软件安全实验——lab6(缓冲区溢出2:使用jmp esp或者call esp方法和修改函数指针)

最新推荐文章于 2023-06-04 16:59:13 发布
最新推荐文章于 2023-06-04 16:59:13 发布
阅读量965 收藏 4
点赞数 3
分类专栏: # 软件安全实验 # 专题实验(Seed Lab) 文章标签: 指针 堆栈 c语言 缓冲区溢出 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/119250912
版权

目录标题

Task 1

下面的程序具有缓冲区溢出,利用jmp esp或者call esp进行溢出

/* stackesp.c */

/* This program has a buffer overflow vulnerability. */
/* Our task is to exploit this vulnerability */
/* sudo sysctl -w kernel.randomize_va_space=2 then use jmp esp or call esp(no nops) */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
//use jmp esp or call esp
int someint=0xe4ffd4ff; //e4ff 对应jmp esp, d4ff对应call esp
int bof(char *str)
{
   char buffer[12];
   strcpy(buffer, str);
   return 1;
}
int main(int argc, char **argv)
{
   char str[517];
   FILE *badfile;
   printf("%x\n",&someint);
   badfile = fopen("badfile", "r");
   fread(str, sizeof(char), 517, badfile);
   bof(str);

   printf("Returned Properly\n");
   return 1;
}

实验原理:
利用栈溢出,将bof函数堆栈帧中的返回地址覆盖为jmp esp or call esp指令的地址,CPU执行到返回地址处时,它会执行jmp esp or call esp指令,执行完这个指令之后,CPU会返回到被中断指令的下一条指令处接着执行,我把Shellcode放到这个被中断指令处,CPU就会执行Shellcode,从而实现我的攻击。

第一步:打开内存地址随机化

$sudo sysctl -w kernel.randomize_va_space=2

第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译

#gcc -z execstack -fno-stack-protector stackesp.c -o stackesp

设置Set-Uid

#chmod 4755 stackesp

在这里插入图片描述

第三步:bof的返回地址

进入gdb,对stackesp进行gdb,首先查看bof的起始位置和返回地址.
在这里插入图片描述
在这里插入图片描述

第四步:确定缓冲区的位置

为了确定缓冲区的位置,先在badfile里写入了AAAA
在这里插入图片描述

第五步:返回地址和缓冲区之间的距离

查看ESP之后,我们可以知道返回地址和缓冲区之间相差了6×AAAA个字节
在这里插入图片描述

所以我们再badfile中写入24个A来覆盖缓冲区,之后接上程序输出的jmp esp和call esp指令的地址0804a024 ,再接上shellcode
在这里插入图片描述

Task 2

/* overfun.c */

/* This program has a buffer overflow vulnerability. */
#include <stdio.h>
#include <unistd.h>
#include <string.h>
int good(int addr) {
        printf("Address of hmm: %p\n", addr);
}
 int hmm() {
        printf("Win.\n");
        setuid(geteuid());
        execl("/bin/sh", "sh", NULL);
}
extern char **environ;
int main(int argc, char **argv) {
        int i, limit;
        for(i = 0; environ[i] != NULL; i++)
        memset(environ[i], 0x00, strlen(environ[i]));//将环境变量清空,所以这里不能用环境变量写入shellcode来攻击
        int (*fptr)(int) = good;//函数指针fptr指向good
        char buf[32];
        strcpy(buf,argv[1]);
        int (*hmmptr)(int) = hmm;  //函数指针hmmptr指向hmm
        (*fptr)((int)hmmptr);    //相当于good((int)hmmptr)传入hmm函数的地址
        return 0;
}

在这里插入图片描述

实验原理:
程序主要就是运行了good()函数(输出hmm函数的地址),我们目的就是将程序中指向good函数的fptr指针重定向为hmm,的这样程序就会执行hmm函数中的shellcode,从而获取root权限。
在这里插入图片描述

第一步:打开内存地址随机化

$sudo sysctl -w kernel.randomize_va_space=2

第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译

#gcc -z execstack -fno-stack-protector overfun.c -o overfun

设置Set-Uid

#chmod 4755 overfun

在这里插入图片描述

第三步:strcpy函数的返回地址

在main函数中找到strcpy函数的返回地址(0x0804964e),之后设置断点,(因为在strcpy函数之前,已经把good函数的地址赋给fptr指针了,我们首先就是要找到good函数的地址的位置)
输入AAAA并运行程序:
在这里插入图片描述

