指针和固定大小缓冲区_缓冲区实例讲解之protostar stack3挑战篇

最新推荐文章于 2024-02-29 16:47:44 发布
最新推荐文章于 2024-02-29 16:47:44 发布
阅读量133 收藏
点赞数
文章标签: 指针和固定大小缓冲区

引言

在上两篇文章中1、2,我们已经解决了stack0、stack1和stack2挑战,今天,我们将为读者介绍如何解决protostar stack3。在解决前三个挑战的时候,我们使用了二进制文件的源代码,来识别缓冲区溢出发生的位置并加以利用。然而,对于stack3来说,我们虽然也有源代码,但是,我们却不打算使用它,相反,我们将使用一些实用的技术来解决这个挑战。那我们为什么要这么做呢?在现实情况下,我们基本上是没有机会得到目标程序的源代码,对吧?

c0d5caf027d5e75201ecd168b0658dc2.png

如果您还没有读过我之前撰写的关于缓冲区溢出的文章,建议您先阅读它们。

./Stack3

让我们先来考察一下这个程序,看看它是做什么的。

./stack3

51d0d050cc91606f47b6859286a7cd66.png

如图所示,我们没有看到任何输出内容,所以,看来我们应该给它提供一个参数。为了检测该程序是否含有缓冲区溢出漏洞,我们可以为其传递100个字符的参数,看看它有什么反应:

python -c "print 'A' * 100" | ./stack3

11c751524170a675be405b9375b01ffa.png

这时,我们看到一个segfault错误,这说明发生了缓冲区溢出;同时,我们还看到这样一行内容:“calling function pointer , jumping to 0x41414141”。

现在,我们已经大体知道发生了什么情况:其中有一个函数指针,它会根据函数给定的内存地址来执行函数。由于该内存地址存储在一个变量中,因此,当发生缓冲区溢出时,我们就可以覆盖或者说重写该变量了。我们看到,函数指针正在调用地址0x41414141,其中0x41是“A”的十六进制表示。所以,接下来我们要做两件事:第一件事是弄清楚缓冲区溢出是在哪里发生的,虽然上面给这个程序输入了一个100个字符的参数,但是我们并不知道缓冲区的确切大小;第二件事是找到我们需要执行的函数的内存地址。如何完成这两件事情呢?下面将为读者详细介绍。

确定缓冲区的大小

为了简单起见,这里将使用Kali box系统来完成这个程序的编译和测试工作。

Metasploit提供了两个分别名为pattern_create和pattern_offset的脚本,它们位于kali系统中的/usr/share/metasploit-framework/tools/exploit目录中。

pattern_create可以帮助我们创建一个指定长度的惟一字符串,就这里来说,我们将创建一个包含100个字符的模式(pattern)。

./pattern_create.rb -l 100

2f06dc01355d08650021087b209fc744.png

现在,让我们在GDB中运行该程序,对于我而言,使用的是gdb-peda。

19d0a21f7bb434fb7a6fdb164e72f109.png

首先,我们需要在main函数中设置一个断点。

break *main

这样一来,程序就会在main()函数的第一条指令之后中断。

fcf4743116fe11d59395f4c3f644c91e.png

然后,让我们运行该程序。

0fb41bfe25b6073cc69b6c2aa397e70d.png

现在,它在断点处如期停止运行。之后,我们按c键,让它继续运行,并向其传递我们指定的参数。

7ab184c78aadc9c276d40843336bc3ff.png

这时,可以看到发生了segfault错误,并可以看到该错误发生的具体位置,即0x63413163。

现在,我们将使用pattern_offset来了解0x63413163处存放的内容。

./pattern_offset -l 100 -q 63413163

如图所示,与偏移64处的内容是完全匹配的,这意味着缓冲区大小为64个字符,大于这个阀值就会发生溢出。

查找函数的内存地址

如果我们在GDB中运行info functions命令,就能看到所有函数及其内存地址,此外,我们也可以使用objdump来完成这一任务。但是,我们要找的函数是什么呢?

info functions

e3f8b2f8297ffa2c4a4a86bac77a030e.png

如图所示,这里有很多函数,但我们最感兴趣的一个函数是“win”,并且,它在我的Kali Box系统上的地址与在protostar机器上的地址并不相同。于是,我们返回protostar机器,并通过objdump来定位它。

objdump -d stack3

b9b975e9b9db6e15d21a9305959b6ae4.png

bea3f89b33746310282d973da183c0ea.png

如图所示,我们得到的地址为0x08048424。

利用漏洞

现在,我们可以轻松地构建相应的漏洞利用程序了——我们已经知道缓冲区长度为64个字符,所以,我们可以传递一个函数的地址,然后通过函数指针来执行它。

python -c "print 'A' * 64 + 'x24x84x04x08'" | ./stack3

2bcbf45e1a8d79cf4a6ba7b23b5aa4af.png

如图所示,这里的输出内容为“Code flow changed successfull”。

上面,我们已经在不借助源代码的情况下搞定了这个挑战,接下来,我们不妨看看这个程序的源代码到底长啥样:

