回地址,使得返回地址指向我们想让执行的地方并在其中放上shellcode。
当然只需要在password中再写入三个dword,第一个覆盖flag,第二个覆盖EBP,第三个覆盖返回地址。
-
在password.txt中放入shellcode并使返回地址指向buffer的偏移地址0012FAEC(ollydbg中得到)。
最后四位是buffer地址(注意顺序)
shellcode成功执行
shellcode的编写
用汇编语言编写之后(可用高级语言通过编译器查看)
用所用机器的CPU指令集,将其写为16进制代码。Shellcode便制作成功了。
此处的shellcode是调用系统的动态链接库中的messageboxA.dll
将地址写入
用APIAdress.exe可以查看API所在的入口地址。
本文始发于微信公众号(飓风网络安全):缓冲区溢出漏洞实战
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论