【正文】 《 Exploiting buffer overflows on HPUX/PARISC》 SunDay翻譯的 《 HPUX()緩沖區(qū)溢出 》 謝謝！ 。 由于寫(xiě)這個(gè)程序是在 HPUX ，當(dāng)時(shí)沒(méi)有意識(shí)到 HPUX 幀標(biāo)識(shí)區(qū)的 MAIN_SP20處不能被覆蓋，所以這個(gè)程序在 HPUX 會(huì)有問(wèn)題，需要修改程序只溢出覆蓋完MAIN_SP24。 溢出利用 溢出利用 棧 幀 標(biāo) 識(shí) 區(qū)命 令 行 參 數(shù)環(huán) 境 變 量 等數(shù) 據(jù) 區(qū)參 數(shù) 存 放 區(qū)局 部 變 量 區(qū)對(duì) 齊 數(shù) 據(jù)寄 存 器 保 存 區(qū). . . . . .寄 存 器 保 存 區(qū)對(duì) 齊 數(shù) 據(jù)殘 存 局 部 變 量 片地 址 填 充S H E L L C O D EN O P調(diào) 用 s p r i n t f 前m a i n 的 棧 情 況調(diào) 用 s p r i n t f 后 發(fā)生 溢 出 后 的 棧 情 況低 地 址高 地 址. . . . . .發(fā) 生 溢 出 后 s p r i n t f 函 數(shù) 存 放 在 m a i n 函 數(shù) 棧 幀 標(biāo) 識(shí) 區(qū) 的 M A I N _ S P 2 4 處 的 返 回 地 址 被 覆 蓋M A I N _ S P 2 4該溢出是一個(gè)標(biāo)準(zhǔn)的棧溢出。 . . . sprintf(buffer,..%s..,argv[username])。 該程序使用如下： cifslogin [servername] username [options] 他在處理 p參數(shù)時(shí)存在一個(gè)堆溢出問(wèn)題， 處理 username時(shí)存在一個(gè)棧溢出問(wèn)題。 五 、 實(shí)例分析 五 、 實(shí)例分析 cifslogin漏洞簡(jiǎn)介 HPUX自帶了一套 cifs系統(tǒng)，該系統(tǒng)主要使用 smb協(xié)議和 windows主機(jī)通信。 利用環(huán)境變量存放信息 利用環(huán)境變量存放信息 使用環(huán)境變量存放 shellcode或者特殊信息優(yōu)勢(shì)是定位方便準(zhǔn)確 。 或者： sprintf(buffer,pmsg,arg1,arg2 . . . )。 然后程序緊接著調(diào)用： xprintf(pmsg,參數(shù) 1,參數(shù) 2, . . . .)。 進(jìn)行如下考察： $ cat k $set 1 1128 %n%n%n%n%n%n%n%n%n Ctrl+D $ gencat k 。 cat文件為 2進(jìn)制格式，可以用 getcat命令根據(jù)文本信息文件生成： 其源文本信息文件格斯為： $set set_number msg_number1 “消息 1” msg_number2 “消息 2” . . . . . 當(dāng)然我們也可以用 dumpmsg來(lái)查看一個(gè) .cat文件信息。 我們最關(guān)心的是 set_num和 msg_num。程序運(yùn)行時(shí)根據(jù)用戶環(huán)境變量選擇不同的語(yǔ)言系統(tǒng) : $ export LANG=chineses $ ct abc ct: 電話號(hào)碼錯(cuò)誤 abc $ export LANG=C $ ct abc ct: bad phone number – abc 同時(shí)我們可以直接通過(guò) NLSPATH環(huán)境變量強(qiáng)制指定一個(gè)信息文件， 使得程序運(yùn)行時(shí)直接從該文件中取信息。 目前測(cè)試發(fā)現(xiàn) HPUX都存在本地語(yǔ)言系統(tǒng)的格式化字符串問(wèn)題，這使得我們可以利用幾乎所有帶 s位的程序取得特權(quán)，而且 HP至今沒(méi)有相應(yīng)的補(bǔ)丁。 (gdb) bt 0 0x41414140 in ?? () 1 0x2848 in main () Error accessing memory address 0x7f7efbac: Bad address. 