4

我正在为我的系统安全类编写返回 libc 攻击。一、易受攻击的代码:

//vuln.c
#include <stdio.h>
#include <stdlib.h>

int loadconfig(void){
  char buf[1024];
  sprintf(buf, "%s/.config", getenv("HOME"));
  return 0;
}

int main(int argc, char **argv){
  loadconfig();
  return 0;
}

我想用一个返回libc的攻击。编译和调试程序:

$ gcc -g -fno-stack-protector -o vuln vuln.c
$ gdb vuln
(gdb) break loadconfig
(gdb) run
Reached breakpoint blah blah blah.
(gdb) p $ebp
$1 = (void *) 0xbfffefb0
(gdb) p system
$2 = {<text variable, no debug info>} 0x0016db20 <system>
(gdb) p exit
$3 = {<text variable, no debug info>} 0x001639e0 <exit>
(gdb) x/2000s $esp
...
0xbffff5af:    "SHELL=/bin/bash"

为了执行攻击,我想将缓冲区溢出到loadconfig的返回地址(又名$esp+4),用返回地址替换它system,然后是返回地址exit(因为system需要一个真实的返回地址),然后是命令名称(的地址SHELL=/bin/bash加 6,修剪SHELL=零件)。这应该可以通过制作一个$HOME包含 1024 个废话字符的环境变量,然后是 、 和 的 little-endian 地址systemexit实现/bin/bash

但是,对于我尝试过的每台计算机,system都会在以 0x00 开头的地址加载,这将终止sprintf正在读取的字符串并停止攻击。有什么方法可以强制libc加载内存中的其他地方,还是我误解了攻击?

作为参考,我在 VirtualBox(Windows 主机)中运行 Ubuntu Server 11.10 虚拟机,gcc版本为 4.6.1 和gdb版本 7.3-2011.08。编辑:ASLR 被禁用,我用它编译-fno-stack-protector以删除金丝雀。因为我没有从堆栈中执行任何东西,所以我不需要execstack它。

4

2 回答 2

6

将重要的 libc 函数映射到包含 NULL 字节的地址的行为称为 ASCII armouring。此保护是RedHat Exec-shield的一部分,目前在最近的 ubuntu 发行版链接上启用 要禁用它,您必须以 root 身份运行:

sysctl -w kernel.exec-shield=0

正如这里所解释的

顺便说一句,您可以在exploit-db上找到有关如何绕过ASCII装甲的有趣材料

于 2011-10-16T15:42:32.647 回答
1

我相当肯定这在 11.10 上是不可能的,至少在你提到的方式上是这样。看一看:

https://wiki.ubuntu.com/Security/Features

详细地说,只是挑选一些与您的想法有关的问题:

(1) 由于canary值等原因,缓冲区溢出到esp+4会引发Segmentation fault异常

(2)您可能是指提取环境变量的地址,传统上该地址是 ESP(主)+ 一定数量的字节。但是,由于这些天甚至逻辑内存地址在编译后都是加扰/随机化的,因此每次运行您的 $HOME 变量都会获得不同的内存地址,可能位于主堆栈的另一侧

(3) 据我所知,目前还有其他方式可以阻止图书馆攻击的回归。我对这些不太熟悉。这应该是您看到地址为 x00 的原因

这些天在 ubunti 系统上进行黑客攻击是很困难的。如果您只需要为不坚持当前发行版的类执行此操作,请在 virtualbox 中安装第一个 ubunti 发行版。神奇的是,你尝试的一切都会奏效。您也不再引用“标准溢出攻击” - 即使您巧妙地绕过金丝雀值等,设置 nx 位也使这成为不可能。同样,虽然我不太确定如何解决 libc 攻击的回报,但不要相信这在当前发行版上是可能的。祝你好运!

于 2011-10-15T19:39:25.050 回答