首页
社区
课程
招聘
[翻译]Linux (x86) Exploit 开发系列教程之一(典型的基于堆栈的缓冲区溢出)
发表于: 2017-4-5 20:30 17589

[翻译]Linux (x86) Exploit 开发系列教程之一(典型的基于堆栈的缓冲区溢出)

2017-4-5 20:30
17589

 典型的基于堆栈的缓冲区溢出

虚拟机安装:Ubuntu 12.04(x86)

这个帖子是最简单的漏洞开发教程系列,在互联网上你可以找到很多关于它的文章。尽管它丰富和熟悉,我更喜欢自己写博客文章,因为它将作为我未来许多职位的先决条件!

什么是缓冲区溢出?

将源缓冲区复制到目标缓冲区可能导致溢出

1、源字符串长度大于目标字符串长度。

2、不进行大小检查。

缓冲区溢出有两种类型:

1、基于堆栈的缓冲区溢出 - 这里的目标缓冲区位于堆栈中

2、基于堆的缓冲区溢出 - 这里的目标缓冲区位于堆中

在这篇文章中,我将只讨论基于堆栈的缓冲区溢出。堆溢出将在Linux(x86)漏洞开发教程系列的 “3级”中讨论!

缓冲区溢出错误导致任意代码执行!

什么是任意代码执行?

任意代码执行允许攻击者执行他的代码以获得对受害机器的控制。受害机器的控制是通过多种方式实现的,例如产生根shell,添加新用户,打开网口等...

听起来很有趣,足够的定义让我们看看缓冲区溢出攻击的代码!

漏洞代码


编译代码


上述漏洞代码的[2]行显示了缓冲区溢出错误。这个bug可能导致任意代码执行,因为源缓冲区内容是用户输入的!

如何执行任意代码执行?

使用称为“ 返回地址覆盖 ”的技术实现任意代码执行。这种技术有助于攻击者覆盖位于堆栈中的“返回地址”,并且这种覆盖将导致任意代码执行。

在研究漏洞代码之前,为了更好的理解,让我们反汇编并且绘制出漏洞代码的堆栈布局。

反汇编


堆栈布局:

因为我们已经知道用户输入的大于256,将溢出目标缓冲区并覆盖堆栈中存储的返回地址。通过发送一系列“A”来测试它。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 2
支持
分享
最新回复 (33)
雪    币: 355
活跃值: (276)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2017-4-6 08:26
0
雪    币: 1746
活跃值: (227)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
3
IronMannnn 感谢分享
不客气,我也是为了熟悉linux下的调试,不然英文看起来太麻烦了。
2017-4-6 09:02
0
雪    币: 341
活跃值: (143)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
4
抱大腿
2017-4-6 11:06
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
谢谢,又学了新东西了
2017-4-7 22:55
0
雪    币: 36
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
老哥我最近也在看这个文章,加个好友一起研究,如何
2017-4-7 23:37
0
雪    币: 1746
活跃值: (227)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
7
kivusec 老哥我最近也在看这个文章,加个好友一起研究,如何
可以啊,我qq  499671216  新手菜鸟
2017-4-8 01:55
0
雪    币: 152
活跃值: (29)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8

