标签:blog http io ar os 使用 sp strong 文件
最近再次利用零零散散的时间,把第二章学完了。 感觉实验成功之后,还是非常开心的!嘿嘿。
书本上的理论可以很快的看完,但是真正实践的时候还是会出现一点问题的。一点点总结将在后面一起分享出来。
自己构造的漏洞代码,如果使用VS编译的话,debug版溢出了会报错,release版它自己把代码优化了,消除了溢出的漏洞。
看来好几年前的技术现在已经被防护的很彻底了呀。 所以说,学技术不能死学,要学习思想。
在调用一个call之后,堆栈的情况是这样的。
call中记录的是前栈帧的EBP。 这个时候:
比如这说个函数 int f(int a, int b){ int abc = 5 ; return abc; }
在汇编中,获取函数的局部变量和传入参数,都是利用EBP的相对地址的。
[b] 就相当于图中的 param1, 地址为EBP+C
[a] 相当于param2, 地址为EBP+8
调用函数f之后的指令地址为[return addr], 地址为EBP+4
声明的本地变量从EBP开始减,
局部变量[abc]相当于 local pa1,地址为EBP-4,依次类推。
ESP的作用就是堆栈的栈顶指针,一般用于调用函数的时候,压入参数。
此次漏洞构造的目的,就是要利用Function 函数中拷贝函数的溢出特点,把局部变量local pa1,return addr 改变成自己想要的值得目的。
构造的具有漏洞的代码如下:
/* note: 1、找到存储aut,buffer的位置。 本例中:aut=[esp-C] buffer=[esp-14] 2、查看堆栈,到数据窗口中跟随。 3、根据具体情况构造对应的overflow代码 */ #include <string.h> #include <stdio.h> #define PASSWORD "123456" int authen(char *password) { int aut; char buffer[8];//add to be overflowed!! aut = strcmp(PASSWORD,password); strcpy(buffer, password);//overflow! return aut; } int main() { char password[1024]; while(1) { printf("please input the password: "); scanf("%s",password); if( authen(password) )//输入的数小于123456,值00000001,覆盖00000000;反之,值FFFFFFFF,覆盖为FFFFFF00,, { printf("no! you should try again!\n"); } else { printf("Yes! you did it! \n"); break; } } getchar(); getchar(); return 0; }
本代码中就是 buffer 和strcpy两个函数。我们的目的就是要通过向buffer填充数据,改变相邻变量aut的值为0.为0 表示密码比对成功。
溢出之前的堆栈:
溢出之后的堆栈,aut位被溢出成0了,表示字符串比较成功,为相等:
本例中要求输入的密码小于真正的密码,得到的值为正数1. 反之如果大于真正的密码,将得到负数 -1. 补码为 FFFFFFFF。 普通输入将无法正确的溢出,需借助文件输入。
构造的漏洞代码:
/* note: */ #include <string.h> #include <stdio.h> #define PASSWORD "123456" int authen(char *password) { int aut; char buffer[8];//add to be overflowed!! aut = strcmp(PASSWORD,password); strcpy(buffer, password);//overflow! return aut; } int main() { char password[1024]; FILE* fp; if(!(fp=fopen("password.txt","rw+")))//get the pass by read file return 0; fscanf(fp, "%s", password); if( authen(password) ) { printf("no! you should try again!\n"); } else { printf("Yes! you did it! \n"); } fclose(fp); getchar(); getchar(); return 0; }由于像地址这种特殊的字符"0x0041567",手打很难输入,因此,借助文件的输入。 这种构造完全是为了理解漏洞的原理来做的。
同样,也应该找到buffer的位置,同时还有返回地址的位置。
首先确定待跳转的地址。这里我们将在函数返回之后直接跳转到提示成功的地方。[0x00401467]
接着我们掌握堆栈结构,锁定具体哪一个位置填充我们的地址。
可以发现,每行四个字符,前面6行,24个字符,填充掉,后面四个字符表示返回地址。我们填上自己的地址。
构造的exploit文件时这样:
接着再执行。发现已经替换成我们的地址了。
显示执行成功了!
整理完之后还是感觉很有成就感的。
初步的漏洞理论学习。
下面是利用漏洞注入自己的代码,但是方法不是通用的。跟操作系统版本号,编译器等有关的。
【0Day】栈溢出漏洞基础——简单输入漏洞 & 修改返回函数
标签:blog http io ar os 使用 sp strong 文件
原文地址:http://blog.csdn.net/ls1160/article/details/41593493