Chinaunix首页 | 论坛 | 博客
  • 博客访问: 266950
  • 博文数量: 57
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1474
  • 用 户 组: 普通用户
  • 注册时间: 2013-07-25 10:56
文章分类
文章存档

2014年(25)

2013年(32)

分类: 网络与安全

2013-08-15 09:55:15

一:基础知识
  计算机内存运行分配的区域分为3个
  程序段区域:不允许写的
  数据段区域:静态全局变量是位于数据段并且在程序开始运行的时候被加载
  堆栈区域:放置程序的动态的用于计算的局部和临时变量则分配在堆栈里面和在过程调用中压入的返回地址数据。堆栈是一个先入后出的队列。一般计算机系统堆栈的方向与内存的方向相反。压栈的操作push=ESP-4,出栈的操作是pop=ESP+4.
  
  在一次函数调用中,堆栈中将被依次压入:参数,返回地址,EBP。如果函数有局部变量,接下来,就在堆栈中开辟相应的空间以构造变量。函数执行结束,这些局部变量的内容将被丢失。但是不被清除。在函数返回的时候,弹出EBP,恢复堆栈到函数调用的地址,弹出返回地址到EIP以继续执行程序。
  在C语言程序中,参数的压栈顺序是反向的。比如func(a,b,c)。在参数入栈的时候,是:先压c,再压b,最后a.在取参数的时候,
  指令执行的图例:
  指令区域
  执行程序区
  0 1 2 3
  0
  4
  8 调用100处的函数,参数1(3位),2(10位)
  C
  10
  
  0 1 2 3
  100 执行处理
  104
  108
  10C
  110 返回调用
  
  堆栈区域
  0 1 2 3
  如果EBP分配的空间不够操作就是产生溢出的地方
  200 保存以前的EBP4位(数据段的指针,用于可以使用局部动态
  变量)现在的EBP等于当前的ESP-动态数据的大小值 ,
  ESP=200
  204 0C 00 00 00
  此处是程序的返回地址
  208 参数1,填充1位
  20C 参数2填充2位
  210
  
  
  讲解例子WIN下的程序DEMO,演示参数导致的返回地址的变化
  讲清主要4位的填充问题
  另外溢出还会导致数据段的改变
  
  3:如何利用堆栈溢出
  原理可以概括为:由于字符串处理函数(gets,strcpy等等)没有对数组越界加以监视和限制,我们利用字符数组写越界,覆盖堆栈中的老元素的值,就可以修改返回地址。 在DEMO的例子中,这导致CPU去访问一个不存在的指令,结果出错。事实上,我们已经完全的控制了这个程序下一步的动作。如果我们用一个实际存在指令地址来覆盖这个返回地址,CPU就会转而执行我们的指令。
  
  那么有什么用呢,就算使得我们的程序可以跳转执行一些代码,如何用他来突破系统限制来获得权限呢?
  
  二:系统权限知识
  UNIX系统在运行的时候的权限检查主要是根据UID,GID,SID 三个标来检查的,主要根据SID来检查权限
  SU系统调用就是SID变成SU的对象
  S粘贴位使得运行程序的人具有该程序拥有者一样的权限
  中断ROOT的S粘贴位的程序就可以获得超级用户的权限,SID位置没被调用返回修改回来。
  VI的S粘贴位可以中断的例子
  
  在UINX系统中,我们的指令可以执行一个shell,这个shell将获得和被我们堆栈溢出的程序相同的权限。如果这个程序是setuid的,那么我们就可以获得root shell。
  
  三:溢出突破权限的实现
  首先要编写SHELLCODE的2进制代码作为溢出的参数进行传入:
  shellcode的C程序
  
  注意:execve函数将执行一个程序。他需要程序的名字地址作为第一个参数。一个内容为该程序的argv(argv[n-1]=0)的指针数组作为第二个参数,以及(char*) 0作为第三个参数。
阅读(1307) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~