查看ESP之后,我们可以知道输入的字符串argv与good函数起始地址(0x08048554)之间之间相差了9×AAAA个字节

第四步:hmm函数的地址

写入36个字节来覆盖缓冲区,之后接上hmm函数的地址来代替good函数的地址,下面是三种找到hmm函数地址的方法
在这里插入图片描述
在这里插入图片描述

第五步:攻击

程序执行之后就会跳转到hmm函数,这样程序就会执行hmm函数中的shellcode,从而获取root权限。
在这里插入图片描述

大灬白
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
缓冲区溢出利用实验(详细步骤)
02-23
由于程序的运行机制,假设利用 strcpy()函数进行字符串赋,因定义的字符 串及输入字符串长度不一致或过长,从而占用了 ebp(栈底)和 call(函数)返回地址的栈 区。基于此可利用修改的函数调用结束后的返回地址...
内核参数-- 使用sysctl 命令配置内核参数
最新发布
weixin_53704976的博客
09-08 4775
linux的内核参数,可以通过sysctl 命令进行配置和优化。实际参数很多,就不一一赘述了,大家可以在实际业务中适时的实践。
漏洞挖掘——实验7 Buffer Overflow Vulnerability Lab(2)
一半西瓜的博客
04-16 2680
题目 Lab Buffer Overflow Vulnerability Lab(2) 1、 /* stackesp.c */ /* This program has a buffer overflow vulnerability. */ /* Our task is to exploit this vulnerability */ /* sudo sysctl -w kernel.r...
windows系统典型漏洞分析
qq_51581716的博客
06-04 2223
由于SHE结构存放在栈中,因此攻击者可以利用栈溢出漏洞,设计特定的溢出数据,将SEH中异常函数的入口地址覆盖为Shellcode的起始地址或可以跳转到Shellcode的跳转指令地址,从而导致程序发生异常时,Windows异常处理机制执行的不是预设的异常处理函数,而是Shellcode。在实际的漏洞利用中,由于动态链接库的装入和卸载等原因,Windows进程的函数栈帧可能发生移位,即Shellcode在内存中的地址是动态变化的,所以上述采用直接赋地址的简单方式在以后的运行过程中会出现跳转异常。
Linux安全基线(一)配置7小项
bigwood99的博客
09-21 2265
Linux安全配置
调用动态链接库接口函数报错“未经处理的异常: 0xC0000005”
Kelvin_Yan的专栏
03-08 1590
DLL调用的一种错误
searchjmp-esp-ebx.rar_find jmp esp isno
09-23
在IT行业中,逆向工程和安全研究经常涉及到寻找特定的机器码指令,例如"JMP ESP"或"JMP EBX"。这些指令在汇编语言中被广泛使用,尤其在函数调用、栈操作以及代码注入等场景下。本文将深入探讨"searchjmp-esp-ebx.rar...
JMPESP.rar_jmp_jmp esp_jmp9.02 crack_shellcode_sp3 jmp esp
09-24
获取jmp esp地址程序,shellcode编写需要用到
halgnu:用于 Jmp Esp 的 HalGNU IRC 机器人
06-13
需要一个项目来强迫我使用我故意避免的语言。 模块 行政 管理模块提供基本的管理级别功能 .kick <user> - Kick user from channel .topic <topic> - Change room topic 保镖 仅限会员客房的功能。 Bouncer 能够...
高质量如何使用数据统计软件JMP和Minitab有效分析数据入门学习超有用教材PPT文档.ppt
11-13
本资源摘要信息旨在帮助用户学习如何使用数据统计软件JMP和Minitab有效分析数据,通过模拟事件和实践操作,掌握数据分析的基本概念和方法。本文档涵盖了数据统计软件JMP和Minitab的基本操作和高级应用,包括数据的...
CIS安全基线
loveqqcc的博客
10-20 4212
0x0 0x1 --Centos7 基线检查190621 0x2 --Centos6 基线检查190627 0x3 --Ubuntu安全基线检查190621 0x3.5 --SSH登录安全策略、账户-密码 0x4 --Windows基线检查(按照CIS-Linux Windows 2008 R2最新基线标准进行系统层面基线检测) 0x5 --CIS 各种基线附件 0x1 Centos7 基线检查 描述 强制用户不重用最近使用的密码,降低密码猜测攻击风险 加固建议 在/etc/pam.d/password-a
