缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。这一漏洞可以被恶意用户利用来改变程序的流控制,甚至执行代码的任意片段。这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭,溢出会引起返回地址被重写。从逻辑上讲进程的堆栈是由多个堆栈帧构成的,其中每个堆栈帧都对应一个函数调用。当函数调用发生时,新的堆栈帧被压入堆栈;当函数返回时,相应的堆栈帧从堆栈中弹出。尽管堆栈帧结构的引入为在高级语言中实现函数或过程这样的概念提供了直接的硬件支持,但是由于将函数返回地址这样的重要数据保存在程序员可见的堆栈中,因此也给系统安全带来了极大的隐患。
如果大家对缓冲区溢出感兴趣,可以参考一下我的博客——Buffer Lab
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。
我们将用两种方法,来运行这个代码片段。
1.手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
2.利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
因为是拷的老师的kali,所以不用再下载pwn1这个linux可执行文件。我先将其反汇编。
大家一定要会看这个图,标红的第一列是内存中的地址,标红的第二列是机器指令,第三列是汇编指令。先看右下角的"call 8048491 ",这是一条汇编指令,是说这条指令将调用位于地址8048491处的foo函数;其对应机器指令为“e8 d7ffffff”,e8即跳转之意。正常情况下,此时此刻EIP的值应该是下条指令的地址,即80484ba,但一解释e8这条指令呢,CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41,41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值,
main函数调用foo,对应机器指令为“ e8 d7ffffff”,那我们想让它调用getShell,只要修改“d7ffffff”为,"getShell-80484ba"对应的补码就行。算出来结果是c3ffffff。
下面我们就可以直接修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff。
具体步骤如下(我尽量将步骤和思路写得浅显易懂,方便大家理解):
1.首先将原来的pwn1这个可执行文件复制一份,命名为20145326cxy,然后用vi来编辑。
2.因为vi是一种文本编辑器,打开后显示的是ASCⅡ码。按下ESC键,输入“:%!xxd”,将显示模式换为16进制模式,这样比较容易看懂。
3.然后输入“/e8 d7”,查找要修改的内容,注意中间有空格,不然会出错。找到后还要将前后的内容和反汇编的对比下,确认找的这地方是正确的。然后按下a键,进入编辑模式。将d7改为c3。
4.用“:%!xxd -r”将16进制转换为原格式(许多同学忘了这一步!),再用“:wq”存盘推出vi。
5.验证修改后的代码的功能。成功进入shell。
6.再用反汇编看看call指令对应的机器指令是否发生变化。
对比之前:
由图可知,确实发生了变动。说明成功修改了程序机器指令,改变了程序执行流程。
1.反汇编,了解程序的基本功能。
2.确认输入字符串哪几个字符会覆盖到返回地址。
3.确认用什么值来覆盖返回地址
4.构造输入字符串
原文:http://www.cnblogs.com/cxy1616/p/6475647.html