Linux栈溢出漏洞利用小结

0x00. 写在前面

在分析一个可执行文件前,需要先利用file命令判断是32bit还是64bit,注意32位和64位应用函数传参时的栈平衡。然后看看开启了什么防护,比如:NX、PIE、RELRO、FORTIRY、CANARY。如果开启了CANARY,就不是栈溢出利用那么简单了。

0x01. 静态链接的ELF

一般情况下,静态链接的ELF很少出现,但是也有一些。这类ELF的漏洞利用,主要还是依靠ELF本身和用户输入。
(1) ELF中含有system函数和‘/bin/sh’字符串,直接构造调用system(‘/bin/sh’)的payload。
(2) 没有开启NX,可以直接写shellcode,然后将程序控制流重定位到shellcode的地址。
(3) 利用ELF中的gadget硬构造出payload。

0x02. 动态链接的ELF

大多数情况下,ELF都是动态链接的 。在漏洞利用时有libc库和无libc库是两种不同的情况。
(1)有libc库(return to libc)
当给了libc库以后,漏洞利用就很简单了。首先通过栈溢出泄漏出一个函数在进程中实际的地址,然后通过查找libc库中该函数的偏移地址和system、/bin/sh的偏移的地址。计算出system、/bin/sh的实际地址,就可以很好的利用了。
(2)无libc库
1)手动查询
通过泄露两个函数在内存中的实际地址,然后到libc-database中查询libc的版本号,就可以确定libc库。后面的方法和有libc库利用方法一样。不过,这种方法有时候不一定奏效。
2)DynELF
有些工具可以帮助泄露函数的地址,通过DynELF泄露system函数的地址,然后往一个地方(.bss区)写’/bin/sh’字符串,然后调用。
3)return to dl-resolve
这是通过ELF动态链接时,采用延迟绑定技术。当第一次调用函数时,调用_dl_runtime_resolve函数进行函数地址解析。利用栈溢出构造ROP链,伪造对其他函数(如:system)的解析。
4)其他自定义的库
通过栈溢出将自定义的库dump下来,分析其中的符号表,确定其中的函数。然后利用前面的方法的实现漏洞利用。