分享
 
 
 

编写自己的缓冲区溢出利用程序(上)

王朝other·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

by 黑猫 (virtualcat@hotmail.com)

内容: 本文主要讲解有关Buffer Overflow的原理, 以及结合实战范例介绍Linux和Solaris下的漏洞利用.

本文并不介绍如何编写shell code.

要求: 读者要有一点C和汇编语言基础.

目标: 希望本文能够尽量做到通熟易懂,使得稍有计算机基础知识的朋友看后能够亲自动手写自己的Exploit

如果你觉得自己对这些都懂了, 就请不要再往下看了.

第一部份 概述篇

1. Buffer overflow是如何产生的?

所谓Buffer overflow, 中文译为缓冲区溢出. 顾名思意, 就是说所用的缓冲区太小了, 以至装不下

那么多的东西, 多出来的东西跑出来了. 就好象是水缸装不了那么多的水, 硬倒太多会溢出来一样;)

那么, 在编程过程中为什么要用到buffer(缓冲区)呢? 简单的回答就是做为数据处理的中转站.

2. UNIX下C语言函数调用的机制及缓冲区溢出的利用.

1) 进程在内存中的影像.

我们假设现在有一个程序, 它的函数调用顺序如下.

main(...) -> func_1(...) -> func_2(...) -> func_3(...)

即: 主函数main调用函数func_1; 函数func_1调用函数func_2; 函数func_2调用函数func_3

当程序被操作系统调入内存运行, 其相对应的进程在内存中的影像如下图所示.

(内存高址)

+--------------------------------------+

| ...... | ... 省略了一些我们不需要关心的区

+--------------------------------------+

| env strings (环境变量字串) | \

+--------------------------------------+ \

| argv strings (命令行字串) | \

+--------------------------------------+ \

| env pointers (环境变量指针) | SHELL的环境变量和命令行参数保存区

+--------------------------------------+ /

| argv pointers (命令行参数指针) | /

+--------------------------------------+ /

| argc (命令行参数个数) | /

+--------------------------------------+

| main 函数的栈帧 | \

+--------------------------------------+ \

| func_1 函数的栈帧 | \

+--------------------------------------+ \

| func_2 函数的栈帧 | \

+--------------------------------------+ \

| func_3 函数的栈帧 | Stack (栈)

+......................................+ /

| | /

...... /

| | /

+......................................+ /

| Heap (堆) | /

+--------------------------------------+

| Uninitialised (BSS) data | 非初始化数据(BSS)区

+--------------------------------------+

| Initialised data | 初始化数据区

+--------------------------------------+

| Text | 文本区

+--------------------------------------+

(内存低址)

这里需要说明的是:

i) 随着函数调用层数的增加, 函数栈帧是一块块地向内存低地址方向延伸的.

随着进程中函数调用层数的减少, 即各函数调用的返回, 栈帧会一块块地

被遗弃而向内存的高址方向回缩.

各函数的栈帧大小随着函数的性质的不同而不等, 由函数的局部变量的数目决定.

ii) 进程对内存的动态申请是发生在Heap(堆)里的. 也就是说, 随着系统动态分

配给进程的内存数量的增加, Heap(堆)有可能向高址或低址延伸, 依赖于不

同CPU的实现. 但一般来说是向内存的高地址方向增长的.

iii) 在BSS数据或者Stack(栈)的增长耗尽了系统分配给进程的自由内存的情况下,

进程将会被阻塞, 重新被操作系统用更大的内存模块来调度运行.

(虽然和exploit没有关系, 但是知道一下还是有好处的)

iv) 函数的栈帧里包含了函数的参数(至于被调用函数的参数是放在调用函数的栈

帧还是被调用函数栈帧, 则依赖于不同系统的实现),

它的局部变量以及恢复调用该函数的函数的栈帧(也就是前一个栈帧)所需要的

数据, 其中包含了调用函数的下一条执行指令的地址.

v) 非初始化数据(BSS)区用于存放程序的静态变量, 这部分内存都是被初始化为零的.

