5 堆或 BSS 的緩沖區溢出
- 堆或 BSS 的内容
- 字元串常量
- 全局變量
- 靜态變量
- 動态配置設定的記憶體
- 示例:覆寫檔案指針
/* The following variables are stored in the BSS region */ static char buf[BUFSIZE], *tmpfile; tmpfile = "/tmp/vulprog.tmp"; gets(buf); /* buffer overflow can happen here */ ... Open tmpfile, and write to it ...- Set-UID 程式的檔案指針指向了
/tmp/vulprog.tmp
- 程式需要在執行期間,使用使用者輸入寫入檔案、
- 如果我們可以使檔案指針指向
/etc/shadow
- 我們可以使用緩沖區溢出來改變變量
tmpfile
/tmp/vluprog.tmp
tmpfile
0x903040
/etc/shadow
tmpfile
shadow
- 如何尋找
/etc/shadow
- 我們可将字元串作為參數傳入程式,這樣字元串
/etc/shadow
- 我們可将字元串作為參數傳入程式,這樣字元串
- Set-UID 程式的檔案指針指向了
- 示例:覆寫函數指針:
int main(int argc, char **argv) { static char buf[16]; /* in BSS */ static int (*funcptr)(const char *str); /* in BSS */ funcptr = (int (*)(const char *str))goodfunc; /* We can cause buffer overflow here */ strncpy(buf, argv[1], strlen(argv[1])); (void)(*funcptr)(argv[2]); return 0; } /* This is what funcptr would point to if we didn’t overflow it */ int goodfunc(const char *str) { ... ... }- 函數指針(例如
int (*funcptr)(char *str)
-
argv[]
- 堆方式:将 Shellcode 儲存在堆或 BSS 中(通過使用溢出)。之後我們需要猜測它的位址,并将估算的位址賦給函數指針。這個方式需要可執行的堆(比可執行的棧機率更大)。
- 函數指針(例如
- 函數指針
- 函數指針可以通過多種手段儲存在堆或 BSS 中。這不需要由程式員定義。
- 如果程式調用了
atexit
atexit
-
svc/rpc
librpc
libnsl
- 其它示例
- BSDI
crontab
pwd
pwd
crond
crontab
crontab
- BSDI
參考
- P. J. Salzman. Memory Layout And The Stack. In Book Using GNU’s GDB Debugger. URL: http://dirac.org/linux/gdb/02a-Memory_Layout_And_The_Stack.php .
![Shell程式設計——sort排序、uniq忽略重複、tr替換壓縮删除、cut指定删除字段、正規表達式元字元sort 指令uniq 指令tr 指令cut 指令正規表達式[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)