0x00 前言
众所周知,linux下开启了NX的以及windows下开启了DEP的程序堆栈是不可执行的,linux下的程序默认编译时是开启了NX的,故很久以前采用的通过jmp esp或者jmp rsp跳板技术跳转到栈中的shellcode执行的栈溢出攻击方式基本上已经失效。
除了NX,还有ASLR,PIE,CANARY,FORTIFY,RELRO等各类保护手段五花八门,大大的提高了linux下软件的安全,同时也增加了二进制攻击的门槛。
针对这些情况,我们会用一系列文章去逐一讨论,这里先不考虑其它的保护手段,着重讨论下通过ROP(return-orient-Programming)以及ret2libc来绕过开启了NX保护但是存在缓冲区溢出点的程序,实现攻击。
0x01 环境
系统:Ubuntu 14.04.3 LTS 64位
工具:PEDA
存在漏洞的演示程序vuln:
#include <stdio.h>为了便于我们先关闭ASLR
#include <unistd.h>
int vuln() {
char buf[80];
int r;
r = read(0, buf, 400);
printf("\nRead %d bytes. buf is %s\n", r, buf);
puts("No shell for you :(");
return 0;
}
int main(int argc, char *argv[]) {
printf("Try to exec /bin/sh");
vuln();
return 0;
}
# echo 0 > /proc/sys/kerne/randomize_va_space
然后还需要编译时关闭程序的stack CANARY栈保护手段
gcc -g -fno-stack-protector vuln.c -o vuln
0x02 分析
未完待续。http://bluereader.org/article/44353367