二进制漏洞-栈溢出
github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow
你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。
测试平台
系统:CentOS release 6.10 (Final)、32位
内核版本:Linux 2.6.32-754.10.1.el6.i686 i686 i386 GNU/Linux
gcc 版本: 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC)
gdb版本:GNU gdb (GDB) Red Hat Enterprise Linux (7.2-92.el6)
libc版本:libc-2.12.so
漏洞原理
在对栈缓冲区进行写操作时(如memcpy),未对缓冲区大小进行判断,导致写入数据长度可能大于缓冲区长度。
通用利用方式
写入数据覆盖返回地址,使返回地址指向恶意代码起始地址。由于我是基于本地测试,也就是libc库的版本已知,而基于远程攻击或不同版本的libc库可能会存在差异。
漏洞测试程序
很明显代码在执行scanf时未对缓冲区大小进行判断,存在栈溢出漏洞。
注意如无特殊说明,本文的exp都是基于该源码编译的二进制实现的。
所有测试均在linux环境下进行
开启PIE
开启PIE二进制程序加载的基址也将被随机化。在不开启PIE的情况下,可以通过前面描述的方式来绕过NX+ASLR保护。 想让应用程序具备PIE功能需要添加编译选项,并需同时开启系统ASLR选项。 编译时通过添加以下选项开启应用程序PIE功能:
-fpie[PIE](-fpie强度为1,-fPIE强度为2最强) -pie
开启PIE后的程序,用checksec监测如下:
漏洞分析
先运行几次看看加了PIE选项后程序运行变化,第一次运行:
第二次运行:
第三次运行: