[求助]单字节溢出原理-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[求助]单字节溢出原理

发表于: 2013-8-1 15:29 3558

[求助]单字节溢出原理

门前小雪

2013-8-1 15:29

3558

apache mod_rewrite 单字节溢出漏洞，下面是存在漏洞函数
static char *escape_absolute_uri(ap_pool *p, char *uri,
unsigned scheme)
2700 {
2701 char *cp;
2733 if (!strncasecmp(uri, "ldap", 4)) {
2734 char *token[5];
2735 int c = 0;
2736
2737 token[0] = cp = ap_pstrdup(p, cp);
2738 while (*cp && c < 5) {
2739 if (*cp == '?') {
2740 token[++c] = cp + 1;
2741 *cp = '\0';
2742 }
2743 ++cp;
2744 }
token[5]时候溢出，token[5]覆盖了ebp最后一个字节。我想问下，漏洞的利用原理是什么样的。网上的技术帖子总是在关键地方含糊不清，实在看不懂。

覆盖了ebp的一个字节，函数执行完时候，
mov esp,ebp
pop ebp //弹出了我们覆盖的地址给ebp,
ret //pop eip

不太明白这里是怎么样跳到shellcode的？知道的告诉下，就是单字节溢出的的控制流程。谢谢了

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・0

支持

最新回复 (13)
bestshow 雪币： 116 活跃值： (70) 能力值： ( LV10，RANK：170 ) 在线值：发帖 7 回帖 70 粉丝 0 关注私信	bestshow 4 2 楼 ebp被修改了，mov esp，ebp后esp的值跟正常执行不一样，ret当然会改变执行流程，lz可以动态调试一下，注意栈区中数据的变化 2013-8-1 15:51 0
qwertyuzzh 雪币： 565 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 1 关注私信	qwertyuzzh 3 楼 http://bbs.pediy.com/showthread.php?t=56445&viewgoodnees=1&prefixid= 你的问题，在这个入门介绍里都有解答 2013-8-1 15:55 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 4 楼构造 one - by - one ebp 让esp 弹出处，进入eip 的指针为执行处，或者跳板处...回来执行 shellcode... 2013-8-1 16:01 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 5 楼详细说下，谢谢 2013-8-2 13:30 0
seaeast 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	seaeast 6 楼 ebp被控制之后，将ebp mov到esp，也就是esp也被控制，之后ret会将esp弹出给eip，导致控制程序流程。个人拙见，请指教。 2013-8-2 17:47 0
topofall 雪币： 124 活跃值： (429) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 7 楼在这个函数中ebp是不变的，但是在上一个函数中ebp改变了。上一个函数中再执行mov esp,ebp不就控制了esp 2013-8-3 10:24 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 8 楼我又看了下上面提到的教程，讲的还是可以直接填充缓冲区，直到覆盖eip,没有说单字节时候是什么情况。函数调用结束的时候，要退出当前的栈帧先，mov esp,ebp //使esp,ebp指向同一个地方，就是前一栈帧的ebp, 到这里还是正常的啊 pop ebp //弹出了我们覆盖的地址给ebp, 这时候，ebp的值变成我们覆盖的，这时候堆栈应该不正常了。 ret //相应的这里pop eip也出问题了，就是不明白这里到底怎么弹出的。。怎么弹出跳转地址，或shellcode的地址。。 2013-8-3 15:45 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 9 楼函数调用结束的时候，要退出当前的栈帧先，mov esp,ebp //使esp,ebp指向同一个地方，就是前一栈帧的ebp, 到这里还是正常的啊 pop ebp //弹出了我们覆盖的地址给ebp, 这时候，ebp的值变成我们覆盖的，这时候堆栈应该不正常了。 ret //相应的这里pop eip也出问题了，就是不明白这里到底怎么弹出的。。怎么弹出跳转地址，或shellcode的地址。。 2013-8-3 15:48 0
topofall 雪币： 124 活跃值： (429) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 10 楼 esp在结束之前是不变的，在当前函数会正常返回，堆栈有问题也是调用它的函数 2013-8-3 16:14 0
topofall 雪币： 124 活跃值： (429) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 11 楼调试一下，看看堆栈就明白了 2013-8-3 16:15 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 12 楼确实是在前一函数中，函数结束时，把覆盖的ebp,赋值给esp，感谢提醒。现在又遇到个问题， 00401238 add esp,24Ch 0040123E cmp ebp,esp 00401240 call __chkesp (00401320)//在这里这个函数会把堆栈恢复，并弹出错误 00401245 mov esp,ebp //ebp被我们覆盖 00401247 pop ebp 00401248 ret 这样我就没法继续了，，有没有什么办法能把这函数去掉么？ 2013-8-6 16:54 0
topofall 雪币： 124 活跃值： (429) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 13 楼这个水平有限，这种加gs保护，并且没办法引起异常的，好像没办法用。你看一下有没有可能利用这个，执行其他操作，，比如有没有可能覆盖虚指针，不一定是非得覆盖函数返回地址，具体的反汇编结果不知道，只能帮你到这了 2013-8-7 11:15 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 14 楼对于调试版本，VC++编译器在“直接调用地址”时会增加检查esp的代码，例如： ta = (TAdd)add; // TAdd定义：typedef int (__cdecl *TAdd)(int a, int b); c = ta(a, b); 产生以下汇编代码： mov [ebp-10h],0040100a mov esi,esp mov ecx,dword ptr [ebp-8] push ecx mov edx,dword ptr [ebp-4] push edx call dword ptr [ebp-10h] add esp,8 cmp esi,esp call __chkesp (004011e0) mov dword ptr [ebp-0Ch],eax __chkesp 代码如下。如果esp不等于函数调用前保存的值，就会转到错误处理代码。 004011E0 jne __chkesp+3 (004011e3) 004011E2 ret 004011E3 ;错误处理代码 __chkesp的错误处理会弹出对话框，报告函数调用造成esp值不正确。 Release版本的汇编代码要简洁得多。也不会增加 __chkesp。如果发生esp错误，程序会继续运行，直到“遇到问题需要关闭 2013-8-7 14:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