初始化数据区用于存放可执行文件里的初始化数据.

这两个区统称为数据区.

vi) Text(文本区)是个只读区, 任何尝试对该区的写操作会导致段违法出错. 文本区

是被多个运行该可执行文件的进程所共享的. 文本区存放了程序的代码.

2) 函数的栈帧.

函数调用时所建立的栈帧包含了下面的信息:

i) 函数的返回地址. 返回地址是存放在调用函数的栈帧还是被调用函数的栈帧里,

取决于不同系统的实现.

ii) 调用函数的栈帧信息, 即栈顶和栈底.

iii) 为函数的局部变量分配的空间

iv) 为被调用函数的参数分配的空间--取决于不同系统的实现.

3) 缓冲区溢出的利用.

从函数的栈帧结构可以看出:

由于函数的局部变量的内存分配是发生在栈帧里的, 所以如果我们在某一个函数里定义

了缓冲区变量, 则这个缓冲区变量所占用的内存空间是在该函数被调用时所建立的栈帧里.

由于对缓冲区的潜在操作(比如字串的复制)都是从内存低址到高址的, 而内存中所保存

的函数调用返回地址往往就在该缓冲区的上方(高地址)--这是由于栈的特性决定的, 这

就为复盖函数的返回地址提供了条件. 当我们有机会用大于目标缓冲区大小的内容来向

缓冲区进行填充时, 就有可以改写函数保存在函数栈帧中的返回地址, 从而使程序的执

行流程随着我们的意图而转移. 换句话来说, 进程接受了我们的控制. 我们可以让进程

改变原来的执行流程, 去执行我们准备好的代码.

这是冯.诺曼计算机体系结构的缺陷.

下面是缓冲区溢出利用的示意图:

i) 函数对字串缓冲区的操作, 方向一般都是从内存低址向高址的.

如: strcpy(s, "AAA.....");

s s+1 s+2 s+3 ...

+---+---+---+--------+---+...+

(内存低址) | A | A | A | ...... | A |...| (内存高址)

+---+---+---+--------+---+...+

ii) 函数返回地址的复盖

/ | ...... | (内存高址)

/ +--------------------+

调用函数栈帧 | 0x41414141 |

\ +--------------------+

\ | 0x41414141 | 调用函数的返回地址

\+--------------------+

/| ...... |

/ +--------------------+ s+8

/ | 0x41414141 |

/ +--------------------+ s+4

被调用函数栈帧 | 0x41414141 |

\ +--------------------+ s

\ | 0x41414141 |

\ +--------------------+

\| ...... |

+....................+

| ...... | (内存低址)

注: 字符A的十六进制ASCII码值为0x41.

iii) 从上图可以看出: 如果我们用的是进程可以访问的某个地址而不是0x41414141

来改写调用函数的返回地址, 而这个地址正好是我们准备好的代码的入口, 那么

进程将会执行我们的代码. 否则, 如果用的是进程无法访问的段的地址, 将会导

致进程崩馈--Segment Fault Core dumped (段出错内核转储); 如果该地址处有

无效的机器指令数据, 将会导致非法指令(Illigal Instruction)错误, 等等.

4) 缓冲区在Heap(堆)区或BBS区的情况

i) 如果缓冲区的内存空间是在函数里通过动态申请得到的(如: 用malloc()函数申请), 那

么在函数的栈帧中只是分配了存放指向Heap(堆)中相应申请到的内存空间的指针. 这种

情况下, 溢出是发生在(Heap)堆中的, 想要复盖相应的函数返回地址, 看来几乎是不可

能的. 这种情况的利用可能性要看具体情形, 但不是不可能的.

ii) 如果缓冲区在函数中定义为静态(static), 则缓冲区内存空间的位置在非初始化(BBS)区,

和在Heap(堆)中的情况差不多, 利用是可能的. 但还有一种特姝情况, 就是可以利用它来

复盖函数指针, 让进程后来调用相应的函数变成调用我们所指定的代码.

