一次踩坑无数的栈溢出实验 | 技术精选0139
2022-7-28 17:20:43 Author: www.secpulse.com(查看原文) 阅读量:28 收藏

本文约1300字,阅读约需3分钟。
由于不想做点鼠标的猴子,于是就自己尝试了一下利用,结果拐弯就是大坑——不是在踩坑的路上,就是在坑里摸爬滚打。幸亏有大佬指点,不然还在坑里。
1
栈溢出原理
程序内存栈是从高地址往低地址分配内存的,正因如此,当程序在栈中,某个变量写入的字节超过了这个变量本身所申请的字节数时,会改变其他相邻变量的值,轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。
利用
下面是栈溢出实验的代码:
image.png
编译生成exe后进行计算偏移。
od分析
使用od打开该exe文件,下面为主要汇编代码,在主函数打断点后运行:
在输入字符串后暂停,可以看到0060FEFC对应的00401400为vulnerable函数结束时跳转的地址。
0060FEEC对应的是变量val的值,0060FEF8为vulnerable函数的基地址(EBP),从0060FEE2后存入用户输入的字符串,由于gets没有限制用户输入长度,所以可以构造输入来达到覆盖变量的值和函数返回地址。
012345678916进制字符串为30313233 34353637 3839。
2
实验
由于在终端输入,x等字符都会算作一个单独字符,所以我们使用重定向来解决,先用c写一个简单payload程序:
image.png
修改变量
由于上面的代码有一个变量val,我们就修改该变量。通过上面的内存栈图可以看到,用户输入的字符串后面就是val变量的值。也就是说,我们需要先填充10个字符,随后紧跟上我们要改的数值。
内存中采用的是小端存储,所以00000001在内存的形式为x01x00x00x00。
根据上面的计算,到返回地址需要填充26个字符,success函数的地址为004013B0,修改payload代码数据,生成exe:

3
总结
刚开始用vs搞,怎么也无法成功,后来发现需要用gcc编译器,vs的编译器似乎有某种机制,不按正常套路出牌。还有一些保护机制也要进行关闭,否则也没有办法成功,建议大家在linux上尝试。
另外,还有strcpy、strcmp等函数也存在这样的漏洞。
- END -

本文作者:酒仙桥六号部队

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/184402.html


文章来源: https://www.secpulse.com/archives/184402.html
如有侵权请联系:admin#unsafe.sh