#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>
 
void win()
{
 printf("code flow successfully changedn");
}
 
int main(int argc, char **argv)
{
 volatile int (*fp)();
 char buffer[64];
 
 fp = 0;
 
 gets(buffer);
 
 if(fp) {
  printf("calling function pointer, jumping to 0x%08xn", fp);
  fp();
 }
}

我们看到,该程序先定义了一个函数win(),然后,又定义了函数main(),并在该函数中定义了一个函数指针,创建了一个长度为64个字符的缓冲区,并将其值设置为0。之后,它会接受我们提供的参数,并将其存储在该缓冲区中。最后一条if语句会检查函数指针的值是否发生了改动,即是否依然为0;如果不为0的话,就根据新值来调用相应的函数。

本文到此结束,希望对大家有所帮助!

本文翻译自: https:// 0xrick.github.io/binary -exploitation/bof3/ 如若转载,请注明原文地址: http://www. 4hou.com/technology/156 65.html 更多内容请关注“嘶吼专业版”——Pro4hou
weixin_39755824
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
protostar-s:解决protostar挑战
02-14
Protostar的早期挑战中,你可能会遇到如何触发和利用缓冲区溢出来改变程序执行流程的情况。 2. **栈溢出保护**:学习如何绕过诸如非执行栈(NX Bit)这样的保护机制,是Protostar中级挑战的一部分。理解如何在...
gdb pattern_create | pattern_offset
JacobTsang的博客
09-16 2993
gdb-peda$ pattern_create 200 gdb-peda$ pattern_offset 0x47414131 首先寻找多少字节能溢出切刚好能够覆盖return addr。我们使用gdb-peda提供的pattern_create和pattern_offset。pattern_create是生成一个字符串模板输入后根据EIP来确定覆盖return addr的长度。 cat /p...
“人生苦短,我用Python“——软件溢出漏洞
weixin_42902126的博客
10-26 1537
\x41”在ASCII表中表示的正是字符“A”,也就是说现在EIP寄存器中的内容就是“AAAA”,而操作系统无法在这个地址找到一条可以执行的命令,从而引发系统的崩溃。把FreeFloat FTP Server 用户名的输入作为渗透测试的切入点,首先来检查这个软件是否存在栈溢出的现象,这个检查很简单,在输入用户名的时候,输入成百上千的字符,同时观察目标服务器的反应。将这段文本发送到目标服务器,当发生溢出时,记录下程序发生错误的地址(也就是EIP中的内容),这个地址其实就是文本中的。
vs使用未初始化的内存怎么解决_推荐收藏系列:一文理解JVM虚拟机(内存、垃圾回收、性能优化)解决面试中遇到问题...
weixin_39683769的博客
11-05 258
欢迎关注公众号【Ccww技术博客】,原创技术文章第一时间推出一. JVM内存区域的划分1.1 java虚拟机运行时数据区java虚拟机运行时数据区分布图:JVM栈(Java Virtual Machine Stacks):Java中一个线程就会相应有一个线程栈与之对应,因为不同的线程执行逻辑有所不同,因此需要一个独立的线程栈,因此栈存储的信息都是跟当前线程(或程序)相关信息的,包括局...
C#中对指针操作报错解决方法
波波诸葛伟
05-20 2804
转载于:https://www.cnblogs.com/fuhua/p/5877778.html (C#中实际不存在指针,这里是仿C语言中指针操作进行说明) 1.错误1 “指针固定大小缓冲区只能在不安全的上下文中使用” 解决方法:在方法前加上unsafe关键字 2.错误2 “不安全代码只会在使用 /unsafe 编译的情况下出现” 解决方法:右键选中资源管理器中项目文件–属性–生成–勾选"允许不安全代码复选框"! 事例代码,取变量a的内存地址并输出: using System; using Sy
Metasploit 工具 pattern_create.rb pattern_offset.rb
weixin_30522095的博客
06-16 608
pattern_create.rb pattern_offset.rb 使用pattern_offset.rb 先让调试的程序溢出 知道 ESP 的值 $ (python -c 'print "A"*79+"\xfb\xd8\xff\xff"') 转载于:https://www.cnblogs.com/amliaw4/p/7029454.html...
exploit-exercises-arm:我已经接受了 Protostar 的所有挑战 - https
06-14
