缓冲区溢出漏洞

时间:2021-07-07 05:15:52

这个也是很常见的一个漏洞,原理是在没有栈保护的时候(或者有Canary的值然后被我们泄露出来之后),我们可以覆盖掉栈帧的返回地址,然后控制函数流程,从而达到提权的目的。


以2017陕西省的比赛赛题pwn_box为例进行调试

缓冲区溢出漏洞

缓冲区溢出一般发生在字符串的读取,因为没有做边界上的检查,会导致读取的字符数量可能大于程序中申请的数量,导致栈溢出

截图中可以看到,Password的地方有个栈溢出,我们可以利用

我们要确定的地方有几个:Canary的值在哪,是什么;我们填充的字符在哪,需要多少个,要留出Canary的位置;多少个之后会改变控制流


先找到Canary的值:
缓冲区溢出漏洞

所以,我们在0x080489C1的地方下断,查看内存中的值

缓冲区溢出漏洞

缓冲区溢出漏洞

缓冲区溢出漏洞


第一个值即为我们需要的Canary的值(因为每次重新执行这个值会变,所以我们以后的截图不一定还是这个值,就不做重复性工作了)

缓冲区溢出漏洞

删除该断点,我们去找Canary的位置和缓冲区溢出的边界

缓冲区溢出发生在Password的地方,根据IDA中的Disassembly

缓冲区溢出漏洞

我们在0x8048A45处下断,然后先输入一个较短的密码(不让缓冲区溢出来找到Canary的位置,否则会把Canary的值给覆盖掉)

缓冲区溢出漏洞

缓冲区溢出漏洞

缓冲区溢出漏洞

可以看到,我们输入的abcd……已经进入到了栈中,距离Canary的位置是:4*7+2=30个

然后我们重新运行一次,输入个很长的字符串,看什么地方会爆炸

缓冲区溢出漏洞

然后直接运行到最后(c命令)

看到这个

缓冲区溢出漏洞

我们计算一下偏移是:从a到T,总共是46个字符

Canary30个,Canary4个,所以还需要填充12个,之后就应该是我们的劫持控制流的跳转地址,然后再是4个填充(这个是覆盖返回地址),然后是参数/bin/sh的地址,就可以利用缓冲区漏洞实现提权