门前小雪

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
bestshow 雪币： 116 活跃值： (70) 能力值： ( LV10，RANK：170 ) 在线值：发帖 7 回帖 70 粉丝 0 关注私信	bestshow 4 2 楼 ebp被修改了，mov esp，ebp后esp的值跟正常执行不一样，ret当然会改变执行流程，lz可以动态调试一下，注意栈区中数据的变化 2013-8-1 15:51 0
qwertyuzzh 雪币： 565 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 1 关注私信	qwertyuzzh 3 楼 http://bbs.pediy.com/showthread.php?t=56445&viewgoodnees=1&prefixid= 你的问题，在这个入门介绍里都有解答 2013-8-1 15:55 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 4 楼构造 one - by - one ebp 让esp 弹出处，进入eip 的指针为执行处，或者跳板处...回来执行 shellcode... 2013-8-1 16:01 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 5 楼详细说下，谢谢 2013-8-2 13:30 0
seaeast 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	seaeast 6 楼 ebp被控制之后，将ebp mov到esp，也就是esp也被控制，之后ret会将esp弹出给eip，导致控制程序流程。个人拙见，请指教。 2013-8-2 17:47 0
topofall 雪币： 124 活跃值： (429) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 7 楼在这个函数中ebp是不变的，但是在上一个函数中ebp改变了。上一个函数中再执行mov esp,ebp不就控制了esp 2013-8-3 10:24 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 8 楼我又看了下上面提到的教程，讲的还是可以直接填充缓冲区，直到覆盖eip,没有说单字节时候是什么情况。函数调用结束的时候，要退出当前的栈帧先，mov esp,ebp //使esp,ebp指向同一个地方，就是前一栈帧的ebp, 到这里还是正常的啊 pop ebp //弹出了我们覆盖的地址给ebp, 这时候，ebp的值变成我们覆盖的，这时候堆栈应该不正常了。 ret //相应的这里pop eip也出问题了，就是不明白这里到底怎么弹出的。。怎么弹出跳转地址，或shellcode的地址。。 2013-8-3 15:45 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 9 楼函数调用结束的时候，要退出当前的栈帧先，mov esp,ebp //使esp,ebp指向同一个地方，就是前一栈帧的ebp, 到这里还是正常的啊 pop ebp //弹出了我们覆盖的地址给ebp, 这时候，ebp的值变成我们覆盖的，这时候堆栈应该不正常了。 ret //相应的这里pop eip也出问题了，就是不明白这里到底怎么弹出的。。怎么弹出跳转地址，或shellcode的地址。。 2013-8-3 15:48 0
topofall 雪币： 124 活跃值： (429) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 10 楼 esp在结束之前是不变的，在当前函数会正常返回，堆栈有问题也是调用它的函数 2013-8-3 16:14 0
topofall 雪币： 124 活跃值： (429) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 11 楼调试一下，看看堆栈就明白了 2013-8-3 16:15 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 12 楼确实是在前一函数中，函数结束时，把覆盖的ebp,赋值给esp，感谢提醒。现在又遇到个问题， 00401238 add esp,24Ch 0040123E cmp ebp,esp 00401240 call __chkesp (00401320)//在这里这个函数会把堆栈恢复，并弹出错误 00401245 mov esp,ebp //ebp被我们覆盖 00401247 pop ebp 00401248 ret 这样我就没法继续了，，有没有什么办法能把这函数去掉么？ 2013-8-6 16:54 0
topofall 雪币： 124 活跃值： (429) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 13 楼这个水平有限，这种加gs保护，并且没办法引起异常的，好像没办法用。你看一下有没有可能利用这个，执行其他操作，，比如有没有可能覆盖虚指针，不一定是非得覆盖函数返回地址，具体的反汇编结果不知道，只能帮你到这了 2013-8-7 11:15 0
门前小雪雪币： 31 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	门前小雪 14 楼对于调试版本，VC++编译器在“直接调用地址”时会增加检查esp的代码，例如： ta = (TAdd)add; // TAdd定义：typedef int (__cdecl *TAdd)(int a, int b); c = ta(a, b); 产生以下汇编代码： mov [ebp-10h],0040100a mov esi,esp mov ecx,dword ptr [ebp-8] push ecx mov edx,dword ptr [ebp-4] push edx call dword ptr [ebp-10h] add esp,8 cmp esi,esp call __chkesp (004011e0) mov dword ptr [ebp-0Ch],eax __chkesp 代码如下。如果esp不等于函数调用前保存的值，就会转到错误处理代码。 004011E0 jne __chkesp+3 (004011e3) 004011E2 ret 004011E3 ;错误处理代码 __chkesp的错误处理会弹出对话框，报告函数调用造成esp值不正确。 Release版本的汇编代码要简洁得多。也不会增加 __chkesp。如果发生esp错误，程序会继续运行，直到“遇到问题需要关闭 2013-8-7 14:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复