码迷,mamicode.com
首页 > 其他好文 > 详细

【0Day】栈溢出漏洞基础——简单输入漏洞 & 修改返回函数

时间:2014-11-29 11:56:11      阅读:219      评论:0      收藏:0      [点我收藏+]

标签:blog   http   io   ar   os   使用   sp   strong   文件   

最近再次利用零零散散的时间,把第二章学完了。 感觉实验成功之后,还是非常开心的!嘿嘿。 

书本上的理论可以很快的看完,但是真正实践的时候还是会出现一点问题的。一点点总结将在后面一起分享出来。

自己构造的漏洞代码,如果使用VS编译的话,debug版溢出了会报错,release版它自己把代码优化了,消除了溢出的漏洞。

bubuko.com,布布扣

bubuko.com,布布扣

看来好几年前的技术现在已经被防护的很彻底了呀。  所以说,学技术不能死学,要学习思想。

0x00 堆栈的基本原理

在调用一个call之后,堆栈的情况是这样的。

bubuko.com,布布扣

call中记录的是前栈帧的EBP。 这个时候:

比如这说个函数  int f(int a, int b){  int abc = 5 ; return abc; }

在汇编中,获取函数的局部变量和传入参数,都是利用EBP的相对地址的。

[b] 就相当于图中的 param1, 地址为EBP+C

[a] 相当于param2, 地址为EBP+8

调用函数f之后的指令地址为[return addr], 地址为EBP+4

声明的本地变量从EBP开始减,

局部变量[abc]相当于 local pa1,地址为EBP-4,依次类推。   

ESP的作用就是堆栈的栈顶指针,一般用于调用函数的时候,压入参数。


此次漏洞构造的目的,就是要利用Function 函数中拷贝函数的溢出特点,把局部变量local pa1,return addr 改变成自己想要的值得目的。

0x01 简单的输入漏洞

构造的具有漏洞的代码如下:

 /*
 note:
1、找到存储aut,buffer的位置。 本例中:aut=[esp-C] buffer=[esp-14]
2、查看堆栈,到数据窗口中跟随。
3、根据具体情况构造对应的overflow代码 

 */
#include <string.h>
#include <stdio.h>
#define PASSWORD "123456"

int authen(char *password)
{
	int aut;
	char buffer[8];//add to be overflowed!!
	aut = strcmp(PASSWORD,password);
	strcpy(buffer, password);//overflow!
	return aut;
}

int main()
{
	char password[1024];
	
	while(1)
	{
		printf("please input the password:           ");
		scanf("%s",password);
		if( authen(password) )//输入的数小于123456,值00000001,覆盖00000000;反之,值FFFFFFFF,覆盖为FFFFFF00,, 
		{
			printf("no!  you should try again!\n");
		}
		else
		{
			printf("Yes! you did it! \n");
			break;
		}
	}
	getchar();
	getchar();
	return 0;
}

想要挖掘这个代码中的漏洞,就是要看两点。是否有可以溢出的缓冲区?是否有可以向缓冲区填充数据的条件?

本代码中就是 buffer  和strcpy两个函数。我们的目的就是要通过向buffer填充数据,改变相邻变量aut的值为0.为0 表示密码比对成功。

溢出之前的堆栈:

bubuko.com,布布扣

溢出之后的堆栈,aut位被溢出成0了,表示字符串比较成功,为相等:

bubuko.com,布布扣

bubuko.com,布布扣

本例中要求输入的密码小于真正的密码,得到的值为正数1. 反之如果大于真正的密码,将得到负数 -1. 补码为 FFFFFFFF。 普通输入将无法正确的溢出,需借助文件输入。

bubuko.com,布布扣

0x02 修改函数返回地址

构造的漏洞代码:

 /*
 note:

 */
#include <string.h>
#include <stdio.h>
#define PASSWORD "123456"

int authen(char *password)
{
	int aut;
	char buffer[8];//add to be overflowed!!
	aut = strcmp(PASSWORD,password);
	strcpy(buffer, password);//overflow!
	return aut;
}

int main()
{
	char password[1024];
	FILE* fp;
	if(!(fp=fopen("password.txt","rw+")))//get the pass by read file
		return 0;
	fscanf(fp, "%s", password);
	if( authen(password) )
	{
		printf("no!  you should try again!\n");
	}
	else
	{
		printf("Yes! you did it! \n");
	}
	fclose(fp);
	getchar();
	getchar();
	return 0;
}
由于像地址这种特殊的字符"0x0041567",手打很难输入,因此,借助文件的输入。   这种构造完全是为了理解漏洞的原理来做的。

同样,也应该找到buffer的位置,同时还有返回地址的位置。

首先确定待跳转的地址。这里我们将在函数返回之后直接跳转到提示成功的地方。[0x00401467]

bubuko.com,布布扣

接着我们掌握堆栈结构,锁定具体哪一个位置填充我们的地址。

bubuko.com,布布扣

可以发现,每行四个字符,前面6行,24个字符,填充掉,后面四个字符表示返回地址。我们填上自己的地址。

构造的exploit文件时这样:

bubuko.com,布布扣

接着再执行。发现已经替换成我们的地址了。
bubuko.com,布布扣

显示执行成功了!

bubuko.com,布布扣

整理完之后还是感觉很有成就感的。

初步的漏洞理论学习。


下面是利用漏洞注入自己的代码,但是方法不是通用的。跟操作系统版本号,编译器等有关的。


【0Day】栈溢出漏洞基础——简单输入漏洞 & 修改返回函数

标签:blog   http   io   ar   os   使用   sp   strong   文件   

原文地址:http://blog.csdn.net/ls1160/article/details/41593493

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!