3. 从缓冲区溢出的利用可以得到什么?

从上文我们看到, 缓冲区溢出的利用可以使我们能够改写相关内存的内容及函数的返回地址, 从而

改变代码的执行流程, 让进程去执行我们准备好的代码.

但是, 进程是以我们当前登录的用户身份来运行的. 能够执行我们准备好的代码又怎样呢? 我们还

是无法突破系统对当前用户的权限设置, 无法干超越权限的事.

换句话来说, 要想利用缓冲区溢出得到更高的权限, 我们还得利用系统的一些特性.

对于UNIX来讲, 有两个特性可以利用.

i) SUID及SGID程序

UNIX是允许其他用户可以以某个可执行文件的文件拥有者的用户ID或用户组ID的身份来执行该

文件的,这是通过设置该可执行文件的文件属性为SUID或SGID来实现的.

也就是说如果某个可执行文件被设了SUID或SGID, 那么当系统中其他用户执行该文件时就相当

于以该文件属主的用户或用户组身份来执行该文件.

如果某个可执行文件的属主是root, 而这个文件被设了SUID, 那么如果该可执行文件存在可利

用的缓冲区溢出漏洞, 我们就可以利用它来以root的身份执行我们准备好的代码. 没有比让它

为我们产生一个具有超级用户root身份的SHELL更吸引人了, 是不是?

ii) 各种端口守护(服务)进程

UNIX中有不少守护(服务)进程是以root的身份运行的, 如果这些程序存在可利用的缓冲区溢出,

那么我们就可以让它们以当前运行的用户身份--root去执行我们准备被好的代码.

由于守护进程已经以root的身份在运行, 我们并不需要相对应的可执行文件为SUID或SGID属性.

又由于此类利用通常是从远程机器上向目标机器上的端口发送有恶意的数据造成的, 所以叫做

"远程溢出"利用.

4. 一个有问题的程序

以下例程纯属虚构, 如有雷同, 纯属巧合.

/*

* 文件名 : p.c

* 编译 : gcc -o p p.c

*/

#include

void vulFunc(char* s)

{

char buf[10];

strcpy(buf, s);

printf("String=%s\n", buf);

}

main(int argc, char* argv[])

{

if(argc == 2)

{

vulFunc(argv[1]);

}

else

{

printf("Usage: %s \n", argv[0]);

}

}

这个例程接受用户在命令行的字串输入, 然后在标准输出(屏幕)上打印出来. 我们可以看出在

vulFunc()这个函数里, 定义了一个最多可以装十个字符的缓冲区buf. 如果我们在命令行输入

小于等于十个字符的字串, 则一切都很正常. 但是, 如果我们输入的字串长度大于十呢? 情况

会怎样? 缓冲区太小装不下了, 所以溢出了? 答案有待于具体分析一下才知道.

对于这个程序在不同操作系统下的分析和模拟攻击. 请看第二部份基楚篇

第二部份 基楚篇

5. Linux x86 平台

本文使用了如下Linux平台:

Red Hat Linux release 6.2 (Zoot)

Kernel 2.2.14-12 on an i586

所使用的编译器及版本:

bash$ gcc -v

Reading specs from /usr/lib/gcc-lib/i386-redhat-linux/egcs-2.91.66/specs

gcc version egcs-2.91.66 19990314/Linux (egcs-1.1.2 release)

注意: 不同版本的编译器编译相同代码所生成的机器指令可能不同.

1) 例程p.c在Linux x86平台下的剖析.

i) 首先我们编译p.c并用gdb对相关函数进行反汇编

结果见如下清单:

bash$ gcc -o p p.c

bash$ gdb p

GNU gdb 19991004

Copyright 1998 Free Software Foundation, Inc.

