[翻译]Linux (x86) Exploit 开发系列教程之一(典型的基于堆栈的缓冲区溢出)-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[翻译]Linux (x86) Exploit 开发系列教程之一(典型的基于堆栈的缓冲区溢出)

发表于: 2017-4-5 20:30 17584

[翻译]Linux (x86) Exploit 开发系列教程之一(典型的基于堆栈的缓冲区溢出)

hackyzh

2017-4-5 20:30

17584

典型的基于堆栈的缓冲区溢出

虚拟机安装：Ubuntu 12.04（x86）

这个帖子是最简单的漏洞开发教程系列，在互联网上你可以找到很多关于它的文章。尽管它丰富和熟悉，我更喜欢自己写博客文章，因为它将作为我未来许多职位的先决条件！

什么是缓冲区溢出？

将源缓冲区复制到目标缓冲区可能导致溢出

1、源字符串长度大于目标字符串长度。

2、不进行大小检查。

缓冲区溢出有两种类型：

1、基于堆栈的缓冲区溢出 - 这里的目标缓冲区位于堆栈中

2、基于堆的缓冲区溢出 - 这里的目标缓冲区位于堆中

在这篇文章中，我将只讨论基于堆栈的缓冲区溢出。堆溢出将在Linux（x86）漏洞开发教程系列的 “3级”中讨论！

缓冲区溢出错误导致任意代码执行！

什么是任意代码执行？

任意代码执行允许攻击者执行他的代码以获得对受害机器的控制。受害机器的控制是通过多种方式实现的，例如产生根shell，添加新用户，打开网口等...

听起来很有趣，足够的定义让我们看看缓冲区溢出攻击的代码！

漏洞代码

编译代码

上述漏洞代码的[2]行显示了缓冲区溢出错误。这个bug可能导致任意代码执行，因为源缓冲区内容是用户输入的！

如何执行任意代码执行？

使用称为“ 返回地址覆盖 ”的技术实现任意代码执行。这种技术有助于攻击者覆盖位于堆栈中的“返回地址”，并且这种覆盖将导致任意代码执行。

在研究漏洞代码之前，为了更好的理解，让我们反汇编并且绘制出漏洞代码的堆栈布局。

反汇编

堆栈布局：

因为我们已经知道用户输入的大于256，将溢出目标缓冲区并覆盖堆栈中存储的返回地址。通过发送一系列“A”来测试它。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・24

免费・2

支持

最新回复 (33) 1 2 ▶
阿東雪币： 355 活跃值： (276) 能力值： ( LV11，RANK：190 ) 在线值：发帖 9 回帖 80 粉丝 9 关注私信	阿東 3 2 楼感谢分享 2017-4-6 08:26 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 3 楼 IronMannnn 感谢分享不客气，我也是为了熟悉linux下的调试，不然英文看起来太麻烦了。 2017-4-6 09:02 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 4 楼抱大腿 2017-4-6 11:06 0
tmdrubiks 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	tmdrubiks 5 楼谢谢，又学了新东西了 2017-4-7 22:55 0
kivusec 雪币： 36 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	kivusec 6 楼老哥我最近也在看这个文章，加个好友一起研究，如何 2017-4-7 23:37 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 7 楼 kivusec 老哥我最近也在看这个文章，加个好友一起研究，如何可以啊，我qq 499671216 新手菜鸟 2017-4-8 01:55 0
RichardE 雪币： 152 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 23 粉丝 1 关注私信	RichardE 1 8 楼谢谢楼主分享教程。回复下楼主关于这块的问题 `0x8 is 对齐空间 //这里有点不太明白为啥需要对齐` 对齐主要是为了加速CPU的访问吧，这是作者文章中的原图，麻烦楼主编辑进去，可以便于大家理解另外GCC默认堆栈是以16字节对齐，我们可以在编译时候指定堆栈以4字节对齐，编译时添加`-mpreferred-stack-boundary=2`即可, 关于为什么采用16字节对齐，可以参考GCC编译参数-mpreferred-stack-boundary=文档和GCC的内存对齐策略。。 2017-4-13 03:28 0
XiaoHuaMe 雪币： 33 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	XiaoHuaMe 9 楼 RichardE 谢谢楼主分享教程。回复下楼主关于这块的问题0x8 is 对齐空间    //这里有点不太明白为啥需 ... 这个英文源网址是什么？谢谢 2017-4-18 15:53 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 10 楼 RichardE 谢谢楼主分享教程。回复下楼主关于这块的问题0x8 is 对齐空间    //这里有点不太明白为啥需 ... 多谢，为啥我一直没看到你的回复。。。 2017-4-18 16:18 0
baolongshou 雪币： 4975 活跃值： (3848) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 66 粉丝 33 关注私信	baolongshou 2 11 楼楼主，你的exp.py，执行的时候报错哦 2017-5-2 21:42 0
baolongshou 雪币： 4975 活跃值： (3848) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 66 粉丝 33 关注私信	baolongshou 2 12 楼 File exp.py , line 13 return struct.pack("<I",numnk + RA + NOP's + Shellcode ^ SyntaxError: EOL while scanning string literal 2017-5-2 21:44 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 13 楼 baolongshou     File  exp.py ,  line  13& ... 这是它的exp，我只是翻译过来，然后我想说它的exp是有点问题的，需要自己根据实际情况更改 2017-5-2 21:50 0
fkp 雪币： 0 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	fkp 14 楼 exp13行应为：return struct.pack("<I",num) #nk + RA + NOP's + Shellcode 意思是返回地址的计算方法：基地址+偏移+NOP指令+shellcode 2017-5-2 23:17 0
alex墨染雪币： 1 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	alex墨染 15 楼感谢楼主，感谢提供这个这个链接，谢谢了 2017-5-23 19:12 0
LarryS 雪币： 12016 活跃值： (10399) 能力值： ( LV13，RANK：660 ) 在线值：发帖 28 回帖 58 粉丝 95 关注私信	LarryS 13 16 楼 fkp exp13行应为：return struct.pack(" 还是不太明白返回地址是怎么计算出来的，0xbffff0f0+0x10c+0x4+0x64+0x19=0xbffff27d 能不能具体说一下是怎么计算出来的？ 2017-6-2 00:35 0
oligami 雪币： 5 活跃值： (447) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	oligami 17 楼请问楼主，关于这里有个地方一直没有搞清楚，就是在调试过程中gdb由于环境变量与bash环境中不同导致返回地址在gdb中和实际运行环境中发生冲突，请问楼主在实际调试过程中是怎样解决的？有没有什么有效率的方法？谢谢 2017-6-5 21:42 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 18 楼 oligami 请问楼主，关于这里有个地方一直没有搞清楚，就是在调试过程中gdb由于环境变量与bash环境中不同导致返回地址在gdb中和实际运行环境中发生冲突，请问楼主在实际调试过程中是怎样解决的？有没有什么有效率的 ... 没明白啥意思，不用特意设置的，直接调试啊， 2017-6-7 14:01 0
oligami 雪币： 5 活跃值： (447) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	oligami 19 楼呃。。。不是，你文章中显示不是调试获得的ret addr和writeup中的ret addr不是存在区别吗。。。 2017-7-20 17:22 0
Beta猫雪币： 229 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	Beta猫 20 楼感谢分享！这个之前已有前辈翻译过，你也可以直接去看中文版 2017-8-11 14:07 0
gxkyrftx 雪币： 791 活跃值： (404) 能力值： ( LV4，RANK：51 ) 在线值：发帖 6 回帖 47 粉丝 2 关注私信	gxkyrftx 21 楼 exp.py line 13 应为 return struct.pack("<I",num) #unk + RA + NOP's + Shellcode 亲测可以，做实验的童鞋记得改一下 2018-5-23 16:49 1
chooerya 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	chooerya 22 楼 wx_哈哈哈 exp.py line 13 应为 return struct.pack(" 感谢21楼的朋友亲测有效感谢感谢感谢 2018-5-29 14:51 0
CodeSiki 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	CodeSiki 23 楼能说一下ret_addr是怎么计算的吗？最后运行到InputAAA。。。后面就没了，没有出来root shell 2018-6-8 15:34 0
Godlike_NN 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Godlike_NN 24 楼 ret_addr = 0xbffff1d0 怎么算的 2018-6-8 15:42 0
Godlike_NN 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Godlike_NN 25 楼最后于 2018-6-8 16:35 被Godlike_NN编辑，原因： 2018-6-8 16:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hackyzh

