質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.75%

  • C

    3458questions

    C言語は、1972年にAT&Tベル研究所の、デニス・リッチーが主体となって作成したプログラミング言語です。 B言語の後継言語として開発されたことからC言語と命名。そのため、表記法などはB言語やALGOLに近いとされています。 Cの拡張版であるC++言語とともに、現在世界中でもっとも普及されているプログラミング言語です。

  • セキュリティー

    433questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • アセンブリ言語

    102questions

    アセンブリ言語とは、機械語を人間にわかりやすい形で記述した低水準言語です。

  • GDB

    19questions

    GDBはGNUソフトウェアシステムのための標準的なデバッガーです。

スタックバッファオーバーフローを用いたexploitコードの作成

解決済

回答 1

投稿

  • 評価
  • クリップ 2
  • VIEW 1,007

omiteratail

score 9

前提・実現したいこと

現在セキュリティの勉強をしており、C言語のスクリプトにある脆弱性(スタックバッファオーバーフロー)を用いてexploitコードを作りたいです。

デバッガであるGDBを用いてC言語スクリプトのアセンブリを分析して、shellコード(こちらは作成済みなので大丈夫です,shellcode.h)を引数として送って実行させ,ルートのシェルを起動させるというexploitコードをC言語で書きたいです。

スタックバッファオーバーフローによってshellコードの先頭アドレスにリターンさせるようにすることで、shellコードを実行させられるということだと思うのですが、
shellコードの先頭アドレスはどうやって求めれば良いのか。
そもそもこの解釈で当たっているのか。
当たっていなければどうやってshellコードを実行させるのか。
ということが知りたいです。
環境はLinuxで、ASLRやSSPなどのセキュリティ機構は特にありません。

言葉足らずの箇所も多々あると思いますので、その都度ご質問いただければと思います。
お手数ですが、よろしくお願いいたします。

該当のソースコード

以下が脆弱性のあるソースコードtarget.c
こちらは特にいじりません。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void strcpyn(char *out, int outl, char *in)
{
  int i, len;

  len = strlen(in);
  if (len > outl)
    len = outl;

  for (i = 0; i <= len; i++)
    out[i] = in[i];
}

void fuga(char *arg)
{
  char buf[101];

  strcpyn(buf, sizeof buf, arg);
}

void hoge(char *argv[])
{
  fuga(argv[1]);
}

int main(int argc, char *argv[])
{
  if (argc != 2)
    {
      fprintf(stderr, "target: argc is not 2\n");
      exit(EXIT_FAILURE);
    }
  hoge(argv);
  return 0;
}


以下は攻撃に用いるexploitコードの骨組みです。
以下を用いてexploitコードを作りたいです。
こちらが今回いじるコードです。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include "shellcode.h"

#define TARGET "/target"

int main(void)
{
  char *args[3];
  char *env[1];

  args[0] = TARGET; args[1] = "何かしらの値"; args[2] = NULL;
  env[0] = NULL;

  return 0;
}
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+3

この条件でそもそもバッファオーバーフロー起きないです。
脆弱性が有るとはいえません。

  if (len > outl)
    len = outl;

正しく脆弱性を作るなら、こう。
(一番簡単な例です。他にも作り用は有りますが、簡単のため割愛します。)

void strcpyn(char *out, int outl, char *in)
{
  int i, len;
  len = strlen(in);
  for (i = 0; i <= len; i++)
    out[i] = in[i];
}

その上で、libc内にあるsystem関数などを叩くとシェルを奪えます。
ASLRがないとのことなので、libcのアドレスの推測は非常に簡単です。
printf関数からの相対オフセットを計算して
引数("/bin/sh\0")へのポインタをBOF使ってセットして、system関数に飛ばしてやるだけです。

ASLRが有る場合は、ROPつかってやるだけなので手順はそんなに変わりません。
libcのアドレス推測はASLRがある場合は、インフォメーションリーク系の脆弱性
(Format string bug等)を組み合わせることによって
メモリアドレスのリークをし、その後オフセット計算を行いExploitする。

と言う手順が必要です。ただ面倒になるだけでやる事の本質は同じです。
ASLRが無い場合は、配置される仮想アドレスが固定アドレスなので、推測は非常に容易です。
バイナリが手元にある場合はその配置先のアドレスは readelf コマンドで確認できます。
以上。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/24 02:35

    v_v さん

    丁寧かつ迅速なご回答ありがとうございます。
    当方、勉強不足で大変申し訳ないのですが、
    """
    libcのアドレスの推測は非常に簡単です。
    printf関数からの相対オフセットを計算して
    引数("/bin/sh\0")へのポインタをBOF使ってセットして、system関数に飛ばしてやるだけです。
    """
    という部分をもう少し詳しく教えていただけると理解が深まります。。。
    インターネットで調べてみてもいまいちわかりませんでした。。。
    お手数をおかけしてしまい申し訳ございませんが、よろしくお願いいたします。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.75%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • C

    3458questions

    C言語は、1972年にAT&Tベル研究所の、デニス・リッチーが主体となって作成したプログラミング言語です。 B言語の後継言語として開発されたことからC言語と命名。そのため、表記法などはB言語やALGOLに近いとされています。 Cの拡張版であるC++言語とともに、現在世界中でもっとも普及されているプログラミング言語です。

  • セキュリティー

    433questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • アセンブリ言語

    102questions

    アセンブリ言語とは、機械語を人間にわかりやすい形で記述した低水準言語です。

  • GDB

    19questions

    GDBはGNUソフトウェアシステムのための標準的なデバッガーです。