-
-
栈溢出漏洞利用(绕过ASLR)
-
发表于: 2021-9-17 23:05
-
背景介绍
原文:https://sploitfun.wordpress.com/2015/05/08/bypassing-aslr-part-iii
- 原文内容比较精炼,只阐述关键思路,没有具体到一些细节;
- 原文提供的利用脚本,很多数值需要根据实际环境修改,才能成功执行;
- 原文文字内容可以直接通过链接看到,但其中的图片,是链接到google的,如果访问不到,可以对照附件中的pdf文件一起看。
另外需要说明一下,原文只是一个系列中的一篇文章:
学习这篇之前,最好先把前面的都搞明白,本文的细节,只针对Part III using GOT overwrite and GOT dereference这篇。
1. 漏洞程序
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
// vuln.c
#include #include #include int main (int argc, char **argv) {
char buf[256];
int i;
seteuid(getuid());
if(argc < 2) {
puts("Need an argument\n");
exit(-1);
}
strcpy(buf, argv[1]);
printf("%s\nLen:%d\n", buf, (int)strlen(buf));
return 0;
} |
准备工作:
|
1
2
3
4
5
6
7
|
# 编译vuln.c,并修改vuln可执行文件属性 sudo gcc -fno-stack-protector -o vuln vuln.c
sudo chown root vuln
sudo chgrp root vuln
sudo chmod +s vuln
# 打开ASLR sudo sh -c 'echo 2 > /proc/sys/kernel/randomize_va_space'
|
程序说明:
- 行9:setuid(getuid())
由于以上步骤,通过chmod +s vuln,给vuln可执行文件添加了粘滞位,这就使普通用户(比如:jmpcall)执行vuln,在刚进入main()函数时,拥有vuln所属用户的权限(即root权限),setuid(getuid())就是将权限改回执行者本身的权限,其实就是给利用增加难度,期望的是,即使被攻击者拿到shell,也只是个普通的shell,不具有root权限(就等同于没给vuln添加粘滞位)。 - 行14:strcpy(buf, argv[1])
将命令行参数内容,拷贝到buf[256],没有限制拷贝长度,从而存在栈溢出漏洞。
2. 问题分解
面对一个复杂的问题时,通常需要自上而下、以大化小、分而治之,直接上图:
换个方式来说明最终目标的话,就是要让vuln执行这样一段代码:
|
1
2
3
4
5
|
char *p = "/bin/sh";
char **argv = { p, NULL };
setuid(0);
execve(p, argv, NULL); |
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
最后于 2021-9-18 12:45
被jmpcall编辑
,原因: 添加附件
赞赏记录
参与人
雪币
留言
时间
嫉妒的死远点
为你点赞!
2024-11-28 02:49
PLEBFE
为你点赞~
2022-7-27 21:39
飘零丶
为你点赞~
2022-7-17 02:29
MTRush
为你点赞~
2021-9-22 21:29
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
这就要问专业的大佬了,我是业余学着玩玩,开始没有考虑到这种情况。 |