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 778
windows系统中内存漏洞中关于栈溢出的部分
Linux-安全加固
cainiao17441898的博客
11-03 3095
系列文章目录 文章目录系列文章目录前言安全加固——基础加固方法文件系统配置软件更新配置软件更新配置安全启动配置加固内核参数警告信息设置 前言 安全加固的目的: 操作系统之上的各种应用,要想获得信息的完整性、机密性、可用性和可控性,必须依赖于操作系统 通用CentOs Linux 7操作系统缺省配置通常不满足系统安全性的要求 操作系统的薄弱环节有安装和运行了冗余的服务、弱密码及匿名访问、开放了不必要的对外通讯端口、易受攻击的TCP/IP参数配置等,都容易成为日常运行和管理过程中的弱点 安全加固就是对系统进
栈溢出学习(二)之 jmp esp & return2libc
Pz_mstr's Blog
03-22 3021
前言 栈溢出学习(二),针对一个例子,进行各种栈溢出技术的练习。本文内容承接栈溢出学习(一) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * gcc -...
(SEED-Lab)Buffer Overflow Vulnerability Lab缓冲区溢出实验
lunan的博客
02-01 7285
(SEED-Lab)Buffer Overflow Vulnerability Lab 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2.1 环境初始化2.2 Task1 运行shellcode2.3漏洞程序2.4 Task 22.5 Task 3: ASLR2.6 Task 4: Stack Guard2.7 Task 5:不可执行栈三、参考文献 一、实验目的 理解缓冲区溢出攻击的原理以及如何实施攻击 理解针对缓冲区溢出的防御措施
逆向之利用地址覆盖执行Shellcode
菜鸟-传奇
04-26 322
逆向之利用地址覆盖执行Shellcode Shellcode Shellcode定义   Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码一般可以获取权限。 Shellcode的作用   Shellcode一般是作为数据发送给受攻击服务器的。Shellcode是溢出程序和蠕虫病毒的核心提到它自然就会和漏洞联想在一起。漏洞利用中最关键的是Shel...
对call堆栈平衡的一点心得,希望对新手有所帮助
u010488395的专栏
05-08 3286
俺也是新手,通过广海,bpsend 一些论坛学习,最近才对call 的堆栈平衡有点小小领悟,别笑话俺    当你对游戏某项功能实现的时候需要调用call  ,call 前面往往有一些入栈操作    例如        push  a              push b              push c              push d
Exploit编写教程2:跳转的多种姿势
周无争的博客
06-09 1994
在上节文章中,讲解了发现漏洞并构建有效 exploit 的基础知识。在使用的例子中, ESP 直接指向栈缓冲区的 Shellcode 开头,并且可以使用 语句来跳转到 Shellcode 。使用 是一个几乎完美的方法,但不是每次都那么容易。本节文章将讨论执行或跳转到 Shellcode 的其他方法,最后谈谈遇到较小的缓冲区如何应对。有以下方法可以执行 Shellcode :可能有多种方法跳转到 Shellcode ,也可能只有一种方法,也可能需要多种技术的组合。一个漏洞也很可能只会引发崩溃,不能利用。如
Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化
weixin_33787529的博客
09-20 520
本文讲的是Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化, 0x00 前言 在《Windows Shellcode学习笔记——shellcode在栈溢出中的利用与优化》中对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存中的起始地址,实现对栈溢出的利用 但是shellcode在内存中的起始地址往往不...
练习二缓冲区溢出.doc
11-14
缓冲区溢出是一种常见的软件安全漏洞,主要发生在程序处理数据时,没有正确地检查输入数据的边界,导致额外的数据覆盖了原本不应该被修改的内存区域。这个实验是关于如何在Windows环境下利用缓冲区溢出来实现本地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值