谢谢楼主分享教程。

回复下楼主关于这块的问题
0x8 is 对齐空间    //这里有点不太明白为啥需要对齐

对齐主要是为了加速CPU的访问吧,

这是作者文章中的原图,麻烦楼主编辑进去,可以便于大家理解
sOIODwYo0AfEKPebzvGrUnw.png


另外GCC默认堆栈是以16字节对齐,

我们可以在编译时候指定堆栈以4字节对齐,编译时添加-mpreferred-stack-boundary=2即可,

关于为什么采用16字节对齐,可以参考GCC编译参数-mpreferred-stack-boundary=文档和GCC的内存对齐策略。。  


2017-4-13 03:28
0
雪    币: 33
活跃值: (26)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
RichardE 谢谢楼主分享教程。回复下楼主关于这块的问题0x8 is 对齐空间    //这里有点不太明白为啥需 ...
这个英文源网址是什么?  谢谢
2017-4-18 15:53
0
雪    币: 1746
活跃值: (227)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
10
RichardE 谢谢楼主分享教程。回复下楼主关于这块的问题0x8 is 对齐空间    //这里有点不太明白为啥需 ...
多谢,为啥我一直没看到你的回复。。。
2017-4-18 16:18
0
雪    币: 4975
活跃值: (3858)
能力值: ( LV13,RANK:270 )
在线值:
发帖
回帖
粉丝
11
楼主,你的exp.py,执行的时候报错哦
2017-5-2 21:42
0
雪    币: 4975
活跃值: (3858)
能力值: ( LV13,RANK:270 )
在线值:
发帖
回帖
粉丝
12

    File  exp.py ,  line  13
        return  struct.pack("<I",numnk  +  RA  +  NOP's  +  Shellcode
                                                                                                                  ^
SyntaxError:  EOL  while  scanning  string  literal

2017-5-2 21:44
0
雪    币: 1746
活跃值: (227)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
13
baolongshou &nbsp; &nbsp; File&nbsp; exp.py ,&nbsp; line&nbsp; 13& ...
这是它的exp,我只是翻译过来,然后我想说它的exp是有点问题的,需要自己根据实际情况更改
2017-5-2 21:50
0
雪    币: 0
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fkp
14
exp13行应为:return  struct.pack(&quot;&lt;I&quot;,num)        #nk  +  RA  +  NOP's  +  Shellcode
意思是返回地址的计算方法:基地址+偏移+NOP指令+shellcode
2017-5-2 23:17
0
雪    币: 1
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
感谢楼主,感谢提供这个这个链接,谢谢了
2017-5-23 19:12
0
雪    币: 12016
活跃值: (10399)
能力值: ( LV13,RANK:660 )
在线值:
发帖
回帖
粉丝
16
fkp exp13行应为:return struct.pack("
还是不太明白返回地址是怎么计算出来的,0xbffff0f0+0x10c+0x4+0x64+0x19=0xbffff27d
能不能具体说一下是怎么计算出来的?
2017-6-2 00:35
0
雪    币: 5
活跃值: (447)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
请问楼主,关于这里有个地方一直没有搞清楚,就是在调试过程中gdb由于环境变量与bash环境中不同导致返回地址在gdb中和实际运行环境中发生冲突,请问楼主在实际调试过程中是怎样解决的?有没有什么有效率的方法?谢谢
2017-6-5 21:42
0
雪    币: 1746
活跃值: (227)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
18
oligami 请问楼主,关于这里有个地方一直没有搞清楚,就是在调试过程中gdb由于环境变量与bash环境中不同导致返回地址在gdb中和实际运行环境中发生冲突,请问楼主在实际调试过程中是怎样解决的?有没有什么有效率的 ...
没明白啥意思,不用特意设置的,直接调试啊,
2017-6-7 14:01
0
雪    币: 5
活跃值: (447)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
呃。。。不是,你文章中显示不是调试获得的ret  addr和writeup中的ret  addr不是存在区别吗。。。
2017-7-20 17:22
0
雪    币: 229
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
感谢分享!这个之前已有前辈翻译过,你也可以直接去看中文版
2017-8-11 14:07
0
雪    币: 791
活跃值: (404)
能力值: ( LV4,RANK:51 )
在线值:
发帖
回帖
粉丝
21
exp.py  line  13  应为  return  struct.pack("<I",num)      #unk  +  RA  +  NOP's  +  Shellcode  亲测可以,做实验的童鞋记得改一下
2018-5-23 16:49
1
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
wx_哈哈哈 exp.py line 13 应为 return struct.pack("
感谢21楼的朋友  亲测有效  感谢感谢感谢
2018-5-29 14:51
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
能说一下ret_addr是怎么计算的吗?最后运行到InputAAA。。。后面就没了,没有出来root  shell
2018-6-8 15:34
0
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
ret_addr  =  0xbffff1d0
怎么算的
2018-6-8 15:42
0
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25

最后于 2018-6-8 16:35 被Godlike_NN编辑 ,原因:
2018-6-8 16:23
0
游客
登录 | 注册 方可回帖
返回
//