Basic Linux Exploit – Buffer Overflow – Phần 2 – Tạo shell với lỗi buffer overflow

Tram Ho

Chào mọi người, nối tiếp phần 1, phần 2 mình sẽ thực hiện khai thác lỗi buffer overflow để lấy shell bằng cách sử dụng thư viện pwntools của python3. Dưới đây là mã C của chương trình khai thác phần trước.

Các bạn compile chương trình bằng mã sau (phần 1):

1. Giới thiệu về thư viện pwntools

  • Cách cài đặt trên python3

Các bạn có thể đọc thêm về thư viện ở đây: https://docs.pwntools.com/en/stable/install.html

  • Một số function cơ bản:

Packing, unpacking string:

  • p32(), p64(): packing 32bits và 64bits, ex: p32(0xdeadbeef) = b"xefxbexadxde"
  • u32(), u64(): unpacking 32bits và 64bits, ex: hex(u32( b"xefxbexadxde")) = 0xdeadbeef

Assemble và disassemble code:

  • asm(): Ex: asm('nop') = b'x90'
  • disasm(): Ex: disasm(b'x8bx45xfc') = 0: 8b 45 fc mov eax, DWORD PTR [ebp - 0x4]

2. Lấy shell với pwntools và shellcode

Mình có shellcode để tạo 1 shell như sau:

Trong series này mình sẽ hướng dẫn các bạn viết shellcode của riêng mình, tuy nhiên không phải ở bài này.

Tiến hành khai thác:

Như đã nói ở bài trước, sau khi dùng gdb để debug, ta tính toán ra số byte cần thêm vào buffer để điều khiển được con trỏ trả về (eip) trong ngăn xếp là:

số bytes = 64 bytes array + 4 bytes ebx + 4 bytes ebp + 4 bytes eip = 76 bytes

Đầu tiên, mình tính toán số bytes của shellcode bằng printf và wc:

Vậy shellcode có độ dài là 40 bytes
Sau đó mình tạo 1 file exploit.py để tiến hành khai thác:

exploit.py

Tuy nhiên, chúng ta gặp 1 vấn đề, đó là địa chỉ trả về (return address cần được tính toán, trỏ về đầu shellcode (hoặc trỏ vào nop)). Nói 1 chút về nop,là 1 lệnh “không làm gì cả”, khi gặp lệnh này, đơn giản sẽ trượt đến câu lệnh tiếp theo.

Nếu sử dụng gdb để debug, ta có thể biết được địa chỉ bắt đầu của buffer, tuy nhiên địa chỉ này và địa chỉ chạy trong chương trình python của chúng ta khác nhau, vì môi trương chạy khác nhau.
Vì vậy mình sử dụng chương trình C dưới đây để tính toán độ lệnh giữa gdb và python.

find_start.c

Compile chương trình: gcc -m32 find_start.c -o find_start

  • Tính toán find_start trong gdb:
    Mở gdb victim, tạo breakpoint và run chương trình như sau:

Như vậy chương trình sẽ chạy với đối số là ./find_start, ta cần biết giá trị của find_start lưu trong stack. Tiến hành disassemble main. Ta được:

Nhận thấy hàm strcpy@plt tại 0x565561b3. Tạo breakpoint ngay sau đó để xem kết quả, vì find_start được copy vào buffer.

Chạy tiếp chương trình, ta được kết quả trong stack như sau:

Như vậy trong gdb ./find_start = 0xffffd094

Tiếp theo, chỉnh sửa 1 chút chương trình python để in ra kết quả find_start:

Kết quả như sau:

Vậy ./find_start trong python là 0xffffd138
=> Độ lệnh giữa 2 môi trường là: python - gdb = 0xffffd138 - 0xffffd094 = 164
=> python = gdb + 164

Tiếp theo, debug với gdb ta tìm được điểm bắt đầu của shellcode bằng cách chạy chương trình với 76 bytes input. r python2 -c 'print("A"*76)'

Vậy kết quả trong gdb là 0xffffd054
=> Oke, ta có chương trình python hoàn thiện như sau:

exploit.py

Kết quả nhận được:

Vậy là ta đã có được 1 shell. Trong phần tiếp theo, mình sẽ hướng dẫn cách lấy 1 shell với buffer nhỏ, không đủ chứa shell đầu vào.

Chia sẻ bài viết ngay

Nguồn bài viết : Viblo