发帖

102

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
阿東雪币： 355 活跃值： (276) 能力值： ( LV11，RANK：190 ) 在线值：发帖 9 回帖 80 粉丝 9 关注私信	阿東 3 2 楼感谢分享 2017-4-6 08:26 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 3 楼 IronMannnn 感谢分享不客气，我也是为了熟悉linux下的调试，不然英文看起来太麻烦了。 2017-4-6 09:02 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 4 楼抱大腿 2017-4-6 11:06 0
tmdrubiks 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	tmdrubiks 5 楼谢谢，又学了新东西了 2017-4-7 22:55 0
kivusec 雪币： 36 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	kivusec 6 楼老哥我最近也在看这个文章，加个好友一起研究，如何 2017-4-7 23:37 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 7 楼 kivusec 老哥我最近也在看这个文章，加个好友一起研究，如何可以啊，我qq 499671216 新手菜鸟 2017-4-8 01:55 0
RichardE 雪币： 152 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 23 粉丝 1 关注私信	RichardE 1 8 楼谢谢楼主分享教程。回复下楼主关于这块的问题 `0x8 is 对齐空间 //这里有点不太明白为啥需要对齐` 对齐主要是为了加速CPU的访问吧，这是作者文章中的原图，麻烦楼主编辑进去，可以便于大家理解另外GCC默认堆栈是以16字节对齐，我们可以在编译时候指定堆栈以4字节对齐，编译时添加`-mpreferred-stack-boundary=2`即可, 关于为什么采用16字节对齐，可以参考GCC编译参数-mpreferred-stack-boundary=文档和GCC的内存对齐策略。。 2017-4-13 03:28 0
XiaoHuaMe 雪币： 33 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	XiaoHuaMe 9 楼 RichardE 谢谢楼主分享教程。回复下楼主关于这块的问题0x8 is 对齐空间    //这里有点不太明白为啥需 ... 这个英文源网址是什么？谢谢 2017-4-18 15:53 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 10 楼 RichardE 谢谢楼主分享教程。回复下楼主关于这块的问题0x8 is 对齐空间    //这里有点不太明白为啥需 ... 多谢，为啥我一直没看到你的回复。。。 2017-4-18 16:18 0
baolongshou 雪币： 4975 活跃值： (3848) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 66 粉丝 33 关注私信	baolongshou 2 11 楼楼主，你的exp.py，执行的时候报错哦 2017-5-2 21:42 0
baolongshou 雪币： 4975 活跃值： (3848) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 66 粉丝 33 关注私信	baolongshou 2 12 楼 File exp.py , line 13 return struct.pack("<I",numnk + RA + NOP's + Shellcode ^ SyntaxError: EOL while scanning string literal 2017-5-2 21:44 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 13 楼 baolongshou     File  exp.py ,  line  13& ... 这是它的exp，我只是翻译过来，然后我想说它的exp是有点问题的，需要自己根据实际情况更改 2017-5-2 21:50 0
fkp 雪币： 0 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	fkp 14 楼 exp13行应为：return struct.pack("<I",num) #nk + RA + NOP's + Shellcode 意思是返回地址的计算方法：基地址+偏移+NOP指令+shellcode 2017-5-2 23:17 0
alex墨染雪币： 1 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	alex墨染 15 楼感谢楼主，感谢提供这个这个链接，谢谢了 2017-5-23 19:12 0
LarryS 雪币： 12016 活跃值： (10399) 能力值： ( LV13，RANK：660 ) 在线值：发帖 28 回帖 58 粉丝 95 关注私信	LarryS 13 16 楼 fkp exp13行应为：return struct.pack(" 还是不太明白返回地址是怎么计算出来的，0xbffff0f0+0x10c+0x4+0x64+0x19=0xbffff27d 能不能具体说一下是怎么计算出来的？ 2017-6-2 00:35 0
oligami 雪币： 5 活跃值： (447) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	oligami 17 楼请问楼主，关于这里有个地方一直没有搞清楚，就是在调试过程中gdb由于环境变量与bash环境中不同导致返回地址在gdb中和实际运行环境中发生冲突，请问楼主在实际调试过程中是怎样解决的？有没有什么有效率的方法？谢谢 2017-6-5 21:42 0
hackyzh 雪币： 1746 活跃值： (227) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 102 粉丝 10 关注私信	hackyzh 3 18 楼 oligami 请问楼主，关于这里有个地方一直没有搞清楚，就是在调试过程中gdb由于环境变量与bash环境中不同导致返回地址在gdb中和实际运行环境中发生冲突，请问楼主在实际调试过程中是怎样解决的？有没有什么有效率的 ... 没明白啥意思，不用特意设置的，直接调试啊， 2017-6-7 14:01 0
oligami 雪币： 5 活跃值： (447) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	oligami 19 楼呃。。。不是，你文章中显示不是调试获得的ret addr和writeup中的ret addr不是存在区别吗。。。 2017-7-20 17:22 0
Beta猫雪币： 229 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	Beta猫 20 楼感谢分享！这个之前已有前辈翻译过，你也可以直接去看中文版 2017-8-11 14:07 0
gxkyrftx 雪币： 791 活跃值： (404) 能力值： ( LV4，RANK：51 ) 在线值：发帖 6 回帖 47 粉丝 2 关注私信	gxkyrftx 21 楼 exp.py line 13 应为 return struct.pack("<I",num) #unk + RA + NOP's + Shellcode 亲测可以，做实验的童鞋记得改一下 2018-5-23 16:49 1
chooerya 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	chooerya 22 楼 wx_哈哈哈 exp.py line 13 应为 return struct.pack(" 感谢21楼的朋友亲测有效感谢感谢感谢 2018-5-29 14:51 0
CodeSiki 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	CodeSiki 23 楼能说一下ret_addr是怎么计算的吗？最后运行到InputAAA。。。后面就没了，没有出来root shell 2018-6-8 15:34 0
Godlike_NN 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Godlike_NN 24 楼 ret_addr = 0xbffff1d0 怎么算的 2018-6-8 15:42 0
Godlike_NN 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Godlike_NN 25 楼最后于 2018-6-8 16:35 被Godlike_NN编辑，原因： 2018-6-8 16:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复