對(duì)已初始化數(shù)據(jù)區(qū)的溢出應(yīng)該是最容易的方式了，不像棧溢出有很多限制，也不像格式化問(wèn)題那么復(fù)雜。 /*這個(gè)拷貝將覆蓋 PLT中存放 strcpy函數(shù)地址的內(nèi)存單元 */ strcpy(p,buff)。 buff[1023]=0。A39。i1024。 char buff[1024]。 void main(void) { char *p=Hello World。 當(dāng)然所有對(duì)已初始化數(shù)據(jù)區(qū)的未檢測(cè)長(zhǎng)度的數(shù)據(jù)拷貝都將是致命的。 ?char p[]=hello；這種定義 cc會(huì)把” hello”放在只讀數(shù)據(jù)區(qū)。 初始化數(shù)據(jù)區(qū)溢出 一個(gè)比較有趣的是下面這兩個(gè)定義： ?char *p=hello。 初始化數(shù)據(jù)區(qū)溢出 共 享 庫(kù) 信 息程 序 代 碼只 讀 數(shù) 據(jù) 區(qū)已 初 始 化 數(shù) 據(jù) 區(qū)函 數(shù) 導(dǎo) 入 表 P L T數(shù) 據(jù) 導(dǎo) 入 表 D L TG L O B A L未 初 始 化 數(shù) 據(jù) 區(qū)堆棧共 享 庫(kù)系 統(tǒng) 代 碼共 享 內(nèi) 存 區(qū)S R 4S R 5S R 7程 序 運(yùn) 行 過(guò) 程 中 的 內(nèi) 存 分 部 和 重 要 寄 存 器 值系 統(tǒng) 空 間代 碼 空 間數(shù) 據(jù) 空 間系 統(tǒng) 空 間D PS P0 x 0 0 0 0 0 0 00 x 4 0 0 0 0 0 0 00 x 8 0 0 0 0 0 0 00 x F F F F F F F F從程序內(nèi)存分部圖我們可以看到函數(shù)導(dǎo)入表 PLT緊接在已初始化數(shù)據(jù)區(qū)。 另外 HPUX 和 libc中 str系列都是葉子節(jié)點(diǎn)，使得棧溢出利用機(jī)會(huì)減了不少。 CC. cc是系統(tǒng)自帶的 32位編譯器，由于我們溢出的目標(biāo)程序基本都是系統(tǒng)自帶的 32位命令程序，因此該編譯器最為推薦 ? GCC 64位的 gcc只能在 64位 Kernel上運(yùn)行， 32位的 gcc可以在所以 kernel上運(yùn)行，我們要溢出的程序是多少位的我們就應(yīng)該使用相應(yīng)版本的gcc編譯器編譯我們的利用程序。但這里有一個(gè) 難點(diǎn) ,考察如下代碼： Lab bl Lab + 4 , %1 nop 用 gdb對(duì)程序的觀察發(fā)現(xiàn)寫(xiě)入 %1的值為 : Lab+8+4 1 執(zhí)行完的結(jié)果令人很意外，因?yàn)?B手冊(cè)里說(shuō)地址是 4字節(jié)對(duì)齊的，而且比預(yù)計(jì)多長(zhǎng) 3字節(jié)！不過(guò)知道這一點(diǎn)后寫(xiě) shellcode也就沒(méi)有多大困難了。 SYSCALLGATE值為 0xC0000004。但已知一些信息如下： 系統(tǒng)調(diào)用 系統(tǒng)調(diào)用 系統(tǒng)空間段由 %sr7寄存器標(biāo)識(shí)。 4. 目前發(fā)現(xiàn)如果將附加的后 4個(gè)表示大小的值改為較大的地址那么在 free時(shí)會(huì)產(chǎn)生對(duì)無(wú)效頁(yè)面的訪問(wèn)而造成程序被中止并產(chǎn)生一個(gè) core文件。 ? 但分配的真正大小為 (n1)/4 *4 +4 + 8 ? (n1)/4 * 4 + 4 為以 4自己對(duì)其分配的大小 ,附加的 8個(gè)為堆管理內(nèi)部使用的信息。 2. 在以 4k為單位的子空間內(nèi)由某種數(shù)據(jù)結(jié)構(gòu)算法對(duì)子空間進(jìn)行管理。 c a l l e rI m p o r t S t u bE x p o r t S t u bc a l l e e代 碼 空 間 程 序 代 碼 區(qū)系 統(tǒng) 空 間 動(dòng) 態(tài) 鏈 接 庫(kù) 區(qū)（ 1 ）（ 2 ）（ 3 ）（ 4 ）