GDB is free software, covered by the GNU General Public License, and you are

welcome to change it and/or distribute copies of it under certain conditions.

Type "show copying" to see the conditions.

There is absolutely no warranty for GDB. Type "show warranty" for details.

This GDB was configured as "i386-redhat-linux"...

(gdb) disas main

Dump of assembler code for function main:

0x804842c : push %ebp

0x804842d : mov %esp,%ebp

0x804842f : cmpl $0x2,0x8(%ebp)

0x8048433 : jne 0x8048448

0x8048435 : mov 0xc(%ebp),%eax

0x8048438 : add $0x4,%eax

0x804843b : mov (%eax),%edx

0x804843d : push %edx

0x804843e : call 0x8048400

0x8048443 : add $0x4,%esp

0x8048446 : jmp 0x804845b

0x8048448 : mov 0xc(%ebp),%eax

0x804844b : mov (%eax),%edx

0x804844d : push %edx

0x804844e : push $0x80484bb

0x8048453 : call 0x8048330

0x8048458 : add $0x8,%esp

0x804845b : leave

0x804845c : ret

0x804845d : nop

0x804845e : nop

0x804845f : nop

End of assembler dump.

(gdb) disas vulFunc

Dump of assembler code for function vulFunc:

0x8048400 : push %ebp

0x8048401 : mov %esp,%ebp

0x8048403 : sub $0xc,%esp

0x8048406 : mov 0x8(%ebp),%eax

0x8048409 : push %eax

0x804840a : lea 0xfffffff4(%ebp),%eax

0x804840d : push %eax

0x804840e : call 0x8048340

0x8048413 : add $0x8,%esp

0x8048416 : lea 0xfffffff4(%ebp),%eax

0x8048419 : push %eax

0x804841a : push $0x80484b0

0x804841f : call 0x8048330

0x8048424 : add $0x8,%esp

0x8048427 : leave

0x8048428 : ret

0x8048429 : lea 0x0(%esi),%esi

End of assembler dump.

这里我们只对所关心的main和vulFunc两个函数进行反汇编分析.

ii) 进程的运行及其在内存中的情况分析

我们用gdb来跟踪看看进程是如何在内存中运行的.

首先把程序调入.

bash$ gdb p

GNU gdb 19991004

Copyright 1998 Free Software Foundation, Inc.

GDB is free software, covered by the GNU General Public License, and you are

welcome to change it and/or distribute copies of it under certain conditions.

Type "show copying" to see the conditions.

There is absolutely no warranty for GDB. Type "show warranty" for details.

This GDB was configured as "i386-redhat-linux"...

(gdb)

把断点设到main的第一条可执行汇编指令上

(gdb) b *0x804842c

Breakpoint 1 at 0x804842c

运行程序

(gdb) r AAAAAAAA

Starting program: /home/vcat/p AAAAAAAA

Breakpoint 1, 0x804842c in main ()

在断点处停下来了.

看一下这时各寄存器的值

(gdb) i reg

eax 0x4010b3f8 1074836472

ecx 0x804842c 134513708

edx 0x4010d098 1074843800

ebx 0x4010c1ec 1074840044

esp 0xbffff6bc -1073744196

ebp 0xbffff6d8 -1073744168

esi 0x4000ae60 1073786464

edi 0xbffff704 -1073744124

eip 0x804842c 134513708

eflags 0x246 582

cs 0x23 35

ss 0x2b 43

ds 0x2b 43

es 0x2b 43

fs 0x0 0

gs 0x0 0

cwd 0xffff037f -64641

swd 0xffff0000 -65536

twd 0xffffffff -1

fip 0x40034d70 1073958256

fcs 0x35d0023 56426531

fopo 0xbfffe400 -1073748992

fos 0xffff002b -65493

我们这里关心的是栈底(ebp), 栈顶(esp)及指令寄存器(eip).

此时, ebp的值为0xbffff6d8, esp的

[1] [2] [3] 下一页

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有