我已经接受了 Protostar 的所有挑战 - 并为 ARM 架构编译了它们。 我在本地使用的 QEMU 设置包括 -> 和 Radare2 Python 绑定。 我将在接下来的两周内添加格式、堆、网络和最终练习 - 很快回来查看! SSH # ...
Exploit-Exercises-Protostar:漏洞利用解决方案 Protostar
07-07
当程序未能正确检查输入数据的长度,导致缓冲区被超出边界的数据填充时,就会发生栈溢出。学习者需要了解EIP(指令指针寄存器)的概念,以及如何通过溢出覆盖它来控制程序执行流程。 2. **堆溢出**:在Heap系列中,...
protostar-relay:官方Relay devtool的开源迭代
03-20
查看商店突变和网络查询 安装 分叉并将此存储库克隆到本地计算机上 使用以下“ Yarn”或“ NPM”命令安装依赖项并运行构建: # Yarn yarn install yarn build # NPM npm run install npm run build 在浏览器中访问...
Protostellar_Outflows
04-06
在天文学中,原恒星(Protostar)是处于演化早期阶段、正在积累物质并最终形成成熟恒星的天体。在这个过程中,原恒星会发射出强烈的喷流,这些喷流被称为原恒星喷流(Protostellar Outflows)。这些喷流是由原恒星...
Python程序设计-安全渗透测试-漏洞渗透模块
Xunuannuan的博客
04-26 878
测试软件的溢出漏洞 FreeFloat FTP Server会在运行的主机上建立一个FTP,其他计算机上的用户可以登录到这个FTP上来存取文件 例如,在主机192.168.0.116的C盘中运行这个FTP软件,在另外一台计算机中可以使用FTP下载工具或者命令的方式进行访问。这里采用命令的方式对其进行访问,(使用 FreeFloat FTP Server这个服务器对登录没有任何的限制,输入任意的用...
linux在二进制文件中查找pattern的offset
weixin_34061042的博客
07-03 794
参考:http://stackoverflow.com/questions/14141008/grep-offset-of-ascii-string-from-binary-file strings -a -t x filename | grep foobar daniel@daniel-mint ~/latex/linux/itext/daniel $ hexdump ...
return2libc学习笔记
omnispace的博客
03-29 4708
0x00 背景介绍 author:万抽抽 r2libc技术是一种缓冲区溢出利用技术,主要用于克服常规缓冲区溢出漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR,以及堆栈保护),比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip),让其定位到libc库中的某个库函数(如,system等),而不是
[BUUCTF-pwn] stack2,stack3,stack4,stack3-rop
weixin_52640415的博客
02-18 596
这几个题像是哪哪哪讲从入门...课的例题。 题目的main函数是相同的,没有问题。 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[256]; // [rsp+10h] [rbp-100h] BYREF setbuf(stdin, 0LL); setbuf(stdout, 0LL); setbuf(stderr, 0LL); puts("welcome to stack2");
Visual Studio:指针固定大小缓冲区只能在不安全的上下文中使用、 设置允许使用不安全代码(unsafe)
最新发布
qq_39515892的博客
02-29 699
指针固定大小缓冲区只能在不安全的上下文中使用。解决方案资源管理器-》选择项目-》右键-》属性。在生成窗口中,勾选“允许不安全代码”
指针固定大小缓冲区只能在不安全的上下文中使用_作为初学者,在C语言中你应该绝对避免的两个错误...
weixin_39969143的博客
11-28 3393
在C中,最多有2个常见内存错误:1.悬空指针:您释放/使得一块内存无效,但没有将指针设置为NULL以便以后进行验证。2.缓冲区溢出:您写入和/或读取的数据超出了缓冲区限制。有很多策略可以避免这两种内存错误。我将首先解决悬空指针:a是一个悬空指针,它指向有效内存,并且该有效内存已释放。下一步是什么?好吧,您将这个东西设置为NULL以便以后可以对其进行NULL检查,并防止意外读取和写入无效内存。悬空的...
指针固定大小缓冲区_Linux0.11缓冲区机制详解
weixin_39660931的博客
12-03 345
相关阅读(点击即可阅读哦~):Linux0.11写时复制机制详解LINUX0.11信号机制Linux0.11共享内存机制为了提高系统访问块设备的速度,内核在内存中开辟了一块高速缓冲区,将其划分为一个个与磁盘块大小相等的缓冲块来暂存与块设备之间的交换数据,以减少I/O操作的次数,提高系统的性能。缓冲块中保存着最近访问磁盘的数据,内核在读块设备之前先搜索缓冲区,如果数据在缓冲区中就不需要再从磁盘中读,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值